概要
本文介紹了如何為 PPTP VPN 客戶端配置數(shù)據(jù)包篩選器支持。
Windows Server 2003“路由和遠(yuǎn)程訪問”服務(wù)支持虛擬專用網(wǎng)絡(luò) (VPN)。VPN 客戶端可以使用“點(diǎn)對(duì)點(diǎn)隧道協(xié)議”(PPTP)、 “第二層隧道協(xié)議”(L2TP) 和“IP 安全”(IPSec)來創(chuàng)建一個(gè)通往基于 Windows Server 2003 的“路由和遠(yuǎn)程訪問”服務(wù) VPN 服務(wù)器的安全隧道。通過這種方法,客戶端就變成了專用網(wǎng)絡(luò)上的一個(gè)遠(yuǎn)程節(jié)點(diǎn)。
具有直接連接 Internet 的外部接口的多主機(jī)“路由和遠(yuǎn)程訪問”服務(wù) VPN 服務(wù)器可以利用數(shù)據(jù)包篩選來保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部的攻擊。在安全環(huán)境中配置數(shù)據(jù)包篩選器的最佳方式是使用最少特權(quán) 原則:丟棄除明確允許的數(shù)據(jù)包以外的其它所有數(shù)據(jù)包。
如何配置 PPTP 篩選器以允許 PPTP VPN 客戶端的通信PPTP 是一種常用的 VPN 協(xié)議,因?yàn)樗馨踩乙子谠O(shè)置。在純 Microsoft 環(huán)境和混合環(huán)境中,您都可以很容易地部署 PPTP。您可以通過使用數(shù)據(jù)包篩選器將基于Windows Server 2003 的“路由和遠(yuǎn)程訪問”服務(wù) VPN 服務(wù)器配置為丟棄非 PPTP 數(shù)據(jù)包。
如何配置 PPTP 輸入篩選器以允許來自 PPTP VPN 客戶端的入站通信單擊開始,指向程序,指向管理工具,然后單擊“路由和遠(yuǎn)程訪問”。
在“路由和遠(yuǎn)程訪問”控制臺(tái)的左窗格,展開服務(wù)器,然后展開IP 路由。
單擊常規(guī),右鍵單擊該外部接口,然后單擊屬性。
單擊常規(guī)選項(xiàng)卡,單擊入站篩選器,然后單擊新建。
單擊“目標(biāo)網(wǎng)絡(luò)”復(fù)選框,將其選中,然后在“IP 地址”框中,鍵入該外部接口的IP 地址。在“子網(wǎng)掩碼”框中,鍵入 255.255.255.255。
在協(xié)議框中,單擊TCP。在“目標(biāo)端口”框中,鍵入 1723,然后單擊確定。
單擊“丟棄所有的包,滿足下面條件的除外”。
單擊新建。
單擊“目標(biāo)網(wǎng)絡(luò)”復(fù)選框,將其選中。在“IP 地址”框中,鍵入外部接口的 IP 地址。
在“子網(wǎng)掩碼”框中,鍵入 255.255.255.255。
在協(xié)議 框中,單擊其他。在“協(xié)議號(hào)”框中,鍵入 47,然后單擊兩次確定。
如何配置 PPTP 輸出篩選器以允許到達(dá) PPTP VPN 客戶端的出站通信
單擊開始,指向程序,指向管理工具,然后單擊“路由和遠(yuǎn)程訪問”。
在“路由和遠(yuǎn)程訪問”控制臺(tái)的左窗格中,展開您的服務(wù)器,然后展開IP 路由。
單擊常規(guī),右鍵單擊外部接口,然后單擊屬性。
單擊常規(guī) 選項(xiàng)卡,單擊出站篩選器,然后單擊新建。
單擊“源網(wǎng)絡(luò)”復(fù)選框,將其選中。在“IP 地址”框中,鍵入外部接口的 IP 地址。在“子網(wǎng)掩碼”框中,鍵入 255.255.255.255。在協(xié)議 框中,單擊 TCP。在“源端口框中,鍵入 1723,然后單擊確定。
單擊“丟棄所有的包,滿足下面條件的除外”選項(xiàng)。
單擊“源網(wǎng)絡(luò)”復(fù)選框,將其選中。在“IP 地址”框中,鍵入外部接口的 IP 地址。在協(xié)議 框中,單擊其他。在“協(xié)議號(hào)”框中,鍵入 47,然后單擊兩次確定 。
備注:完成這些更改之后,就只有 PPTP 通信可以進(jìn)出“路由和遠(yuǎn)程訪問”服務(wù) VPN 服務(wù)器的外部接口了。這些篩選器支持與那些向“路由和遠(yuǎn)程訪問”服務(wù) VPN 服務(wù)器發(fā)出入站調(diào)用的 PPTP VPN 客戶端進(jìn)行通信。
