為數據營造安全通道

手工營造安全通道

目前，不少單位內網都部署有VPN服務器，為了能在Internet終端計算機系統和VPN服務器之間建立一條安全私密通道，我們必須為VPN終端計算機分配最小訪問權限，并將合法數據包以外的內容丟棄掉。

圖1 IP篩選器添加設置框

由于大多終端系統一般使用PPTP協議進行VPN連接，我們只要對VPN服務器的PPTP輸入、輸出篩選器進行適當設置，僅讓授權的終端系統進行數據傳輸：先進入VPN服務器所在主機系統的控制面板窗口，依次雙擊“管理工具”、“路由和遠程訪問”，逐一展開其后界面中的“本地服務器站點名稱”、“IP路由選擇”、“常規”分支，選中指定分支下的“本地連接”選項，通過雙擊鼠標方法進入本地連接屬性框。在常規選項設置頁面中先后點擊“入站篩選器”、“新建”按鈕，展開如圖1所示的IP篩選器添加設置框，將“目標網絡”選中，在IP地址、掩碼框位置處輸入VPN服務器所在主機IP地址，以及“255.255.255.255”這個子網掩碼地址，將“協議”設置為TCP，將“目標端口”輸入為默認的“1723”號碼，單擊“確定”按鈕后完成PPTP輸入篩選器配置操作，接著將“丟棄所有的包，滿足下列條件的除外”選中，單擊“新建”按鈕，選中其后界面中的“目標網絡”選項，將VPN服務器所在主機IP地址正確填寫在“IP地址”文本框中，將子網掩碼輸入為“255.255.255.255”，將“協議”設置為“其他”，同時將“協議號”修改為“47”，單擊“確定”按鈕結束PPTP輸入篩選器配置操作。

下面再對PPTP輸出篩選器進行合適配置，限制只有可信VPN終端系統才能接受到數據包，詳細操作為：打開路由和遠程訪問管理窗口，在外部接口屬性對話框的常規選項頁面中，逐一點擊“出站篩選器”、“新建”按鈕，切換到IP篩選器創建設置框，選中“源網絡”選項，將“IP地址”輸入為VPN服務器所在主機IP地址（外部），將子網掩碼地址設置 為“255.255.255.255”，將“協議”選擇為TCP，將“源端口”輸入為“1723”，單擊“確定”按鈕返回出站篩選器設置框，將“丟棄所有的包，滿足下列條件的除外”選中，同時進入新建對話框，選中“源網絡”選項，將“IP地址”設置為VPN服務器所在主機IP地址（外部），將子網掩碼輸入為“255.255.255.255”，將“協議”選擇為“其他”，將“協議號”輸入為“47”，單擊“確定”按鈕退出設置對話框。完成上述設置任務后，重要數據通過VPN連接進行傳輸，就顯得非常安全了。

在配置好VPN服務器后，建議用戶在VPN終端計算機系統中，對VPN連接的安全屬性進行修改，強制對使用該連接的數據執行加密操作，確保重要數據傳輸更加安全。在VPN終端計算機中，依次單擊“開始”、“設置”、“網絡連接”命令，進入網絡連接列表窗口，找到“虛擬專用網絡”下的VPN連接，用鼠標右鍵點擊該連接圖標，選擇快捷菜單中的“屬性”命令，展開VPN連接屬性設置框。點選“安全”標簽，在對應標簽設置頁面中，取消選中“要求數據加密(沒有就斷開)”選項，單擊“確定”按鈕保存設置即可。

外力營造安全通道

圖2 選中對應選項設置區域中的“使用主密碼”選項

圖3 缺省狀態下內部網址端口

為了防止惡意用戶通過網絡連接中途攔截重要數據，用戶也可以選擇使用“K-Secure VPN”外力工具，結合局域網中的防火墻系統，來保護重要數據的傳輸安全。這種方法的實現思路，就是分別在VPN終端計算機、VPN服務器系統中，安裝“K-Secure VPN”的客戶端、服務器端程序，日后終端系統傳輸數據時，會被“K-Secure VPN”的客戶端程序自動加密壓縮才會在Internet網絡上傳輸，到達局域網經過防火墻系統安全認證后，“K-Secure VPN”服務器端程序會對接受到的數據智能解密和解壓縮操作，最后數據才會被安全傳輸到目標主機。同樣地，目標主機將應答數據回傳給VPN終端計算機時，也要經過服務器端程序的加密、壓縮，客戶端程序的解密、解壓等環節。在整個數據傳輸過程中，惡意用戶即使竊取到了數據，也不能訪問其中的內容。

