手工營造安全通道

目前，不少單位內(nèi)網(wǎng)都部署有VPN服務(wù)器，為了能在Internet終端計(jì)算機(jī)系統(tǒng)和VPN服務(wù)器之間建立一條安全私密通道，我們必須為VPN終端計(jì)算機(jī)分配最小訪問權(quán)限，并將合法數(shù)據(jù)包以外的內(nèi)容丟棄掉。

圖1 IP篩選器添加設(shè)置框

由于大多終端系統(tǒng)一般使用PPTP協(xié)議進(jìn)行VPN連接，我們只要對(duì)VPN服務(wù)器的PPTP輸入、輸出篩選器進(jìn)行適當(dāng)設(shè)置，僅讓授權(quán)的終端系統(tǒng)進(jìn)行數(shù)據(jù)傳輸：先進(jìn)入VPN服務(wù)器所在主機(jī)系統(tǒng)的控制面板窗口，依次雙擊“管理工具”、“路由和遠(yuǎn)程訪問”，逐一展開其后界面中的“本地服務(wù)器站點(diǎn)名稱”、“IP路由選擇”、“常規(guī)”分支，選中指定分支下的“本地連接”選項(xiàng)，通過雙擊鼠標(biāo)方法進(jìn)入本地連接屬性框。在常規(guī)選項(xiàng)設(shè)置頁面中先后點(diǎn)擊“入站篩選器”、“新建”按鈕，展開如圖1所示的IP篩選器添加設(shè)置框，將“目標(biāo)網(wǎng)絡(luò)”選中，在IP地址、掩碼框位置處輸入VPN服務(wù)器所在主機(jī)IP地址，以及“255.255.255.255”這個(gè)子網(wǎng)掩碼地址，將“協(xié)議”設(shè)置為TCP，將“目標(biāo)端口”輸入為默認(rèn)的“1723”號(hào)碼，單擊“確定”按鈕后完成PPTP輸入篩選器配置操作，接著將“丟棄所有的包，滿足下列條件的除外”選中，單擊“新建”按鈕，選中其后界面中的“目標(biāo)網(wǎng)絡(luò)”選項(xiàng)，將VPN服務(wù)器所在主機(jī)IP地址正確填寫在“IP地址”文本框中，將子網(wǎng)掩碼輸入為“255.255.255.255”，將“協(xié)議”設(shè)置為“其他”，同時(shí)將“協(xié)議號(hào)”修改為“47”，單擊“確定”按鈕結(jié)束PPTP輸入篩選器配置操作。

下面再對(duì)PPTP輸出篩選器進(jìn)行合適配置，限制只有可信VPN終端系統(tǒng)才能接受到數(shù)據(jù)包，詳細(xì)操作為：打開路由和遠(yuǎn)程訪問管理窗口，在外部接口屬性對(duì)話框的常規(guī)選項(xiàng)頁面中，逐一點(diǎn)擊“出站篩選器”、“新建”按鈕，切換到IP篩選器創(chuàng)建設(shè)置框，選中“源網(wǎng)絡(luò)”選項(xiàng)，將“IP地址”輸入為VPN服務(wù)器所在主機(jī)IP地址（外部），將子網(wǎng)掩碼地址設(shè)置 為“255.255.255.255”，將“協(xié)議”選擇為TCP，將“源端口”輸入為“1723”，單擊“確定”按鈕返回出站篩選器設(shè)置框，將“丟棄所有的包，滿足下列條件的除外”選中，同時(shí)進(jìn)入新建對(duì)話框，選中“源網(wǎng)絡(luò)”選項(xiàng)，將“IP地址”設(shè)置為VPN服務(wù)器所在主機(jī)IP地址（外部），將子網(wǎng)掩碼輸入為“255.255.255.255”，將“協(xié)議”選擇為“其他”，將“協(xié)議號(hào)”輸入為“47”，單擊“確定”按鈕退出設(shè)置對(duì)話框。完成上述設(shè)置任務(wù)后，重要數(shù)據(jù)通過VPN連接進(jìn)行傳輸，就顯得非常安全了。

在配置好VPN服務(wù)器后，建議用戶在VPN終端計(jì)算機(jī)系統(tǒng)中，對(duì)VPN連接的安全屬性進(jìn)行修改，強(qiáng)制對(duì)使用該連接的數(shù)據(jù)執(zhí)行加密操作，確保重要數(shù)據(jù)傳輸更加安全。在VPN終端計(jì)算機(jī)中，依次單擊“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”命令，進(jìn)入網(wǎng)絡(luò)連接列表窗口，找到“虛擬專用網(wǎng)絡(luò)”下的VPN連接，用鼠標(biāo)右鍵點(diǎn)擊該連接圖標(biāo)，選擇快捷菜單中的“屬性”命令，展開VPN連接屬性設(shè)置框。點(diǎn)選“安全”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽設(shè)置頁面中，取消選中“要求數(shù)據(jù)加密(沒有就斷開)”選項(xiàng)，單擊“確定”按鈕保存設(shè)置即可。

