VPN(Virtual Private Network)是对企业内部网的扩展，它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

　　VPN隔离

　　但随着VPN普遍且广泛的应用，有一个问题也越来越明显地摆在企业IT管理部门面前，那就是VPN虽然可以通过在VPN隧道中加密数据来实现安全访问，但它并不能防止恶意软件(如来自远程访问计算机上的病毒或蠕虫)的入侵。病毒或蠕虫攻击可以由连接到企业的受感染的计算机引起。很多远程用户在拔入到企业内部时，远程主机不能达到企业内部的主机安全策略标准，比如没开ICF、杀毒软件病毒库过期、安全补丁未更新等。这样的远程主机拔入后，给企业的网络安全造成很大的隐患。

　　有没有一种方法可以在远程主机拔入后，先限定它的网络访问?通过检测，符合企业安全策略标准即可正常网络访问;否则，继续被隔离或是断开拔入连接。ISA Server 2006的VPN功能中就提供了这样一种解决方案，被称作VPN隔离。下面我们来看一下，在ISA中是如何实现VPN隔离的。

　　VPN隔离控制通过在允许VPN客户端访问网络之前限制其处于隔离模式，来为其提供阶段性的网络访问。在使客户端计算机配置与组织的特定隔离限制一致或确定其满足这一条件之后，便会根据指定的隔离类型将标准的VPN策略应用到该连接。也就是说ISA Server 2006对拔入的VPN客户端先进行网络限制，并进行一个验证。如果没有通过验证，客户端与VPN服务器的连接就将被断开;如果通过验证，就放置在“VPN客户端”网络中，可以进行正常的网络访问。我们以VPN客户端是否开启了ICF为例进行说明。如果没有开启则被断开VPN拔入连接，而开启后就作为正常“VPN客户端”进行网络访问。

　　准备及实施

　　前期准备：

　　1. 检测ICF是否开启脚本文件(可从微软官方网站下载一些脚本范例进行仿写)。

　　2. 执行RQC.exe文件(可以从 Windows Server 2003 Resource Kit Tools中找到)。

　　3. 在ISA服务器上安装CMAK(连接管理器管理工具包)。在控制面板中打开“添加或删除程序”，选中“添加/删除Windows 组件”，接着选中“管理和监视工具”，点击“详细信息”找到“连接管理器管理工具包”即可安装。

　　4. 在ISA服务器上安装RQS服务(远程访问隔离服务)。在控制面板中打开“添加或删除程序”，选中“添加/删除Windows 组件”，然后再选中“网络服务”，点击“详细信息”找到“远程访问隔离服务”即可安装。

　　实施过程：

　　1. 通过CMAK，产生一个安装包(包含本地安全检测脚本和RQC.exe)，并分发给客户端。

　　2. 客户端运行此安装包，脚本会对该客户端进行基本的安全检测，同时会生成一个特定的拔号程序。

　　3. 客户端用此拔号程序拔入ISA Server 2006(此时，客户端被放入名为“隔离VPN客户端”的网络中，与企业内部的通信是受限的)。ICF检测脚本程序会检查客户端是否启用ICF，并产生检测数值。

　　4. 客户端通过RQC.exe发送脚本产生的值通知给ISA Server 2006。其中客户端通过RQC.exe向ISA Server 2006传送脚本检测值时，用的是TCP协议、端口7250，需要我们在ISA Server 2006中新建协议，并建立对应的访问规则才行。

　　5. 如果已经开启了ICF，则ISA Server 2006通过RQS服务把客户端从隔离VPN网络挪到VPN网络(此时客户端不再受限，可以与企业内部正常通信)，如果没有通过检测，客户端将在一个时间间隔后被断开连接。可以通过“被隔离的VPN客户端属性”中的“在此时间以后断开被隔离的用户”的配置(如图)来指定在客户端不满足配置要求的情况下连接断开的时间间隔。

　　通过对VPN隔离技术的应用，增强了对企业内部访问的安全性，简化了内部网络服务的管理和维护，降低了信息化的消耗成本，提高了远程访问的可预测性和可用性，能让企业更好也更放心地应用VPN技术来开展工作、拓展业务。