■

保护VPN连接安全

现在，很多单位的VPN服务器都是建立在Windows Server 2003系统“路由和远程访问”服务功能上的，在与该服务器建立VPN连接时，很容易遭遇来自Internet网络的攻击。为了保护VPN连接安全，我们可以采取下面的控制措施，为VPN终端计算机赋予最小的访问权限，同时丢弃除合法数据包以外的其他信息。

图1 IP筛选器添加

图2 设置对话框

考虑到VPN终端计算机主要使用PPTP协议（点对点隧道协议）进行工作，我们首先要在VPN服务器中对PPTP输入筛选器进行合适配置，仅让合法VPN终端计算机进行入站通信，具体操作步骤为：依次点击“开始”、“设置”、“控制面板”，在弹出的系统控制面板窗口中，逐一双击“管理工具”、“路由和远程访问”图标，在其后界面中，将鼠标定位到“本地服务器站点名称”、“IP路由选择”、“常规”节点上，找到目标节点下的“本地连接”选项，用鼠标双击之切换到本地连接属性对话框。按下常规标签页面中的“入站筛选器”按钮，再单击“新建”按钮，切换到IP筛选器添加对话框（如图1所示），选中“目标网络”选项，激活IP地址和掩码文本框，之后输入VPN服务器的外网IP地址，同时将子网掩码地址设置为“255.255.255.255”。在“协议”下拉列表中，选择“TCP”协议，在“目标端口”位置处，输入VPN服务器缺省使用的端口号码“1723”，确认后返回入站筛选器设置对话框。

选中“丢弃所有的包，满足下列条件的除外”选项，按下“新建”按钮，弹出如图2所示的设置对话框，选中“目标网络”选项，在“IP地址”位置处输入外部接口IP地址，同时将子网掩码地址设置为“255.255.255.255”，将“协议”选择为“其他”，并在“协议号”文本框中输入“47”，确认后保存设置操作。

下面再对PPTP输出筛选器进行合适配置，仅让数据包到达合法VPN终端计算机，具体配置步骤为：先进入路由和远程访问控制台界面，切换到外部接口属性设置框，按下常规标签页面中的“出站筛选器”按钮，在其后界面中点击“新建”按钮，弹出IP筛选器创建对话框。选中这里的“源网络”选项，将“IP地址”设置为外部接口地址，将子网掩码输入为“255.255.255.255”，选择协议为“TCP”，同时将“源端口”设定为“1723”，确认后返回到出站筛选器配置对话框。继续选中“丢弃所有的包，满足下列条件的除外”选项，打开“新建”对话框，选中“源网络”选项，再将“IP地址”输入为外部接口IP地址，将子网掩码设置为“255.255.255.255”，在“协议”位置处选中“其他”选项，同时将“协议号”调整为“47”，确认后保存设置操作。经过上述设置操作后，VPN连接的安全性就能得到有效保证了。

保障VPN连接顺利

在VPN终端计算机中创建好与VPN服务器的连接图标后，有时会发现通过该连接图标，并不能与VPN服务器顺畅建立正常通信连接。遇到这种情况时，不妨进行如下检查操作：

图3 主机属性对话框

图4 本地连接属性框

首先检查远程访问权限是否开通。要是VPN服务器不允许用户远程访问，那么在VPN终端计算机中不管怎么操作，VPN连接始终无法顺利建立成功。在进行这项检查操作时，首先打开VPN服务器的路由和远程访问控制台界面，选中VPN服务器主机名称，并用鼠标右键单击之，执行右键菜单中的“属性”命令，弹出目标主机属性对话框。点击“常规”选项卡，切换到如图3所示的选项设置页面，看看“远程访问服务器”选项有没有被选中，当看到它没有处于选中状态时，那就表示VPN服务器没有开放远程接入权限，此时需要重新选中它，单击“确定”按钮执行设置保存操作。