外力營造安全通道

圖2 選中對(duì)應(yīng)選項(xiàng)設(shè)置區(qū)域中的“使用主密碼”選項(xiàng)

圖3 缺省狀態(tài)下內(nèi)部網(wǎng)址端口

為了防止惡意用戶通過網(wǎng)絡(luò)連接中途攔截重要數(shù)據(jù)，用戶也可以選擇使用“K-Secure VPN”外力工具，結(jié)合局域網(wǎng)中的防火墻系統(tǒng)，來保護(hù)重要數(shù)據(jù)的傳輸安全。這種方法的實(shí)現(xiàn)思路，就是分別在VPN終端計(jì)算機(jī)、VPN服務(wù)器系統(tǒng)中，安裝“K-Secure VPN”的客戶端、服務(wù)器端程序，日后終端系統(tǒng)傳輸數(shù)據(jù)時(shí)，會(huì)被“K-Secure VPN”的客戶端程序自動(dòng)加密壓縮才會(huì)在Internet網(wǎng)絡(luò)上傳輸，到達(dá)局域網(wǎng)經(jīng)過防火墻系統(tǒng)安全認(rèn)證后，“K-Secure VPN”服務(wù)器端程序會(huì)對(duì)接受到的數(shù)據(jù)智能解密和解壓縮操作，最后數(shù)據(jù)才會(huì)被安全傳輸?shù)侥繕?biāo)主機(jī)。同樣地，目標(biāo)主機(jī)將應(yīng)答數(shù)據(jù)回傳給VPN終端計(jì)算機(jī)時(shí)，也要經(jīng)過服務(wù)器端程序的加密、壓縮，客戶端程序的解密、解壓等環(huán)節(jié)。在整個(gè)數(shù)據(jù)傳輸過程中，惡意用戶即使竊取到了數(shù)據(jù)，也不能訪問其中的內(nèi)容。

在部署“K-Secure VPN”服務(wù)器的過程中，必須要選擇位于網(wǎng)絡(luò)防火墻背后，但處于局域網(wǎng)最前沿的一臺(tái)的主機(jī)，來作為VPN服務(wù)器，所有來自外網(wǎng)的數(shù)據(jù)都必須先通過它解密、解壓，才能傳輸?shù)骄钟蚓W(wǎng)內(nèi)部的其他計(jì)算機(jī)系統(tǒng)中。成功安裝好服務(wù)器端程序后，開啟它的運(yùn)行狀態(tài)，在主程序界面的工具欄中，單擊“選項(xiàng)”按鈕，選中對(duì)應(yīng)選項(xiàng)設(shè)置區(qū)域中的“使用主密碼”選項(xiàng)（如圖2所示），同時(shí)設(shè)置好主密碼內(nèi)容，確認(rèn)后返回。這樣，日后只有知道主密碼的用戶，才能進(jìn)入該程序的配置界面，修改安全規(guī)則和其他配置參數(shù)。

接著按下“K-Secure VPN服務(wù)端”選項(xiàng)對(duì)話框中的“服務(wù)端”按鈕，在其后界面中設(shè)置好VPN服務(wù)器的內(nèi)部網(wǎng)址端口與外部網(wǎng)址端口，缺省狀態(tài)下內(nèi)部網(wǎng)址端口使用“8371”號(hào)碼（如圖3所示），單擊“確定”按鈕后返回主程序界面的左側(cè)列表。值得注意的是，這里輸入的地址和端口一定要事先通過網(wǎng)絡(luò)防火墻的安全認(rèn)證才行，否則日后的VPN連接通信會(huì)受到防火墻的攔截。之后將鼠標(biāo)定位到“快速配置”節(jié)點(diǎn)上，將規(guī)則組名稱選擇為“VPN Group”，將“規(guī)則名”輸入為“VPN Rule”，同時(shí)將“啟用”選中（如圖4所示），激活當(dāng)前配置的規(guī)則。為了讓特定用戶才能使用剛才創(chuàng)建的規(guī)則，我們還需要在“用戶名”位置處輸入“VPN User”用戶名稱，在“連接密鑰”位置處單擊“重造密鑰”按鈕，獲取自動(dòng)創(chuàng)建的32位密鑰，日后通過VPN連接的重要數(shù)據(jù)會(huì)被該密鑰加密處理，惡意用戶中途竊取數(shù)據(jù)也不會(huì)查看到其中的內(nèi)容。

