為了儘可能地降低組網費用,同時不能影響隨處工作的需求,某單位決定在區域網路的檔案伺服器中安裝配置VPN伺服器,這樣可以讓單位可信任員工隨時隨地通過VPN網路連接,訪問單位檔案伺服器中的重要資料內容,並且這種訪問方式安全性也能得到保證,可謂一舉兩得!最近,單位有一系列很重要的檔案存放在VPN伺服器中,單位領導希望這些檔案只能允許某個特定的員工通過VPN串連進行訪問,其他任何員工都無權訪問;面對這樣的訪問需求,我們該如何才能實現呢?其實,要實現上面的網路訪問目的,我們可以有多種方法可供選用;不過,在安裝了Windows Server 2008系統的VPN伺服器中,我們可以巧妙地使用該系統內建的進階安全防火牆,來實現更加靈活地控制!
實現思路
我們知道,只要在Windows Server 2008系統中安裝、配置好了VPN伺服器,那麼Internet網路中的任意一台VPN用戶端系統都能通過VPN伺服器中的“1723”連接埠,來訪問其中的資料內容了,很顯然我們只要能夠想辦法對VPN伺服器中的“1723”連接埠進行有效控制,就能實現僅讓指定員工有權訪問VPN伺服器中的重要檔案目的了。而Windows Server 2008系統恰好為我們提供了進階安全防火牆功能,通過該功能我們可以按照實際需要定義訪問VPN伺服器的入站規則、出站規則,並且這些規則允許我們對網路連接進行驗證操作,這麼一來我們就能很輕易地將VPN網路連接許可權授予單位特定的可信任員工了;甚至,我們還能設定訪問規則,僅讓指定的VPN用戶端系統訪問VPN伺服器,確保VPN伺服器中的重要資料資訊安全。
控制進入
為了僅讓使用指定帳號的使用者可以正常訪問VPN伺服器中的重要資料內容,我們可以授權特定帳號名稱進入VPN伺服器,並通過Windows Server 2008系統中的“1723”連接埠來進行資源訪問操作,下面就是具體的實現方法:
首先以系統管理員身份登入進入Windows Server 2008伺服器系統,依次單擊該系統案頭中的“開始”/“程式”/“管理工具”/“伺服器管理員”命令,在彈出的伺服器管理員視窗中依次點選“配置”/“進階安全防火牆”分支選項;
其次在目標分支選項下面單擊“入站規則”子項,在對應“入站規則”子項的右側“操作”列表地區中,單擊“新規則”按鈕,開啟建立新的入站規則嚮導對話方塊;
圖1 選擇協議連接埠
當嚮導視窗詢問我們要建立什麼類型的規則時,我們必須選中這裡的“連接埠”選項,以便讓Windows Server 2008伺服器系統對通過VPN串連連接埠的資料包進行身分識別驗證操作;選中“連接埠”選項後,單擊“下一步”按鈕,開啟如圖1所示的嚮導設定介面,再將該設定介面中的“TCP”協議選項選中,同時選中“特定本地連接埠”選項,然後在對應“特定本地連接埠”選項的文字框中輸入VPN伺服器預設使用的“1723”連接埠;
圖2 嚮導設定介面