概要
本文介紹了如何為 PPTP VPN 客戶端配置數(shù)據(jù)包篩選器支持。
Windows Server 2003“路由和遠(yuǎn)程訪問(wèn)”服務(wù)支持虛擬專用網(wǎng)絡(luò) (VPN)。VPN 客戶端可以使用“點(diǎn)對(duì)點(diǎn)隧道協(xié)議”(PPTP)、 “第二層隧道協(xié)議”(L2TP) 和“IP 安全”(IPSec)來(lái)創(chuàng)建一個(gè)通往基于 Windows Server 2003 的“路由和遠(yuǎn)程訪問(wèn)”服務(wù) VPN 服務(wù)器的安全隧道。通過(guò)這種方法,客戶端就變成了專用網(wǎng)絡(luò)上的一個(gè)遠(yuǎn)程節(jié)點(diǎn)。
具有直接連接 Internet 的外部接口的多主機(jī)“路由和遠(yuǎn)程訪問(wèn)”服務(wù) VPN 服務(wù)器可以利用數(shù)據(jù)包篩選來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部的攻擊。在安全環(huán)境中配置數(shù)據(jù)包篩選器的最佳方式是使用最少特權(quán) 原則:丟棄除明確允許的數(shù)據(jù)包以外的其它所有數(shù)據(jù)包。
如何配置 PPTP 篩選器以允許 PPTP VPN 客戶端的通信PPTP 是一種常用的 VPN 協(xié)議,因?yàn)樗馨踩乙子谠O(shè)置。在純 Microsoft 環(huán)境和混合環(huán)境中,您都可以很容易地部署 PPTP。您可以通過(guò)使用數(shù)據(jù)包篩選器將基于Windows Server 2003 的“路由和遠(yuǎn)程訪問(wèn)”服務(wù) VPN 服務(wù)器配置為丟棄非 PPTP 數(shù)據(jù)包。
如何配置 PPTP 輸入篩選器以允許來(lái)自 PPTP VPN 客戶端的入站通信單擊開(kāi)始,指向程序,指向管理工具,然后單擊“路由和遠(yuǎn)程訪問(wèn)”。
在“路由和遠(yuǎn)程訪問(wèn)”控制臺(tái)的左窗格,展開(kāi)服務(wù)器,然后展開(kāi)IP 路由。
單擊常規(guī),右鍵單擊該外部接口,然后單擊屬性。
單擊常規(guī)選項(xiàng)卡,單擊入站篩選器,然后單擊新建。
單擊“目標(biāo)網(wǎng)絡(luò)”復(fù)選框,將其選中,然后在“IP 地址”框中,鍵入該外部接口的IP 地址。在“子網(wǎng)掩碼”框中,鍵入 255.255.255.255。
在協(xié)議框中,單擊TCP。在“目標(biāo)端口”框中,鍵入 1723,然后單擊確定。
單擊“丟棄所有的包,滿足下面條件的除外”。
單擊新建。
單擊“目標(biāo)網(wǎng)絡(luò)”復(fù)選框,將其選中。在“IP 地址”框中,鍵入外部接口的 IP 地址。
在“子網(wǎng)掩碼”框中,鍵入 255.255.255.255。
在協(xié)議 框中,單擊其他。在“協(xié)議號(hào)”框中,鍵入 47,然后單擊兩次確定。
如何配置 PPTP 輸出篩選器以允許到達(dá) PPTP VPN 客戶端的出站通信
單擊開(kāi)始,指向程序,指向管理工具,然后單擊“路由和遠(yuǎn)程訪問(wèn)”。
在“路由和遠(yuǎn)程訪問(wèn)”控制臺(tái)的左窗格中,展開(kāi)您的服務(wù)器,然后展開(kāi)IP 路由。
單擊常規(guī),右鍵單擊外部接口,然后單擊屬性。
單擊常規(guī) 選項(xiàng)卡,單擊出站篩選器,然后單擊新建。
單擊“源網(wǎng)絡(luò)”復(fù)選框,將其選中。在“IP 地址”框中,鍵入外部接口的 IP 地址。在“子網(wǎng)掩碼”框中,鍵入 255.255.255.255。在協(xié)議 框中,單擊 TCP。在“源端口框中,鍵入 1723,然后單擊確定。
單擊“丟棄所有的包,滿足下面條件的除外”選項(xiàng)。
單擊“源網(wǎng)絡(luò)”復(fù)選框,將其選中。在“IP 地址”框中,鍵入外部接口的 IP 地址。在協(xié)議 框中,單擊其他。在“協(xié)議號(hào)”框中,鍵入 47,然后單擊兩次確定 。
備注:完成這些更改之后,就只有 PPTP 通信可以進(jìn)出“路由和遠(yuǎn)程訪問(wèn)”服務(wù) VPN 服務(wù)器的外部接口了。這些篩選器支持與那些向“路由和遠(yuǎn)程訪問(wèn)”服務(wù) VPN 服務(wù)器發(fā)出入站調(diào)用的 PPTP VPN 客戶端進(jìn)行通信。