圖4 激活當(dāng)前配置的規(guī)則

為了保護(hù)VPN終端計(jì)算機(jī)系統(tǒng)中的每個(gè)網(wǎng)絡(luò)程序都能安全傳輸數(shù)據(jù)，建議在這里的“應(yīng)用程序客戶端”位置處，設(shè)置好最小網(wǎng)址、最小端口、最大網(wǎng)址、最大端口等參數(shù)。例如，可以將“最小網(wǎng)址”輸入為“0.0.0.0”，將“最大網(wǎng)址”輸入為“255.255.255.255”。而常見的網(wǎng)絡(luò)程序使用的端口號(hào)碼包括FTP程序的“21”端口， 郵件處理程序的“25”端口，瀏覽器程序使用的“80”端口等，所以，在這里可以將“最小端口”設(shè)置為“21”，將“最大端口”設(shè)置為“80”，這樣“K-Secure VPN”工具可以處理常見的網(wǎng)絡(luò)應(yīng)用程序發(fā)送出來的數(shù)據(jù)。當(dāng)然，在實(shí)際傳輸數(shù)據(jù)過程中，如果發(fā)現(xiàn)某個(gè)網(wǎng)絡(luò)程序無法與VPN服務(wù)器正常傳輸交流數(shù)據(jù)時(shí)，很可能是對(duì)應(yīng)程序使用的網(wǎng)絡(luò)端口沒有被“K-Secure VPN”工具放行，此時(shí)可以在DOS命令行窗口，使用“ipconfig/all”命令查詢特定程序使用的端口號(hào)碼，同時(shí)檢查該號(hào)碼是否位于最小端口與最大端口之間，如果沒有處于這個(gè)范圍時(shí)，必須要重新調(diào)整最大最小端口號(hào)碼。接著在“應(yīng)用程序服務(wù)器端”位置處，也要輸入合適的網(wǎng)址和端口號(hào)碼，例如可以輸入地址為“255.255.255.255”，輸 入端口為“80”，單擊“應(yīng)用”按鈕執(zhí)行規(guī)則保存設(shè)置操作。完成上述設(shè)置操作后，將鼠標(biāo)定位到主界面的“服務(wù)器狀態(tài)”節(jié)點(diǎn)上，單擊界面中的“啟動(dòng)VPN服務(wù)器端”按鈕，開啟“K-Secure VPN”工具服務(wù)器端的運(yùn)行狀態(tài)。

下面還需要在VPN終端計(jì)算機(jī)系統(tǒng)中安裝配置“K-Secure VPN”工具的客戶端程序。當(dāng)在終端計(jì)算機(jī)中成功安裝好“K-Secure VPN”客戶端程序后，按下主程序界面中的“連接”按鈕，可以輕松獲取到本地系統(tǒng)的網(wǎng)絡(luò)連接狀態(tài)信息，在確保網(wǎng)絡(luò)連接狀態(tài)正常后，點(diǎn)擊“服務(wù)端”按鈕，單擊設(shè)置區(qū)域中的“導(dǎo)入”按鈕，來快速添加事先制定好的VPN規(guī)則，以保證VPN終端計(jì)算機(jī)系統(tǒng)與服務(wù)器之間可以安全傳輸數(shù)據(jù)。當(dāng)然，為了快速準(zhǔn)確制定VPN規(guī)則，我們可以將服務(wù)器端的VPN規(guī)則直接拿來使用，不過這要求用戶事先需將服務(wù)器端的規(guī)則內(nèi)容導(dǎo)出保存為文件。例如，這里假設(shè)用戶已經(jīng)將服務(wù)器端的VPN規(guī)則文件導(dǎo)出保存為“111.kvr”文件，那么此時(shí)只要單擊界面中的“導(dǎo)入”按鈕，選擇服務(wù)器端事先導(dǎo)出的“111.kvr”文件，就能快速準(zhǔn)確完成VPN規(guī)則制定操作。結(jié)束上述配置操作后，按下“客戶端狀態(tài)”按鈕，點(diǎn)擊設(shè)置區(qū)域中的“啟動(dòng)VPN 客戶端”按鈕，開啟“K-Secure VPN”程序的客戶端運(yùn)行狀態(tài)，之后單擊“測試服務(wù)器連接”按鈕，開始檢測與VPN服務(wù)器的通信是否正常。如果測試一切正常的話，用戶就能在終端計(jì)算機(jī)系統(tǒng)中使用各種網(wǎng)絡(luò)應(yīng)用程序，與單位局域網(wǎng)中的VPN服務(wù)器進(jìn)行安全傳輸數(shù)據(jù)了。