vpn伺服器安全配置技巧

適應資訊化和移動辦公的需要，很多企業都部署了VPN伺服器。 而採用基於Windows Server 2003的「路由和遠端存取」服務搭建的VPN(Virtual Private Network，虛擬私人網路絡)不失為一種安全、方便的遠端存取解決方案，也是當前大多數中小型企業的首選。 那如何保證VPN的安全就成了企業CIO需要面對的問題。

VPN的解決方案就是在Internet上虛擬出一個局域網，方便用戶端（企業員工）與伺服器（公司）或者相互之間資訊共用、傳遞、交流的需要。 VPN 用戶端可以使用「點對點通道通訊協定」（PPTP）、 「第二層隧道協定」（L2TP） 和「IP 安全」（IPSec）來創建一個通往基於 Windows Server 2003 的「路由和遠端存取」服務VPN伺服器的安全隧道，這樣， 用戶端就變成了私人網路絡上的一個遠端節點。

VPN的安全威脅就來自這條線路之外，即Internet。 那如何來加固VPN，使它免受來自外部的攻擊呢?為VPN伺服器配置PPTP資料包篩選器，是個比較有效的辦法。 其原則是，賦予接入VPN的用戶端最少特權，並且丟棄除明確允許的資料包以外的其它所有資料包。

一、配置PPTP輸入篩選器

配置PPTP輸入篩選器，其目的是只允許來自PPTP VPN用戶端的入站通信，操作如下：

第一步：依次執行「開始→程式→管理工具」，打開「路由和遠端存取」視窗。 在其主控台的左側視窗依次展開「伺服器名(本地)→IP路由選擇」，然後按一下「常規」在右側窗格中按兩下「本地連接」，打開「本地連接屬性」對話方塊。

第二步：在「常規」選項卡中按一下「入站篩選器」，然在打開的「入站篩選器」對話方塊中點擊「新建」按鈕，打開「添加IP篩選器」對話方塊。 勾選「目標網路」核取方塊，在「IP位址」編輯方塊中鍵入該外部介面的IP位址，在「子網路遮罩」編輯方塊中鍵入「255.255.255.255」，在「協定」框下拉式功能表中選中「TCP」協定，在彈出的「目標埠」框中鍵入埠號「1723 」，然後按一下「確定」按鈕。

第三步：回到「入站篩選器」對話方塊，點選「丟棄所有的包，滿足下列條件的除外」單選框，然後反按一下「新建」按鈕，勾選「目標網路」核取方塊。 在「IP位址」編輯方塊中鍵入該外部介面的IP位址，在「子網路遮罩」編輯方塊中鍵入「255.255.255.255」，在「協定」框下拉式功能表中選中「其他」，在「在協定號」框中鍵入「47」，，最後依次按一下「確定」按鈕完成設置。

二、配置PPTP輸出篩選器

配置PPTP輸出篩選器，其目的是只允許到達PPTP VPN用戶端的出站通信，操作如下：

第一步：在「路由和遠端存取」視窗打開外部介面屬性對話方塊，然後在「常規」選項卡中按一下「出站篩選器」按鈕，在打開的「出站篩選器」視窗中按一下「新建」按鈕，打開「添加IP篩選器」對話方塊。 勾選 「源網路」核取方塊，在「IP位址」編輯方塊中鍵入該外部介面的IP位址，子網路遮罩為「255.255.255.255」，指定協定為「TCP」，並指定「源埠」號為「1723」，按一下「確定」按鈕。

第二步：回到「出站篩選器」對話方塊，點選「丟棄所有的包，滿足下列條件的除外」單選框。 然後按一下「新建」按鈕，勾選「源網路」核取方塊。 在「IP位址」編輯方塊中鍵入該外部介面的IP位址，「子網路遮罩」為「255.255.255.255」，在「協定」框下拉式功能表中選中「其他」，指定「協定號」為「47」，最後依次按一下「確定」按鈕完成設置。

提示：「1723」埠是VPN伺服器預設使用的埠，而「47」則代表TCP協定。

完成上述設置後，就只有那些基於PPTP的VPN用戶端可以訪問VPN伺服器的外部介面了，這樣就極大地加固了VPN的安全性。