Angelo Lee - 博客园

2010年4月30日

摘要： XP MODE部署上篇文章中我们部署了RC版本的Windows 7，今天我们要在Windows 7上实现XP MODE。XP MODE实际上是一个XP SP3的虚拟机，这个虚拟机需要用Windows Virtual PC来加载。我们首先要判断物理机是否能满足XP MODE的部署需求，然后再来部署Windows Virtual PC和XP MODE。 XP MODE需要物理机支持硬件虚拟化，最主要的是CPU要支持AMD-V或Intel-VT，这点和Hyper-V的要求很类似。如果硬件不支持虚拟化技术，就无法测试XP MODE。我们可以利用一个小工具securable.exe来帮助我们测试硬件对阅读全文

posted @ 2010-04-30 22:02 Angelo Lee 阅读(170) 评论(0) 推荐(0) 编辑

Windows7虚拟化体验之一：Windows7部署

摘要：部署Windows7 伴随着Windows7 RC版本的发布，微软的虚拟化产品线中又多了一个新成员－XP MODE。XP MODE是Windows 7中一个令人心动的新组件，XP MODE的设计目的在于解决Windows 7对应用程序的兼容性问题。Vista的推广不尽如人意，有一个很重要的原因在于对老应用程序的兼容性不好，很多单位不愿意为了把操作系统升级到Vista而付出重新部署应用程序的代价。Windows 7吸取了这个教训，在RC版本中就着手解决应用程序的兼容性问题。XP MODE其实就是一个XP SP3的虚拟机，用户可以通过Windows Virtual PC来加载XPMODE虚拟机，然阅读全文

posted @ 2010-04-30 22:00 Angelo Lee 阅读(165) 评论(0) 推荐(0) 编辑

2010年4月17日

企业根CA方法客户机证书的解决方案，ISA2006系列之三十

摘要：企业根CA如何发放客户机证书－L2TP证书问题的补充说明在ISA系列第二十一篇的博文中，我们介绍了如何在VPN服务器中使用L2TP协议。L2TP可以使用证书或预共享密钥，很多朋友反映在做这个实验时出了问题，关键是申请不到客户机证书。因此今天特意花点时间，为大家介绍一下如何解决证书问题。由于我在博文中使用的是一个独立根CA，而不少博友在实验时使用的是企业根CA，因此环境上的差异造成了实验的困扰。独立根CA发放客户机证书是非常容易的，但企业根CA就需要进行一番设置。当然，独立根CA和企业根CA本质上是一样的，只是在一些配置方法上存在一些差异，看了本文之后，相信大家就不会有这种困扰了。本文的实验阅读全文

posted @ 2010-04-17 10:38 Angelo Lee 阅读(237) 评论(0) 推荐(0) 编辑

用组策略实现用户证书的自动注册申请：ISA2006系列之二十八

摘要：用组策略实现用户证书的自动注册申请在前面的博文中，我们已经在邮件加密，安全Web站点，TLS通讯，智能卡等诸多的应用领域中接触到了证书，证书在安全领域的重要性已是不言而喻。如果我们在内网搭建了CA服务器，用户应该如何获取证书呢？用户申请证书一般有两种方式，如下图所示，用户既可以通过MMC控制台也可以利用浏览器进行证书的注册申请。但这两种证书申请方式对普通用户来说都有一定的技术难度，如果管理员代为用户申请证书，在用户众多的环境下又不太现实。那我们在大型企业中应该如何处理用户证书的注册申请呢？我们可以通过组策略结合CA服务器来完成证书的自动注册申请，利用这种方式，我们可以对整个域的用户或某个组织的阅读全文

posted @ 2010-04-17 10:37 Angelo Lee 阅读(311) 评论(0) 推荐(0) 编辑

详解DMZ的部署与配置：ISA2006系列之二十九

摘要： DMZ的部署及配置DMZ是Demilitarized Zone的缩写，俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域，一般用于放置公司对外开放的服务器，例如Web服务器，Ftp服务器，邮件服务器等。其实从ISA的角度来看，DMZ就是一个网络。有些朋友可能会有些疑问，为什么不把这些服务器直接放到内网呢？为什么需要DMZ这个单独的网络呢？被发布的服务器放在内网是可以的，我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并非最佳选择，因为内网中还有其他的计算机，这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户，财务室人员使用的工作站更阅读全文

