讓VPN連接安全高效兩相宜

■

保護VPN連接安全

現在，很多單位的VPN服務器都是建立在Windows Server 2003系統“路由和遠程訪問”服務功能上的，在與該服務器建立VPN連接時，很容易遭遇來自Internet網絡的攻擊。為了保護VPN連接安全，我們可以采取下面的控制措施，為VPN終端計算機賦予最小的訪問權限，同時丟棄除合法數據包以外的其他信息。

圖1 IP篩選器添加

圖2 設置對話框

考慮到VPN終端計算機主要使用PPTP協議（點對點隧道協議）進行工作，我們首先要在VPN服務器中對PPTP輸入篩選器進行合適配置，僅讓合法VPN終端計算機進行入站通信，具體操作步驟為：依次點擊“開始”、“設置”、“控制面板”，在彈出的系統控制面板窗口中，逐一雙擊“管理工具”、“路由和遠程訪問”圖標，在其后界面中，將鼠標定位到“本地服務器站點名稱”、“IP路由選擇”、“常規”節點上，找到目標節點下的“本地連接”選項，用鼠標雙擊之切換到本地連接屬性對話框。按下常規標簽頁面中的“入站篩選器”按鈕，再單擊“新建”按鈕，切換到IP篩選器添加對話框（如圖1所示），選中“目標網絡”選項，激活IP地址和掩碼文本框，之后輸入VPN服務器的外網IP地址，同時將子網掩碼地址設置為“255.255.255.255”。在“協議”下拉列表中，選擇“TCP”協議，在“目標端口”位置處，輸入VPN服務器缺省使用的端口號碼“1723”，確認后返回入站篩選器設置對話框。

選中“丟棄所有的包，滿足下列條件的除外”選項，按下“新建”按鈕，彈出如圖2所示的設置對話框，選中“目標網絡”選項，在“IP地址”位置處輸入外部接口IP地址，同時將子網掩碼地址設置為“255.255.255.255”，將“協議”選擇為“其他”，并在“協議號”文本框中輸入“47”，確認后保存設置操作。

下面再對PPTP輸出篩選器進行合適配置，僅讓數據包到達合法VPN終端計算機，具體配置步驟為：先進入路由和遠程訪問控制臺界面，切換到外部接口屬性設置框，按下常規標簽頁面中的“出站篩選器”按鈕，在其后界面中點擊“新建”按鈕，彈出IP篩選器創建對話框。選中這里的“源網絡”選項，將“IP地址”設置為外部接口地址，將子網掩碼輸入為“255.255.255.255”，選擇協議為“TCP”，同時將“源端口”設定為“1723”，確認后返回到出站篩選器配置對話框。繼續選中“丟棄所有的包，滿足下列條件的除外”選項，打開“新建”對話框，選中“源網絡”選項，再將“IP地址”輸入為外部接口IP地址，將子網掩碼設置為“255.255.255.255”，在“協議”位置處選中“其他”選項，同時將“協議號”調整為“47”，確認后保存設置操作。經過上述設置操作后，VPN連接的安全性就能得到有效保證了。

保障VPN連接順利

在VPN終端計算機中創建好與VPN服務器的連接圖標后，有時會發現通過該連接圖標，并不能與VPN服務器順暢建立正常通信連接。遇到這種情況時，不妨進行如下檢查操作：

圖3 主機屬性對話框

圖4 本地連接屬性框

首先檢查遠程訪問權限是否開通。要是VPN服務器不允許用戶遠程訪問，那么在VPN終端計算機中不管怎么操作，VPN連接始終無法順利建立成功。在進行這項檢查操作時，首先打開VPN服務器的路由和遠程訪問控制臺界面，選中VPN服務器主機名稱，并用鼠標右鍵單擊之，執行右鍵菜單中的“屬性”命令，彈出目標主機屬性對話框。點擊“常規”選項卡，切換到如圖3所示的選項設置頁面，看看“遠程訪問服務器”選項有沒有被選中，當看到它沒有處于選中狀態時，那就表示VPN服務器沒有開放遠程接入權限，此時需要重新選中它，單擊“確定”按鈕執行設置保存操作。

