■

保護VPN連接安全

現(xiàn)在，很多單位的VPN服務器都是建立在Windows Server 2003系統(tǒng)“路由和遠程訪問”服務功能上的，在與該服務器建立VPN連接時，很容易遭遇來自Internet網(wǎng)絡的攻擊。為了保護VPN連接安全，我們可以采取下面的控制措施，為VPN終端計算機賦予最小的訪問權限，同時丟棄除合法數(shù)據(jù)包以外的其他信息。

圖1 IP篩選器添加

圖2 設置對話框

考慮到VPN終端計算機主要使用PPTP協(xié)議（點對點隧道協(xié)議）進行工作，我們首先要在VPN服務器中對PPTP輸入篩選器進行合適配置，僅讓合法VPN終端計算機進行入站通信，具體操作步驟為：依次點擊“開始”、“設置”、“控制面板”，在彈出的系統(tǒng)控制面板窗口中，逐一雙擊“管理工具”、“路由和遠程訪問”圖標，在其后界面中，將鼠標定位到“本地服務器站點名稱”、“IP路由選擇”、“常規(guī)”節(jié)點上，找到目標節(jié)點下的“本地連接”選項，用鼠標雙擊之切換到本地連接屬性對話框。按下常規(guī)標簽頁面中的“入站篩選器”按鈕，再單擊“新建”按鈕，切換到IP篩選器添加對話框（如圖1所示），選中“目標網(wǎng)絡”選項，激活IP地址和掩碼文本框，之后輸入VPN服務器的外網(wǎng)IP地址，同時將子網(wǎng)掩碼地址設置為“255.255.255.255”。在“協(xié)議”下拉列表中，選擇“TCP”協(xié)議，在“目標端口”位置處，輸入VPN服務器缺省使用的端口號碼“1723”，確認后返回入站篩選器設置對話框。

選中“丟棄所有的包，滿足下列條件的除外”選項，按下“新建”按鈕，彈出如圖2所示的設置對話框，選中“目標網(wǎng)絡”選項，在“IP地址”位置處輸入外部接口IP地址，同時將子網(wǎng)掩碼地址設置為“255.255.255.255”，將“協(xié)議”選擇為“其他”，并在“協(xié)議號”文本框中輸入“47”，確認后保存設置操作。

下面再對PPTP輸出篩選器進行合適配置，僅讓數(shù)據(jù)包到達合法VPN終端計算機，具體配置步驟為：先進入路由和遠程訪問控制臺界面，切換到外部接口屬性設置框，按下常規(guī)標簽頁面中的“出站篩選器”按鈕，在其后界面中點擊“新建”按鈕，彈出IP篩選器創(chuàng)建對話框。選中這里的“源網(wǎng)絡”選項，將“IP地址”設置為外部接口地址，將子網(wǎng)掩碼輸入為“255.255.255.255”，選擇協(xié)議為“TCP”，同時將“源端口”設定為“1723”，確認后返回到出站篩選器配置對話框。繼續(xù)選中“丟棄所有的包，滿足下列條件的除外”選項，打開“新建”對話框，選中“源網(wǎng)絡”選項，再將“IP地址”輸入為外部接口IP地址，將子網(wǎng)掩碼設置為“255.255.255.255”，在“協(xié)議”位置處選中“其他”選項，同時將“協(xié)議號”調整為“47”，確認后保存設置操作。經過上述設置操作后，VPN連接的安全性就能得到有效保證了。

保障VPN連接順利

在VPN終端計算機中創(chuàng)建好與VPN服務器的連接圖標后，有時會發(fā)現(xiàn)通過該連接圖標，并不能與VPN服務器順暢建立正常通信連接。遇到這種情況時，不妨進行如下檢查操作：

圖3 主機屬性對話框

圖4 本地連接屬性框

首先檢查遠程訪問權限是否開通。要是VPN服務器不允許用戶遠程訪問，那么在VPN終端計算機中不管怎么操作，VPN連接始終無法順利建立成功。在進行這項檢查操作時，首先打開VPN服務器的路由和遠程訪問控制臺界面，選中VPN服務器主機名稱，并用鼠標右鍵單擊之，執(zhí)行右鍵菜單中的“屬性”命令，彈出目標主機屬性對話框。點擊“常規(guī)”選項卡，切換到如圖3所示的選項設置頁面，看看“遠程訪問服務器”選項有沒有被選中，當看到它沒有處于選中狀態(tài)時，那就表示VPN服務器沒有開放遠程接入權限，此時需要重新選中它，單擊“確定”按鈕執(zhí)行設置保存操作。

其次檢查網(wǎng)絡訪問權限是否受限。在VPN服務器系統(tǒng)中，打開系統(tǒng)運行文本框，執(zhí)行“gpedit.msc”命令，進入系統(tǒng)組策略控制臺界面。在該界面左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows 設 置”、“安 全設置”、“本地策略”、“用戶權限分配”節(jié)點上，雙擊該節(jié)點下的“從網(wǎng)絡訪問此計算機”組策略，在其后界面中看看VPN連接賬號名稱是否出現(xiàn)在其中，倘若沒有看到的話，應該單擊“添加用戶和組”按鈕，將相關用戶帳號名稱添加進來，確認后退出設置對話框。

