實戰NAP保護VPN網絡

安裝網絡原則服務器（NPS）角色

接下來我們必須先將網絡管理服務器安裝起來。請在開啟系統管理工具選單中的“服務器管理員”接口以及在點選“角色”項目節點之后，點選“新增角色”連接。緊接著，將會出現“選取服務器角色”頁面，勾選“網絡原則與存取服務”項目，接下來在“選取角色服務”頁面中，惟一勾選“網絡原則服務器”的角色服務項目即可。

圖2 勾選遠程訪問服務

安裝設定VPN服務器

接下來我們對裝有Windows Server 2008的VPN服務器進行安裝與設置，在開始之前，必須先確認您已經完成這部服務器加入與登錄到了內部的Active Directory網域中，并且已經正確設定了內外網卡的TCP/IP地址。

接下來請開啟位于“開始→系統管理工具”下拉選單中的“服務器管理員”，然后在點選“角色”項目之后，點選位于主頁面中的“新增角色”，執行后將會開啟如圖2所示的“選取服務器角色”頁面，在此頁面中勾選“網絡原則與存取服務”項目，點選兩次“下一步”繼續。

在“選取角色服務”頁面中，將惟一在“路由及遠程訪問服務”項目下的“遠程訪問服務”組件勾選安裝即可。

完成遠程訪問服務角色安裝之后，我們開始設定VPN服務器的各項設置。請在“開始→執行”對話框中輸入rrasmgmt.msc，來開啟“路由及遠程訪問”操作接面。在開啟“路由及遠程訪問”界面之后，請在本地服務器的節點項目上點擊鼠標右鍵，選擇“設定和啟用路由及遠程訪問”繼續。

在“設定”頁面中，選擇“遠程訪問”項，然后在“遠程訪問”頁面中，勾選“VPN”項目。在“VPN聯機”頁面中，選取對外提供VPN網絡聯機的網絡接口，并且記著將“設定靜態封包篩選器來啟用選擇接口的安全性”項目取消默認的勾選。

在“IP地址設置”頁面中，可以選擇勾選采用內部已經存在的DHCP服務器來配置IP地址給遠程客戶端計算機，或是選擇“從指定范圍的地址”來讓VPN服務器幫助我們自動配置，因此如果您選擇了這個選項，緊接著在下一步的頁面中設定一個IP地址范圍。接下來在“正在管理多個遠程訪問服務器”的頁面中，選擇“是，設定這臺服務器與Radius服務器一起工作”項。

圖3 通訊協議及端口設定

在“Radius服務器選取項目”的頁面中，我們必須在“主要的Radius服務器”字段中，輸入Radius服務器的IP地址，然后在下方的共享密碼字段中，輸入與后續在Radius客戶端設定時所配置的密碼一樣即可。

在VPN服務器高級設置部分，請在點選VPN服務器節點之后，按下鼠標右鍵，點選“內容”，接著請切換到“安全”頁面中，點選“驗證方法”，然后在此窗口中確認“可延伸的驗證通訊協議（EAP）”項目與“Microsoft加密驗證版本2（MS-CHAP v2）”的項目已經選取。最后請點選“EAP方法”按鈕，然后確認“Protected EAP（PEAP）”項目已經安裝。

3.VPN與Windows防火墻的整合設定

完成了VPN服務器的設置之后，為了確保主機本身的安全性，我們通常會將系統內建的Windows防火墻給予啟用，如此一來，雖然系統會自動讓VPN的客戶端可以聯機，但是如果在我們進行聯機之前，可以確定VPN客戶端與VPN服務器的基本聯機是沒有問題的，那么將有助于在聯機測試上的排錯工作。

確認VPN客戶端與VPN服務器的基本聯機沒有問題的最佳方法，就是通過Ping命令來進行測試，因此在接下來我們針對VPN服務器上的Windows防火墻設置，來開放ICMPv4的通訊協議與通訊端口，以便于VPN客戶端可以接收到Ping測試時的正常聯機響應。請在高級安全性的Windows防火墻管理頁面，在位于“輸入規則”項目節點上點擊鼠標右鍵，選擇“新規則”繼續。接下來將會開啟“新增輸入規則向導”的頁面，首先在“規則類型”頁面中選取“自定義”之后，在“程序”頁面中，選取“所有程序”。

接下來在“通訊協議及端口設定”頁面（如圖3），請在“通訊協議類型”頁面中選取“ICMPv4”，在“領域”頁面請保持在預設的設置。在“執行動作→操作”的頁面中，請選取“允許該聯機”設定。在“配置文件”的頁面中，請保留預設的三項配置文件都在選取的狀態下即可。點選“下一步”繼續。最后請在“名稱”的頁面中輸入一個惟一的規則識別名稱即可。