■

保護VPN連接安全

現(xiàn)在，很多單位的VPN服務(wù)器都是建立在Windows Server 2003系統(tǒng)“路由和遠(yuǎn)程訪問”服務(wù)功能上的，在與該服務(wù)器建立VPN連接時，很容易遭遇來自Internet網(wǎng)絡(luò)的攻擊。為了保護VPN連接安全，我們可以采取下面的控制措施，為VPN終端計算機賦予最小的訪問權(quán)限，同時丟棄除合法數(shù)據(jù)包以外的其他信息。

圖1 IP篩選器添加

圖2 設(shè)置對話框

考慮到VPN終端計算機主要使用PPTP協(xié)議（點對點隧道協(xié)議）進行工作，我們首先要在VPN服務(wù)器中對PPTP輸入篩選器進行合適配置，僅讓合法VPN終端計算機進行入站通信，具體操作步驟為：依次點擊“開始”、“設(shè)置”、“控制面板”，在彈出的系統(tǒng)控制面板窗口中，逐一雙擊“管理工具”、“路由和遠(yuǎn)程訪問”圖標(biāo)，在其后界面中，將鼠標(biāo)定位到“本地服務(wù)器站點名稱”、“IP路由選擇”、“常規(guī)”節(jié)點上，找到目標(biāo)節(jié)點下的“本地連接”選項，用鼠標(biāo)雙擊之切換到本地連接屬性對話框。按下常規(guī)標(biāo)簽頁面中的“入站篩選器”按鈕，再單擊“新建”按鈕，切換到IP篩選器添加對話框（如圖1所示），選中“目標(biāo)網(wǎng)絡(luò)”選項，激活I(lǐng)P地址和掩碼文本框，之后輸入VPN服務(wù)器的外網(wǎng)IP地址，同時將子網(wǎng)掩碼地址設(shè)置為“255.255.255.255”。在“協(xié)議”下拉列表中，選擇“TCP”協(xié)議，在“目標(biāo)端口”位置處，輸入VPN服務(wù)器缺省使用的端口號碼“1723”，確認(rèn)后返回入站篩選器設(shè)置對話框。

選中“丟棄所有的包，滿足下列條件的除外”選項，按下“新建”按鈕，彈出如圖2所示的設(shè)置對話框，選中“目標(biāo)網(wǎng)絡(luò)”選項，在“IP地址”位置處輸入外部接口IP地址，同時將子網(wǎng)掩碼地址設(shè)置為“255.255.255.255”，將“協(xié)議”選擇為“其他”，并在“協(xié)議號”文本框中輸入“47”，確認(rèn)后保存設(shè)置操作。

下面再對PPTP輸出篩選器進行合適配置，僅讓數(shù)據(jù)包到達(dá)合法VPN終端計算機，具體配置步驟為：先進入路由和遠(yuǎn)程訪問控制臺界面，切換到外部接口屬性設(shè)置框，按下常規(guī)標(biāo)簽頁面中的“出站篩選器”按鈕，在其后界面中點擊“新建”按鈕，彈出IP篩選器創(chuàng)建對話框。選中這里的“源網(wǎng)絡(luò)”選項，將“IP地址”設(shè)置為外部接口地址，將子網(wǎng)掩碼輸入為“255.255.255.255”，選擇協(xié)議為“TCP”，同時將“源端口”設(shè)定為“1723”，確認(rèn)后返回到出站篩選器配置對話框。繼續(xù)選中“丟棄所有的包，滿足下列條件的除外”選項，打開“新建”對話框，選中“源網(wǎng)絡(luò)”選項，再將“IP地址”輸入為外部接口IP地址，將子網(wǎng)掩碼設(shè)置為“255.255.255.255”，在“協(xié)議”位置處選中“其他”選項，同時將“協(xié)議號”調(diào)整為“47”，確認(rèn)后保存設(shè)置操作。經(jīng)過上述設(shè)置操作后，VPN連接的安全性就能得到有效保證了。

保障VPN連接順利

在VPN終端計算機中創(chuàng)建好與VPN服務(wù)器的連接圖標(biāo)后，有時會發(fā)現(xiàn)通過該連接圖標(biāo)，并不能與VPN服務(wù)器順暢建立正常通信連接。遇到這種情況時，不妨進行如下檢查操作：

圖3 主機屬性對話框

圖4 本地連接屬性框

首先檢查遠(yuǎn)程訪問權(quán)限是否開通。要是VPN服務(wù)器不允許用戶遠(yuǎn)程訪問，那么在VPN終端計算機中不管怎么操作，VPN連接始終無法順利建立成功。在進行這項檢查操作時，首先打開VPN服務(wù)器的路由和遠(yuǎn)程訪問控制臺界面，選中VPN服務(wù)器主機名稱，并用鼠標(biāo)右鍵單擊之，執(zhí)行右鍵菜單中的“屬性”命令，彈出目標(biāo)主機屬性對話框。點擊“常規(guī)”選項卡，切換到如圖3所示的選項設(shè)置頁面，看看“遠(yuǎn)程訪問服務(wù)器”選項有沒有被選中，當(dāng)看到它沒有處于選中狀態(tài)時，那就表示VPN服務(wù)器沒有開放遠(yuǎn)程接入權(quán)限，此時需要重新選中它，單擊“確定”按鈕執(zhí)行設(shè)置保存操作。