在部署“K-Secure VPN”服務器的過程中，必須要選擇位于網絡防火墻背后，但處于局域網最前沿的一臺的主機，來作為VPN服務器，所有來自外網的數據都必須先通過它解密、解壓，才能傳輸到局域網內部的其他計算機系統中。成功安裝好服務器端程序后，開啟它的運行狀態，在主程序界面的工具欄中，單擊“選項”按鈕，選中對應選項設置區域中的“使用主密碼”選項（如圖2所示），同時設置好主密碼內容，確認后返回。這樣，日后只有知道主密碼的用戶，才能進入該程序的配置界面，修改安全規則和其他配置參數。

接著按下“K-Secure VPN服務端”選項對話框中的“服務端”按鈕，在其后界面中設置好VPN服務器的內部網址端口與外部網址端口，缺省狀態下內部網址端口使用“8371”號碼（如圖3所示），單擊“確定”按鈕后返回主程序界面的左側列表。值得注意的是，這里輸入的地址和端口一定要事先通過網絡防火墻的安全認證才行，否則日后的VPN連接通信會受到防火墻的攔截。之后將鼠標定位到“快速配置”節點上，將規則組名稱選擇為“VPN Group”，將“規則名”輸入為“VPN Rule”，同時將“啟用”選中（如圖4所示），激活當前配置的規則。為了讓特定用戶才能使用剛才創建的規則，我們還需要在“用戶名”位置處輸入“VPN User”用戶名稱，在“連接密鑰”位置處單擊“重造密鑰”按鈕，獲取自動創建的32位密鑰，日后通過VPN連接的重要數據會被該密鑰加密處理，惡意用戶中途竊取數據也不會查看到其中的內容。

圖4 激活當前配置的規則

為了保護VPN終端計算機系統中的每個網絡程序都能安全傳輸數據，建議在這里的“應用程序客戶端”位置處，設置好最小網址、最小端口、最大網址、最大端口等參數。例如，可以將“最小網址”輸入為“0.0.0.0”，將“最大網址”輸入為“255.255.255.255”。而常見的網絡程序使用的端口號碼包括FTP程序的“21”端口， 郵件處理程序的“25”端口，瀏覽器程序使用的“80”端口等，所以，在這里可以將“最小端口”設置為“21”，將“最大端口”設置為“80”，這樣“K-Secure VPN”工具可以處理常見的網絡應用程序發送出來的數據。當然，在實際傳輸數據過程中，如果發現某個網絡程序無法與VPN服務器正常傳輸交流數據時，很可能是對應程序使用的網絡端口沒有被“K-Secure VPN”工具放行，此時可以在DOS命令行窗口，使用“ipconfig/all”命令查詢特定程序使用的端口號碼，同時檢查該號碼是否位于最小端口與最大端口之間，如果沒有處于這個范圍時，必須要重新調整最大最小端口號碼。接著在“應用程序服務器端”位置處，也要輸入合適的網址和端口號碼，例如可以輸入地址為“255.255.255.255”，輸 入端口為“80”，單擊“應用”按鈕執行規則保存設置操作。完成上述設置操作后，將鼠標定位到主界面的“服務器狀態”節點上，單擊界面中的“啟動VPN服務器端”按鈕，開啟“K-Secure VPN”工具服務器端的運行狀態。

下面還需要在VPN終端計算機系統中安裝配置“K-Secure VPN”工具的客戶端程序。當在終端計算機中成功安裝好“K-Secure VPN”客戶端程序后，按下主程序界面中的“連接”按鈕，可以輕松獲取到本地系統的網絡連接狀態信息，在確保網絡連接狀態正常后，點擊“服務端”按鈕，單擊設置區域中的“導入”按鈕，來快速添加事先制定好的VPN規則，以保證VPN終端計算機系統與服務器之間可以安全傳輸數據。當然，為了快速準確制定VPN規則，我們可以將服務器端的VPN規則直接拿來使用，不過這要求用戶事先需將服務器端的規則內容導出保存為文件。例如，這里假設用戶已經將服務器端的VPN規則文件導出保存為“111.kvr”文件，那么此時只要單擊界面中的“導入”按鈕，選擇服務器端事先導出的“111.kvr”文件，就能快速準確完成VPN規則制定操作。結束上述配置操作后，按下“客戶端狀態”按鈕，點擊設置區域中的“啟動VPN 客戶端”按鈕，開啟“K-Secure VPN”程序的客戶端運行狀態，之后單擊“測試服務器連接”按鈕，開始檢測與VPN服務器的通信是否正常。如果測試一切正常的話，用戶就能在終端計算機系統中使用各種網絡應用程序，與單位局域網中的VPN服務器進行安全傳輸數據了。