創建Windows ×××服務器

有關×××客戶機的一個常見的錯覺是認爲它們是在×××網絡上連接到企業網絡的工作站。這種工作站肯定是一種×××客戶機，但是，它並不是惟一的一種 ×××客戶機。×××客戶機可以是一臺計算機，還可以是一臺路由器。你的網絡需要使用什麼類型的×××客戶機確實取決於你的公司的具體需求。

　　例如，如果你碰巧有一個缺少與公司辦公室直接連接的一個分支辦公室，使用一臺路由器作爲×××客戶機對你來說可能是一個很好的選擇。通過這樣做，你可以利用一個單個的連接把整個分支辦公室與公司辦公室連接起來。不需要每一臺PC都單獨建立一個連接。

　　另一方面，如果你擁有一些經常出差的僱員，這些僱員需要在旅行中訪問公司的網絡，你把這些僱員的筆記本電腦設置爲×××的客戶機可能會有好處。

　　從技術上說，只要支持PPTP、L2TP或者IPSec協議，任何操作系統都可以作爲一臺×××客戶機。就微軟而言，這意味着你可以使用 Windows NT 4.0、9X、ME、2000和XP操作系統。雖然所有這些操作系統從技術上說都可以作爲客戶機，我建議你堅持使用Windows 2000或者Windows XP操作系統，因爲這些操作系統能夠支持L2TP和PSec協議。

　　×××服務器

　　×××服務器可以當作×××客戶機的一個連接點。從技術上說，你可以使用Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003等操作系統作爲一臺×××服務器。不過，爲了保證安全，我認爲你應該使用Windows Server 2003操作系統。

　　有關×××服務器的最大的誤解之一是×××服務器所有的工作都是自己完成的。我的朋友無數次地對我說，他們要購買一臺×××服務器。他們沒有認識到×××服務器只是必要的組件之一。

　　×××服務器本身是非常簡單的。×××服務器不過是執行路由和遠程訪問服務任務的一個增強的‘Windows 2003 Server’服務器。一旦一個進入×××網絡的請求被批准，這個×××服務器就簡單地充當一臺路由器向這個×××客戶機提供專用網絡的接入。

　　ISA服務器

　　×××服務器的額外要求之一是你要有一臺RADIUS(遠程認證撥入用戶服務)服務器。遠程認證撥入用戶服務是互聯網服務提供商在用戶試圖建立互聯網連接的時候對用戶進行身份識別的一種機制。

　　你需要使用RADIUS服務器的原因是你需要一些身份識別機制對通過×××連接進入你的網絡的用戶進行身份識別。你的域名控制器不能完成這個任務。即使你的域名控制器能夠勝任這個任務，把域名控制器暴露給外部世界也不是一個好主意。

　　現在的問題是你從什麼地方獲得這個RADIUS服務器?微軟有自己版本的RADIUS，名爲“互聯網身份識別服務”，英文縮寫字是IAS。 Windows Server 2003操作系統包含IAS功能。這是一個好消息。壞消息是由於安全的原因不能在同一臺計算機中把ISA當作路由和遠程訪問服務(RRAS)來運行。即使可以這樣做，我也不能肯定在虛擬服務器設置之外是否有這個可能。

　　防火牆

　　你的×××需要的其它組件是一個良好的防火牆。的確。你的×××服務器接受來自外部世界的連接，但是，這並不意味着外部世界需要完全訪問的×××服務器。你必須使用防火牆封鎖任何沒有使用的端口。

　　建立×××連接的基本要求是，×××服務器的IP地址必須能過通過互聯網訪問，×××通信必須能夠通過你的防火牆進入×××服務器。然而，還有一項可選擇的組件。你可以使用這個組件讓你的×××服務器更安全。

　　如果你非常重視安全問題(而且你有這筆預算)，你可以在ISA服務器和你的周邊防火牆和×××服務器之間放置一個ISA服務器。這個想法是，你可以設置防火牆把所有的與×××有關的通信都指向那個ISA服務器，而不是指向×××服務器。然後，ISA服務器將充當一個×××代理服務器。