第三檢查數(shù)據(jù)加密是否取消。有的時候，檢查VPN連接各項屬性參數(shù)后，發(fā)現(xiàn)所有配置都很正常，但偏偏就不能與單位的VPN服務器順暢建立正常通信連接。這種情況很可能是數(shù)據(jù)加密造成的，只要將數(shù)據(jù)加密取消選中即可。在VPN終端計算機中，打開網(wǎng)絡連接列表界面，找到“虛擬專用網(wǎng)絡”下的VPN連接，用鼠標右鍵點擊該連接圖標，執(zhí)行右鍵菜單中的“屬性”命令，彈出VPN連接屬性對話框。選擇“安全”選項卡，在對應選項設置頁面中，將“要求數(shù)據(jù)加密(沒有就斷開)”選項取消選中即可。

第四檢查防火墻是否進行攔截。在VPN服務器開啟系統(tǒng)自帶防火墻的情況下，VPN連接可能會受到它的默認攔截，這時需要手工修改防火墻配置，讓其運行VPN連接數(shù)據(jù)包通行。具體配置操作為：依次單擊服務器系統(tǒng)桌面上的“開始”、“設置”、“網(wǎng)絡連接”選項，切換到網(wǎng)絡連接列表界面，打開本地連接圖標的右鍵菜單，點擊“屬性”命令，在其后彈出的本地連接屬性框中，選擇“高級”選項卡，單擊高級選項頁面中的“設置”按鈕，進入高級設置對話框，在“服務”標簽頁面中點擊“添加”按鈕。之后，在圖4所示的“計算機名稱或IP地址”位置處，輸入VPN服務器的IP地址，在“此服務的外部端口”位置處輸入“1723”，并將“TCP”協(xié)議選中，再在“此服務的內部端口”位置處也輸入“1723”，確認后返回即可。

圖5 TCP/IP協(xié)議框

圖6 服務的屬性設置

第五檢查網(wǎng)關配置是否正確。有的時候，用戶雖然與VPN服務器主機成功建立了連接，但是無法訪問除了VPN服務器之外的內網(wǎng)資源，這種問題明顯是網(wǎng)關配置不正確引起的。此時，可以先進入VPN服務器所在的主機系統(tǒng)，依次單擊“開始”、“程序”、“管理工具”、“路由和遠程訪問”選項，進入路由和遠程訪問控制臺界面，打開VPN服務器的屬性對話框，選擇“IP”標簽，選中對應標簽頁面中的“啟用IP路由”、“允許基于IP的遠程訪問和請求撥號連接”等選項，這樣終端計算機日后才能通過路由來尋找路徑。接著在VPN終端計算機系統(tǒng)中，打開VPN網(wǎng)絡連接屬性設置窗口，點擊“網(wǎng)絡”標簽，選中“Internet協(xié)議（TCP/IP）”選項，按下“屬性”按鈕，切換到TCP/IP屬性對話框，再打開TCP/IP協(xié)議高級屬性對話框。點擊“常規(guī)”標簽，選中該標簽頁面中的“在遠程網(wǎng)絡上使用默認網(wǎng)關”項目（如圖5所示），確認后保存設置操作即可。

管理已有VPN連接

當用戶要訪問VPN服務器資源時，需要先在終端計算機中創(chuàng)建好VPN網(wǎng)絡連接。不過，在實際工作中，有時會遇到VPN連接不能創(chuàng)建的現(xiàn)象，例如，創(chuàng)建向導框中無法選中“使用撥號或VPN連接”選項等。這種現(xiàn)象很可能是終端計算機中的Remote Access Connection Manager無法被意外關閉運行了，只要依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，執(zhí)行“services.msc”命令，展開系統(tǒng)服務列表窗口，雙擊其中的Remote Access Connection Manager服務選項，切換到對應服務的屬性設置對話框（如圖6所示），單擊“啟動”按鈕，將目標系統(tǒng)服務重新啟動運行正常，這樣我們就能成功創(chuàng)建VPN連接了。

在VPN連接已經建立完成的情況下，我們該如何管理已有的VPN連接呢？很簡單！只要依次點擊“開始”、“控制面板”、“網(wǎng)絡和共享中心”，在其后界面中就能對VPN連接進行管理了，其中包括對VPN連接執(zhí)行刪除操作、重命名操作，執(zhí)行快捷方式或副本創(chuàng)建操作，甚至還能調整連接的配置參數(shù)。要想將VPN連接直接放置到系統(tǒng)桌面上時，只要在“網(wǎng)絡連接”列表中，選擇特定的VPN連接，按下“創(chuàng)建快捷方式”按鈕，之后點擊“是”按鈕進行確認，就能在系統(tǒng)桌面上創(chuàng)建好VPN連接的快捷方式了。