其次檢查網絡訪問權限是否受限。在VPN服務器系統中，打開系統運行文本框，執行“gpedit.msc”命令，進入系統組策略控制臺界面。在該界面左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows 設 置”、“安 全設置”、“本地策略”、“用戶權限分配”節點上，雙擊該節點下的“從網絡訪問此計算機”組策略，在其后界面中看看VPN連接賬號名稱是否出現在其中，倘若沒有看到的話，應該單擊“添加用戶和組”按鈕，將相關用戶帳號名稱添加進來，確認后退出設置對話框。

第三檢查數據加密是否取消。有的時候，檢查VPN連接各項屬性參數后，發現所有配置都很正常，但偏偏就不能與單位的VPN服務器順暢建立正常通信連接。這種情況很可能是數據加密造成的，只要將數據加密取消選中即可。在VPN終端計算機中，打開網絡連接列表界面，找到“虛擬專用網絡”下的VPN連接，用鼠標右鍵點擊該連接圖標，執行右鍵菜單中的“屬性”命令，彈出VPN連接屬性對話框。選擇“安全”選項卡，在對應選項設置頁面中，將“要求數據加密(沒有就斷開)”選項取消選中即可。

第四檢查防火墻是否進行攔截。在VPN服務器開啟系統自帶防火墻的情況下，VPN連接可能會受到它的默認攔截，這時需要手工修改防火墻配置，讓其運行VPN連接數據包通行。具體配置操作為：依次單擊服務器系統桌面上的“開始”、“設置”、“網絡連接”選項，切換到網絡連接列表界面，打開本地連接圖標的右鍵菜單，點擊“屬性”命令，在其后彈出的本地連接屬性框中，選擇“高級”選項卡，單擊高級選項頁面中的“設置”按鈕，進入高級設置對話框，在“服務”標簽頁面中點擊“添加”按鈕。之后，在圖4所示的“計算機名稱或IP地址”位置處，輸入VPN服務器的IP地址，在“此服務的外部端口”位置處輸入“1723”，并將“TCP”協議選中，再在“此服務的內部端口”位置處也輸入“1723”，確認后返回即可。

圖5 TCP/IP協議框

圖6 服務的屬性設置

第五檢查網關配置是否正確。有的時候，用戶雖然與VPN服務器主機成功建立了連接，但是無法訪問除了VPN服務器之外的內網資源，這種問題明顯是網關配置不正確引起的。此時，可以先進入VPN服務器所在的主機系統，依次單擊“開始”、“程序”、“管理工具”、“路由和遠程訪問”選項，進入路由和遠程訪問控制臺界面，打開VPN服務器的屬性對話框，選擇“IP”標簽，選中對應標簽頁面中的“啟用IP路由”、“允許基于IP的遠程訪問和請求撥號連接”等選項，這樣終端計算機日后才能通過路由來尋找路徑。接著在VPN終端計算機系統中，打開VPN網絡連接屬性設置窗口，點擊“網絡”標簽，選中“Internet協議（TCP/IP）”選項，按下“屬性”按鈕，切換到TCP/IP屬性對話框，再打開TCP/IP協議高級屬性對話框。點擊“常規”標簽，選中該標簽頁面中的“在遠程網絡上使用默認網關”項目（如圖5所示），確認后保存設置操作即可。

管理已有VPN連接

當用戶要訪問VPN服務器資源時，需要先在終端計算機中創建好VPN網絡連接。不過，在實際工作中，有時會遇到VPN連接不能創建的現象，例如，創建向導框中無法選中“使用撥號或VPN連接”選項等。這種現象很可能是終端計算機中的Remote Access Connection Manager無法被意外關閉運行了，只要依次單擊“開始”、“運行”命令，彈出系統運行對話框，執行“services.msc”命令，展開系統服務列表窗口，雙擊其中的Remote Access Connection Manager服務選項，切換到對應服務的屬性設置對話框（如圖6所示），單擊“啟動”按鈕，將目標系統服務重新啟動運行正常，這樣我們就能成功創建VPN連接了。

在VPN連接已經建立完成的情況下，我們該如何管理已有的VPN連接呢？很簡單！只要依次點擊“開始”、“控制面板”、“網絡和共享中心”，在其后界面中就能對VPN連接進行管理了，其中包括對VPN連接執行刪除操作、重命名操作，執行快捷方式或副本創建操作，甚至還能調整連接的配置參數。要想將VPN連接直接放置到系統桌面上時，只要在“網絡連接”列表中，選擇特定的VPN連接，按下“創建快捷方式”按鈕，之后點擊“是”按鈕進行確認，就能在系統桌面上創建好VPN連接的快捷方式了。