巧設Windows 2008防火牆 控制VPN串連許可權

為了儘可能地降低組網費用，同時不能影響隨處工作的需求，某單位決定在區域網路的檔案伺服器中安裝配置VPN伺服器，這樣可以讓單位可信任員工隨時隨地通過VPN網路連接，訪問單位檔案伺服器中的重要資料內容，並且這種訪問方式安全性也能得到保證，可謂一舉兩得！最近，單位有一系列很重要的檔案存放在VPN伺服器中，單位領導希望這些檔案只能允許某個特定的員工通過VPN串連進行訪問，其他任何員工都無權訪問；面對這樣的訪問需求，我們該如何才能實現呢？其實，要實現上面的網路訪問目的，我們可以有多種方法可供選用；不過，在安裝了Windows Server 2008系統的VPN伺服器中，我們可以巧妙地使用該系統內建的進階安全防火牆，來實現更加靈活地控制！

實現思路

我們知道，只要在Windows Server 2008系統中安裝、配置好了VPN伺服器，那麼Internet網路中的任意一台VPN用戶端系統都能通過VPN伺服器中的“1723”連接埠，來訪問其中的資料內容了，很顯然我們只要能夠想辦法對VPN伺服器中的“1723”連接埠進行有效控制，就能實現僅讓指定員工有權訪問VPN伺服器中的重要檔案目的了。而Windows Server 2008系統恰好為我們提供了進階安全防火牆功能，通過該功能我們可以按照實際需要定義訪問VPN伺服器的入站規則、出站規則，並且這些規則允許我們對網路連接進行驗證操作，這麼一來我們就能很輕易地將VPN網路連接許可權授予單位特定的可信任員工了；甚至，我們還能設定訪問規則，僅讓指定的VPN用戶端系統訪問VPN伺服器，確保VPN伺服器中的重要資料資訊安全。

控制進入

為了僅讓使用指定帳號的使用者可以正常訪問VPN伺服器中的重要資料內容，我們可以授權特定帳號名稱進入VPN伺服器，並通過Windows Server 2008系統中的“1723”連接埠來進行資源訪問操作，下面就是具體的實現方法：

首先以系統管理員身份登入進入Windows Server 2008伺服器系統，依次單擊該系統案頭中的“開始”/“程式”/“管理工具”/“伺服器管理員”命令，在彈出的伺服器管理員視窗中依次點選“配置”/“進階安全防火牆”分支選項；

其次在目標分支選項下面單擊“入站規則”子項，在對應“入站規則”子項的右側“操作”列表地區中，單擊“新規則”按鈕，開啟建立新的入站規則嚮導對話方塊；

圖1 選擇協議連接埠

當嚮導視窗詢問我們要建立什麼類型的規則時，我們必須選中這裡的“連接埠”選項，以便讓Windows Server 2008伺服器系統對通過VPN串連連接埠的資料包進行身分識別驗證操作；選中“連接埠”選項後，單擊“下一步”按鈕，開啟如圖1所示的嚮導設定介面，再將該設定介面中的“TCP”協議選項選中，同時選中“特定本地連接埠”選項，然後在對應“特定本地連接埠”選項的文字框中輸入VPN伺服器預設使用的“1723”連接埠；

圖2 嚮導設定介面