VPN的解決方案就是在Internet上虛擬出一個(gè)局域網(wǎng),方便客戶端(企業(yè)員工)與服務(wù)器(公司)或者相互之間信息共享、傳遞、交流的需要。VPN 客戶端可以使用“點(diǎn)對(duì)點(diǎn)隧道協(xié)議”(PPTP)、 “第二層隧道協(xié)議”(L2TP) 和“IP 安全”(IPSec)來(lái)創(chuàng)建一個(gè)通往基于 Windows Server 2003 的“路由和遠(yuǎn)程訪問(wèn)”服務(wù)VPN服務(wù)器的安全隧道,這樣,客戶端就變成了專用網(wǎng)絡(luò)上的一個(gè)遠(yuǎn)程節(jié)點(diǎn)。
VPN的安全威脅就來(lái)自這條線路之外,即Internet。那如何來(lái)加固VPN,使它免受來(lái)自外部的攻擊呢?為VPN服務(wù)器配置PPTP數(shù)據(jù)包篩選器,是個(gè)比較有效的辦法。其原則是,賦予接入VPN的客戶端最少特權(quán),并且丟棄除明確允許的數(shù)據(jù)包以外的其它所有數(shù)據(jù)包。
一、配置PPTP輸入篩選器
配置PPTP輸入篩選器,其目的是只允許來(lái)自PPTP VPN客戶端的入站通信,操作如下:
第一步:依次執(zhí)行“開(kāi)始→程序→管理工具”,打開(kāi)“路由和遠(yuǎn)程訪問(wèn)”窗口。在其控制臺(tái)的左側(cè)窗口依次展開(kāi)“服務(wù)器名(本地)→IP路由選擇”,然后單擊“常規(guī)”在右側(cè)窗格中雙擊“本地連接”,打開(kāi)“本地連接屬性”對(duì)話框。(圖1)
第二步:在“常規(guī)”選項(xiàng)卡中單擊“入站篩選器”,然在打開(kāi)的“入站篩選器”對(duì)話框中點(diǎn)擊“新建”按鈕,打開(kāi)“添加IP篩選器”對(duì)話框。勾選“目標(biāo)網(wǎng)絡(luò)”復(fù)選框,在“IP地址”編輯框中鍵入該外部接口的IP地址,在“子網(wǎng)掩碼”編輯框中鍵入“255.255.255.255”,在“協(xié)議”框下拉菜單中選中“TCP”協(xié)議,在彈出的“目標(biāo)端口”框中鍵入端口號(hào)“1723”,然后單擊“確定”按鈕。(圖2)
第三步:回到“入站篩選器”對(duì)話框,點(diǎn)選“丟棄所有的包,滿足下列條件的除外”單選框,如圖3。然后反單擊“新建”按鈕,勾選“目標(biāo)網(wǎng)絡(luò)”復(fù)選框。在“IP地址”編輯框中鍵入該外部接口的IP地址,在“子網(wǎng)掩碼”編輯框中鍵入“255.255.255.255”,在“協(xié)議”框下拉菜單中選中“其他”,在“在協(xié)議號(hào)”框中鍵入“47”,如圖4,最后依次單擊“確定”按鈕完成設(shè)置。(圖3)(圖4)
二、配置PPTP輸出篩選器
配置PPTP輸出篩選器,其目的是只允許到達(dá)PPTP VPN客戶端的出站通信,操作如下:
第一步:在“路由和遠(yuǎn)程訪問(wèn)”窗口打開(kāi)外部接口屬性對(duì)話框,然后在“常規(guī)”選項(xiàng)卡中單擊“出站篩選器”按鈕,在打開(kāi)的“出站篩選器”窗口中單擊“新建”按鈕,打開(kāi)“添加IP篩選器”對(duì)話框。勾選 “源網(wǎng)絡(luò)”復(fù)選框,在“IP地址”編輯框中鍵入該外部接口的IP地址,子網(wǎng)掩碼為“255.255.255.255”,指定協(xié)議為“TCP”,并指定“源端口”號(hào)為“1723”,單擊“確定”按鈕。(圖5)
第二步:回到“出站篩選器”對(duì)話框,點(diǎn)選“丟棄所有的包,滿足下列條件的除外”單選框。然后單擊“新建”按鈕,勾選“源網(wǎng)絡(luò)”復(fù)選框。在“IP地址”編輯框中鍵入該外部接口的IP地址,“子網(wǎng)掩碼”為“255.255.255.255”,在“協(xié)議”框下拉菜單中選中“其他”,指定“協(xié)議號(hào)”為“47”,最后依次單擊“確定”按鈕完成設(shè)置,如圖6。(圖6)
提示:“1723”端口是VPN服務(wù)器默認(rèn)使用的端口,而“47”則代表TCP協(xié)議。
完成上述設(shè)置后,就只有那些基于PPTP的VPN客戶端可以訪問(wèn)VPN服務(wù)器的外部接口了,這樣就極大地加固了VPN的安全性。