其次檢查網(wǎng)絡(luò)訪問權(quán)限是否受限。在VPN服務(wù)器系統(tǒng)中，打開系統(tǒng)運行文本框，執(zhí)行“gpedit.msc”命令，進入系統(tǒng)組策略控制臺界面。在該界面左側(cè)列表中，將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“Windows 設(shè) 置”、“安 全設(shè)置”、“本地策略”、“用戶權(quán)限分配”節(jié)點上，雙擊該節(jié)點下的“從網(wǎng)絡(luò)訪問此計算機”組策略，在其后界面中看看VPN連接賬號名稱是否出現(xiàn)在其中，倘若沒有看到的話，應(yīng)該單擊“添加用戶和組”按鈕，將相關(guān)用戶帳號名稱添加進來，確認(rèn)后退出設(shè)置對話框。

第三檢查數(shù)據(jù)加密是否取消。有的時候，檢查VPN連接各項屬性參數(shù)后，發(fā)現(xiàn)所有配置都很正常，但偏偏就不能與單位的VPN服務(wù)器順暢建立正常通信連接。這種情況很可能是數(shù)據(jù)加密造成的，只要將數(shù)據(jù)加密取消選中即可。在VPN終端計算機中，打開網(wǎng)絡(luò)連接列表界面，找到“虛擬專用網(wǎng)絡(luò)”下的VPN連接，用鼠標(biāo)右鍵點擊該連接圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，彈出VPN連接屬性對話框。選擇“安全”選項卡，在對應(yīng)選項設(shè)置頁面中，將“要求數(shù)據(jù)加密(沒有就斷開)”選項取消選中即可。

第四檢查防火墻是否進行攔截。在VPN服務(wù)器開啟系統(tǒng)自帶防火墻的情況下，VPN連接可能會受到它的默認(rèn)攔截，這時需要手工修改防火墻配置，讓其運行VPN連接數(shù)據(jù)包通行。具體配置操作為：依次單擊服務(wù)器系統(tǒng)桌面上的“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”選項，切換到網(wǎng)絡(luò)連接列表界面，打開本地連接圖標(biāo)的右鍵菜單，點擊“屬性”命令，在其后彈出的本地連接屬性框中，選擇“高級”選項卡，單擊高級選項頁面中的“設(shè)置”按鈕，進入高級設(shè)置對話框，在“服務(wù)”標(biāo)簽頁面中點擊“添加”按鈕。之后，在圖4所示的“計算機名稱或IP地址”位置處，輸入VPN服務(wù)器的IP地址，在“此服務(wù)的外部端口”位置處輸入“1723”，并將“TCP”協(xié)議選中，再在“此服務(wù)的內(nèi)部端口”位置處也輸入“1723”，確認(rèn)后返回即可。

圖5 TCP/IP協(xié)議框

圖6 服務(wù)的屬性設(shè)置

第五檢查網(wǎng)關(guān)配置是否正確。有的時候，用戶雖然與VPN服務(wù)器主機成功建立了連接，但是無法訪問除了VPN服務(wù)器之外的內(nèi)網(wǎng)資源，這種問題明顯是網(wǎng)關(guān)配置不正確引起的。此時，可以先進入VPN服務(wù)器所在的主機系統(tǒng)，依次單擊“開始”、“程序”、“管理工具”、“路由和遠(yuǎn)程訪問”選項，進入路由和遠(yuǎn)程訪問控制臺界面，打開VPN服務(wù)器的屬性對話框，選擇“IP”標(biāo)簽，選中對應(yīng)標(biāo)簽頁面中的“啟用IP路由”、“允許基于IP的遠(yuǎn)程訪問和請求撥號連接”等選項，這樣終端計算機日后才能通過路由來尋找路徑。接著在VPN終端計算機系統(tǒng)中，打開VPN網(wǎng)絡(luò)連接屬性設(shè)置窗口，點擊“網(wǎng)絡(luò)”標(biāo)簽，選中“Internet協(xié)議（TCP/IP）”選項，按下“屬性”按鈕，切換到TCP/IP屬性對話框，再打開TCP/IP協(xié)議高級屬性對話框。點擊“常規(guī)”標(biāo)簽，選中該標(biāo)簽頁面中的“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項目（如圖5所示），確認(rèn)后保存設(shè)置操作即可。

管理已有VPN連接

當(dāng)用戶要訪問VPN服務(wù)器資源時，需要先在終端計算機中創(chuàng)建好VPN網(wǎng)絡(luò)連接。不過，在實際工作中，有時會遇到VPN連接不能創(chuàng)建的現(xiàn)象，例如，創(chuàng)建向?qū)Э蛑袩o法選中“使用撥號或VPN連接”選項等。這種現(xiàn)象很可能是終端計算機中的Remote Access Connection Manager無法被意外關(guān)閉運行了，只要依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，執(zhí)行“services.msc”命令，展開系統(tǒng)服務(wù)列表窗口，雙擊其中的Remote Access Connection Manager服務(wù)選項，切換到對應(yīng)服務(wù)的屬性設(shè)置對話框（如圖6所示），單擊“啟動”按鈕，將目標(biāo)系統(tǒng)服務(wù)重新啟動運行正常，這樣我們就能成功創(chuàng)建VPN連接了。

在VPN連接已經(jīng)建立完成的情況下，我們該如何管理已有的VPN連接呢？很簡單！只要依次點擊“開始”、“控制面板”、“網(wǎng)絡(luò)和共享中心”，在其后界面中就能對VPN連接進行管理了，其中包括對VPN連接執(zhí)行刪除操作、重命名操作，執(zhí)行快捷方式或副本創(chuàng)建操作，甚至還能調(diào)整連接的配置參數(shù)。要想將VPN連接直接放置到系統(tǒng)桌面上時，只要在“網(wǎng)絡(luò)連接”列表中，選擇特定的VPN連接，按下“創(chuàng)建快捷方式”按鈕，之后點擊“是”按鈕進行確認(rèn)，就能在系統(tǒng)桌面上創(chuàng)建好VPN連接的快捷方式了。