其次检查网络访问权限是否受限。在VPN服务器系统中，打开系统运行文本框，执行“gpedit.msc”命令，进入系统组策略控制台界面。在该界面左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设 置”、“安 全设置”、“本地策略”、“用户权限分配”节点上，双击该节点下的“从网络访问此计算机”组策略，在其后界面中看看VPN连接账号名称是否出现在其中，倘若没有看到的话，应该单击“添加用户和组”按钮，将相关用户帐号名称添加进来，确认后退出设置对话框。

第三检查数据加密是否取消。有的时候，检查VPN连接各项属性参数后，发现所有配置都很正常，但偏偏就不能与单位的VPN服务器顺畅建立正常通信连接。这种情况很可能是数据加密造成的，只要将数据加密取消选中即可。在VPN终端计算机中，打开网络连接列表界面，找到“虚拟专用网络”下的VPN连接，用鼠标右键点击该连接图标，执行右键菜单中的“属性”命令，弹出VPN连接属性对话框。选择“安全”选项卡，在对应选项设置页面中，将“要求数据加密(没有就断开)”选项取消选中即可。

第四检查防火墙是否进行拦截。在VPN服务器开启系统自带防火墙的情况下，VPN连接可能会受到它的默认拦截，这时需要手工修改防火墙配置，让其运行VPN连接数据包通行。具体配置操作为：依次单击服务器系统桌面上的“开始”、“设置”、“网络连接”选项，切换到网络连接列表界面，打开本地连接图标的右键菜单，点击“属性”命令，在其后弹出的本地连接属性框中，选择“高级”选项卡，单击高级选项页面中的“设置”按钮，进入高级设置对话框，在“服务”标签页面中点击“添加”按钮。之后，在图4所示的“计算机名称或IP地址”位置处，输入VPN服务器的IP地址，在“此服务的外部端口”位置处输入“1723”，并将“TCP”协议选中，再在“此服务的内部端口”位置处也输入“1723”，确认后返回即可。

图5 TCP/IP协议框

图6 服务的属性设置

第五检查网关配置是否正确。有的时候，用户虽然与VPN服务器主机成功建立了连接，但是无法访问除了VPN服务器之外的内网资源，这种问题明显是网关配置不正确引起的。此时，可以先进入VPN服务器所在的主机系统，依次单击“开始”、“程序”、“管理工具”、“路由和远程访问”选项，进入路由和远程访问控制台界面，打开VPN服务器的属性对话框，选择“IP”标签，选中对应标签页面中的“启用IP路由”、“允许基于IP的远程访问和请求拨号连接”等选项，这样终端计算机日后才能通过路由来寻找路径。接着在VPN终端计算机系统中，打开VPN网络连接属性设置窗口，点击“网络”标签，选中“Internet协议（TCP/IP）”选项，按下“属性”按钮，切换到TCP/IP属性对话框，再打开TCP/IP协议高级属性对话框。点击“常规”标签，选中该标签页面中的“在远程网络上使用默认网关”项目（如图5所示），确认后保存设置操作即可。

管理已有VPN连接

当用户要访问VPN服务器资源时，需要先在终端计算机中创建好VPN网络连接。不过，在实际工作中，有时会遇到VPN连接不能创建的现象，例如，创建向导框中无法选中“使用拨号或VPN连接”选项等。这种现象很可能是终端计算机中的Remote Access Connection Manager无法被意外关闭运行了，只要依次单击“开始”、“运行”命令，弹出系统运行对话框，执行“services.msc”命令，展开系统服务列表窗口，双击其中的Remote Access Connection Manager服务选项，切换到对应服务的属性设置对话框（如图6所示），单击“启动”按钮，将目标系统服务重新启动运行正常，这样我们就能成功创建VPN连接了。

在VPN连接已经建立完成的情况下，我们该如何管理已有的VPN连接呢？很简单！只要依次点击“开始”、“控制面板”、“网络和共享中心”，在其后界面中就能对VPN连接进行管理了，其中包括对VPN连接执行删除操作、重命名操作，执行快捷方式或副本创建操作，甚至还能调整连接的配置参数。要想将VPN连接直接放置到系统桌面上时，只要在“网络连接”列表中，选择特定的VPN连接，按下“创建快捷方式”按钮，之后点击“是”按钮进行确认，就能在系统桌面上创建好VPN连接的快捷方式了。