　　×××客戶機和×××服務器僅與ISA服務器進行通信。它們相互之間從來不直接通信。這就意味着ISA服務器在保護×××服務器，不允許直接訪問×××服務器，從而爲×××服務器增加了一個保護層。

　　選擇一個隧道協議

　　當×××客戶機訪問一臺×××服務器的時候，它們是通過一個虛擬的隧道進行訪問的。一個隧道實際上就是通過一個不安全的媒介(通常是互聯網)的安全通道。然而，隧道並不是用魔術變出來的。隧道需要使用一個隧道協議。

　　我以前曾講過老式的Windows客戶機能夠通過PPTP(點對點隧道協議)協議連接到一個×××網絡。但是，我建議使用比較新的客戶端軟件，如Windows 2000和Windows XP，因爲它們支持L2TP(2層隧道協議)。事實是這兩個協議中的任何一個協議都可以工作，而且客戶機都支持這些協議。然而，每一個協議都有其優點和缺點。選擇一個適合你的機構的隧道協議是你規劃×××網絡時應做出的最重要的決策之一。

　　同PPTP協議相比，L2TP協議最大的優勢在於它依賴IPSec。IPSec加密數據，也提供數據身份識別。這意味着IPSec證明這個數據確實是由發送者發送的並且在傳輸的過程中沒有被修改。而且IPSec可以防止重播***。重播***指的是***捕捉身份識別數據包，然後在晚些時候重新發送這個數據包以便獲得這個系統的訪問權限。

　　L2TP還可以提供比PPTP更強大的身份識別功能。L2TP能夠對用戶和計算機都進行身份識別。而且在用戶級身份識別期間交換的數據包總是被加密的。

　　雖然表面上看L2TP也許是隧道協議的選擇，但是，PPTP也有一些超過L2TP的優點。我已經談到過這些優點之一，就是兼容性。PPTP比 L2TP兼容更多的Windows系統。如果你有一些仍在使用版本比較老的Windows操作系統的×××用戶，那麼，除了使用PPTP之外，你沒有別的選擇。

　　PPTP優於L2TP的另一個優勢是L2TP是以IPSec爲基礎的。在L2TP的優點這一節，我談到IPSec喜歡L2TP是一件好事，而且事情確實如此。然而，使用IPSec有一個重大缺陷。IPSec要求你的網絡具有認證中心。

　　這個好消息是Windows Server 2003有自己的認證中心。認證中心的設置是相對簡單的。壞消息是，從安全的觀點看，認證中心不是你要處理的事情。保持認證中心完整性的惟一方法是在一臺安全保護增強到最大限度的專用服務器上運行認證中心。這就意味着必須要額外投資購買一臺服務器、額外的Windows服務器軟件許可證、以及增加與你的網絡增加一臺服務器有關的額外管理負擔。

　　不過，按照我的意見，額外的成本和管理負擔是值得的。L2TP能夠爲你提供比PPTP更好的安全性。此外，你還可以利用認證中心做其它的事情，如通過IPSec加密本地通信等。

　　身份識別協議

　　在我談論協議話題的時候，我要用一些時間談一談身份識別協議的問題。在設置×××的過程中，系統將要求你選擇一個身份識別協議。大多數人會選擇 MS-CHAP v2選項。MS-CHAP是一個相對安全的選項，它兼容運行在過去的10年裏製作的任何版本的Windows操作系統的×××客戶機。MS-CHAP最大的優點是容易設置。

　　如果你計劃使用L2TP並且要更好的安全性，你應該選擇EAP-TLS作爲你的身份識別協議。只有運行Windows 2003或者Windows XP操作系統的客戶機才能支持EAP-TLS協議。而且，必須設置×××服務器之後認證中心才能辦法用戶認證。

　　EAP-TLS協議的設置比較複雜，如果最終用戶已經獲得了智能卡，這個協議會工作得更好。但是，EAP-TLS協議確實能夠爲你提供最佳的安全。簡單地說，MS-CHAP是基於口令的協議。EAP-TLS是基於證書的協議。

　　結論

　　在你創建一個×××之前，需要做許多規劃工作。在這篇文章中，我談了設計一個×××必須要做的一些規劃，還談了一些你必須要做出的一些決策。