posted @ 2010-04-17 10:37 Angelo Lee 阅读(350) 评论(0) 推荐(0) 编辑

配置单网卡的ISA缓存服务器：ISA2006系列之二十七

摘要：用ISA2006配置单网卡缓存服务器ISA是互联网安全加速器的缩写，安全指的是ISA的防火墙功能，而加速则是ISA的缓存功能。我们知道，缓存的设计是为了解决两个系统之间速度不匹配的矛盾。一般而言，内网的访问速度要远远大于外网，因此，如果ISA能够把用户访问外网获得的数据放在硬盘缓存中，那么当下一个用户从外网请求相同数据时，ISA就可以利用硬盘缓存的内容对用户进行响应，这样的速度自然要远远大于从外网获得数据，加速器的称呼也就是因为这个。尤其是当公司员工早晨浏览新闻网站或查看产品报价时，这种加速效果非常明显。有些公司在部署ISA服务器之前已经有了自己的网络访问解决方案，例如通过硬件防火墙访问互联网阅读全文

posted @ 2010-04-17 10:35 Angelo Lee 阅读(203) 评论(0) 推荐(0) 编辑

创建基于PPTP的站点到站点VPN连接：ISA2006系列之二十五

摘要：构建基于PPTP的站点到站点的VPN连接在前面的博文中，我们已经介绍了如何用ISA2006创建VPN服务器，以及远程用户如何利用VPN服务器拨入内网。如果是个别用户在家办公或出差在外，用前文提到的VPN解决方案是可以圆满解决的。但如果是一群用户有互相访问的需求，例如某公司总部和分公司需要互相访问，那用VPN远程拨入的方式就显得效率不高了。试想一下，公司总部500人，分公司300人，如果要互相访问，800人都要拨叫对方的VPN服务器，这显然不是一个好的解决方案。今天我们提供一种站点到站点的VPN解决方案，可以很好地解决这个问题。我们引入下面的拓扑图来说明这个方案的构思，某公司北京总部的内网IP范阅读全文

posted @ 2010-04-17 10:34 Angelo Lee 阅读(46) 评论(0) 推荐(0) 编辑

创建基于L2TP的站点到站点的VPN 连接：ISA2006系列之二十六

摘要：创建基于L2TP的站点间VPN在上篇博文中我们介绍了如何利用ISA2006创建站点间的VPN，而且站点间VPN使用的隧道协议是PPTP，今天我们更进一步，准备在上篇博文的基础上实现基于L2TP的站点间VPN。L2TP和PPTP相比，增加了对计算机的身份验证，从理论上分析应该比PPTP更安全一些。L2TP验证计算机身份可以使用预共享密钥，也可以使用证书。我们把两种方式都尝试一下，实验拓扑如下图所示，和上篇博文的环境完全一致。一使用预共享密钥使用预共享密钥实现L2TP的过程是是比较简单的，我们在VPN站点两端的VPN服务器上配置一个相同的预共享密钥，就可以用于L2TP协议中验证计算机身份。如下图阅读全文

posted @ 2010-04-17 10:34 Angelo Lee 阅读(8) 评论(0) 推荐(0) 编辑

多图详解VPN用户隔离:ISA2006系列之二十四

摘要：多图详解VPN用户隔离VPN隔离是ISA2006中提供的一个强大功能，也是NAP（网络访问保护）的一个重要组成环节。VPN隔离指的的是当VPN客户机通过VPN服务器的身份验证后，VPN服务器并不立即允许其访问内网，而是将VPN客户机放到一个被隔离的网络中。然后通过策略对客户机进行安全检查，例如查看VPN客户机是否安装了最新的安全补丁，是否启用了防火墙，防病毒软件是否升级到了最新版本等等。如果VPN客户机通过了安全策略的检查，VPN服务器将允许其访问内网资源；如果不能通过安全策略检查，VPN客户机将被限定在隔离网络中，无法访问内网资源，而且在隔离网络中停留一段时间后会被逐出。有的企业会在隔离网络阅读全文

posted @ 2010-04-17 10:32 Angelo Lee 阅读(33) 评论(0) 推荐(0) 编辑

详解Radius服务器在VPN中的应用：ISA2006系列之二十二

摘要：详解Radius服务器在VPN中的应用在前面的博文中，我们介绍了如何利用ISA2006创建VPN服务器，以及对VPN服务器使用的PPTP和L2TP协议都进行了介绍，今天我们来介绍一种经常和VPN配合使用的身份验证服务器－Radius服务器。Radius是Remote Authentication Dial In User Service的缩写，意思是远程用户拨号认证服务。Radius原本设计用于对拨号用户进行身份验证和计费，这些功能经常被电信部门所使用，我们拨号上网后收到的账单就是Radius服务器统计出来的。Radius使用一段时间后，大家发现Radius协议功能强大，使用方便且易于扩充，因阅读全文

posted @ 2010-04-17 10:31 Angelo Lee 阅读(20) 评论(0) 推荐(0) 编辑