VPN的解決方案就是在Internet上虛擬出一個局域網,方便客戶端(企業(yè)員工)與服務器(公司)或者相互之間信息共享、傳遞、交流的需要。VPN 客戶端可以使用“點對點隧道協(xié)議”(PPTP)、 “第二層隧道協(xié)議”(L2TP) 和“IP 安全”(IPSec)來創(chuàng)建一個通往基于 Windows Server 2003 的“路由和遠程訪問”服務VPN服務器的安全隧道,這樣,客戶端就變成了專用網絡上的一個遠程節(jié)點。
VPN的安全威脅就來自這條線路之外,即Internet。那如何來加固VPN,使它免受來自外部的攻擊呢?為VPN服務器配置PPTP數據包篩選器,是個比較有效的辦法。其原則是,賦予接入VPN的客戶端最少特權,并且丟棄除明確允許的數據包以外的其它所有數據包。
一、配置PPTP輸入篩選器
配置PPTP輸入篩選器,其目的是只允許來自PPTP VPN客戶端的入站通信,操作如下:
第一步:依次執(zhí)行“開始→程序→管理工具”,打開“路由和遠程訪問”窗口。在其控制臺的左側窗口依次展開“服務器名(本地)→IP路由選擇”,然后單擊“常規(guī)”在右側窗格中雙擊“本地連接”,打開“本地連接屬性”對話框。(圖1)
第二步:在“常規(guī)”選項卡中單擊“入站篩選器”,然在打開的“入站篩選器”對話框中點擊“新建”按鈕,打開“添加IP篩選器”對話框。勾選“目標網絡”復選框,在“IP地址”編輯框中鍵入該外部接口的IP地址,在“子網掩碼”編輯框中鍵入“255.255.255.255”,在“協(xié)議”框下拉菜單中選中“TCP”協(xié)議,在彈出的“目標端口”框中鍵入端口號“1723”,然后單擊“確定”按鈕。(圖2)
第三步:回到“入站篩選器”對話框,點選“丟棄所有的包,滿足下列條件的除外”單選框,如圖3。然后反單擊“新建”按鈕,勾選“目標網絡”復選框。在“IP地址”編輯框中鍵入該外部接口的IP地址,在“子網掩碼”編輯框中鍵入“255.255.255.255”,在“協(xié)議”框下拉菜單中選中“其他”,在“在協(xié)議號”框中鍵入“47”,如圖4,最后依次單擊“確定”按鈕完成設置。(圖3)(圖4)
二、配置PPTP輸出篩選器
配置PPTP輸出篩選器,其目的是只允許到達PPTP VPN客戶端的出站通信,操作如下:
第一步:在“路由和遠程訪問”窗口打開外部接口屬性對話框,然后在“常規(guī)”選項卡中單擊“出站篩選器”按鈕,在打開的“出站篩選器”窗口中單擊“新建”按鈕,打開“添加IP篩選器”對話框。勾選 “源網絡”復選框,在“IP地址”編輯框中鍵入該外部接口的IP地址,子網掩碼為“255.255.255.255”,指定協(xié)議為“TCP”,并指定“源端口”號為“1723”,單擊“確定”按鈕。(圖5)
第二步:回到“出站篩選器”對話框,點選“丟棄所有的包,滿足下列條件的除外”單選框。然后單擊“新建”按鈕,勾選“源網絡”復選框。在“IP地址”編輯框中鍵入該外部接口的IP地址,“子網掩碼”為“255.255.255.255”,在“協(xié)議”框下拉菜單中選中“其他”,指定“協(xié)議號”為“47”,最后依次單擊“確定”按鈕完成設置,如圖6。(圖6)
提示:“1723”端口是VPN服務器默認使用的端口,而“47”則代表TCP協(xié)議。
完成上述設置后,就只有那些基于PPTP的VPN客戶端可以訪問VPN服務器的外部接口了,這樣就極大地加固了VPN的安全性。
