適應資訊化和移動辦公的需要,很多企業都部署了VPN伺服器。 而採用基於Windows Server 2003的「路由和遠端存取」服務搭建的VPN(Virtual Private Network,虛擬私人網路絡)不失為一種安全、方便的遠端存取解決方案,也是當前大多數中小型企業的首選。 那如何保證VPN的安全就成了企業CIO需要面對的問題。
VPN的解決方案就是在Internet上虛擬出一個局域網,方便用戶端(企業員工)與伺服器(公司)或者相互之間資訊共用、傳遞、交流的需要。 VPN 用戶端可以使用「點對點通道通訊協定」(PPTP)、 「第二層隧道協定」(L2TP) 和「IP 安全」(IPSec)來創建一個通往基於 Windows Server 2003 的「路由和遠端存取」服務VPN伺服器的安全隧道,這樣, 用戶端就變成了私人網路絡上的一個遠端節點。
VPN的安全威脅就來自這條線路之外,即Internet。 那如何來加固VPN,使它免受來自外部的攻擊呢?為VPN伺服器配置PPTP資料包篩選器,是個比較有效的辦法。 其原則是,賦予接入VPN的用戶端最少特權,並且丟棄除明確允許的資料包以外的其它所有資料包。
一、配置PPTP輸入篩選器
配置PPTP輸入篩選器,其目的是只允許來自PPTP VPN用戶端的入站通信,操作如下:
第一步:依次執行「開始→程式→管理工具」,打開「路由和遠端存取」視窗。 在其主控台的左側視窗依次展開「伺服器名(本地)→IP路由選擇」,然後按一下「常規」在右側窗格中按兩下「本地連接」,打開「本地連接屬性」對話方塊。
第二步:在「常規」選項卡中按一下「入站篩選器」,然在打開的「入站篩選器」對話方塊中點擊「新建」按鈕,打開「添加IP篩選器」對話方塊。 勾選「目標網路」核取方塊,在「IP位址」編輯方塊中鍵入該外部介面的IP位址,在「子網路遮罩」編輯方塊中鍵入「255.255.255.255」,在「協定」框下拉式功能表中選中「TCP」協定,在彈出的「目標埠」框中鍵入埠號「1723 」,然後按一下「確定」按鈕。
第三步:回到「入站篩選器」對話方塊,點選「丟棄所有的包,滿足下列條件的除外」單選框,然後反按一下「新建」按鈕,勾選「目標網路」核取方塊。 在「IP位址」編輯方塊中鍵入該外部介面的IP位址,在「子網路遮罩」編輯方塊中鍵入「255.255.255.255」,在「協定」框下拉式功能表中選中「其他」,在「在協定號」框中鍵入「47」,,最後依次按一下「確定」按鈕完成設置。
二、配置PPTP輸出篩選器
配置PPTP輸出篩選器,其目的是只允許到達PPTP VPN用戶端的出站通信,操作如下:
第一步:在「路由和遠端存取」視窗打開外部介面屬性對話方塊,然後在「常規」選項卡中按一下「出站篩選器」按鈕,在打開的「出站篩選器」視窗中按一下「新建」按鈕,打開「添加IP篩選器」對話方塊。 勾選 「源網路」核取方塊,在「IP位址」編輯方塊中鍵入該外部介面的IP位址,子網路遮罩為「255.255.255.255」,指定協定為「TCP」,並指定「源埠」號為「1723」,按一下「確定」按鈕。
第二步:回到「出站篩選器」對話方塊,點選「丟棄所有的包,滿足下列條件的除外」單選框。 然後按一下「新建」按鈕,勾選「源網路」核取方塊。 在「IP位址」編輯方塊中鍵入該外部介面的IP位址,「子網路遮罩」為「255.255.255.255」,在「協定」框下拉式功能表中選中「其他」,指定「協定號」為「47」,最後依次按一下「確定」按鈕完成設置。
提示:「1723」埠是VPN伺服器預設使用的埠,而「47」則代表TCP協定。
完成上述設置後,就只有那些基於PPTP的VPN用戶端可以訪問VPN伺服器的外部介面了,這樣就極大地加固了VPN的安全性。