基于Windows操作系统安全远程访问的实现
2016-05-30陈晓君王雷刘正华
陈晓君 王雷 刘正华
【摘要】本文以某公司高层领导chen1、chen2出差在外,欲访问公司内部财务报表为背景,设计实现了在win2008、win2003、winxp不同操作系统下,基于VPN安全远程访问的实现。其中win2008为域控制器,win2003作为域中存放财务报表的成员,winxp为高层领导所用客户端。
【关键词】VPN;远程访问;域
本文以某公司高层领导chen1、chen2出差在外,欲访问、修改公司内部财务报表为背景,利用VPN技术妥善地为出差在外的公司高层提供方便、安全、快捷的财务报表远程访问服务。VPN(VirtualPrivateNetwork,虚拟专用网络)利用公网来构建专用的网络,通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同网络的组件和资源之间的相互连接,并提供同专用网络一样的安全和功能保障。
一、虚拟专用网为用户提供的功能[1]
加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。
二、基于Windows操作系统安全远程访问的实现方案
VMWare虚拟机软件是一个“虚拟PC”软件,VMware可以使你在一台机器上同时运行多个操作系统。VMWare是真正主系统“同时”运行多个操作系统的平台,就如标准Windows应用程序之间的切换。而且每个操作系统都可以进行虚拟的分区、配置而不影响真实硬盘的数据,可以通过网卡将几台虚拟机用网卡连接为一个局域网,极其方便。安装在VMware操作系统性能上比直接安装在硬盘上的系统低不少,因此比较适合学习和测试。本文首先在虚拟机上安装win2008、win2003、winxp三个操作系统,之后在win2008上进行DNS服务器的安装、配置与测试[2],创建域,将服务器win2003加入到域中。至此Win2008作为域控制器,安装有活动目录AD、DNS服务器;win2003作为成员服务器,即存放公司内部财务报表的服务器;winxp为客户端,代表高层领导。本文依据虚拟专用网络VPN实现资源的远程访问,远程访问的网络传输协议采用PPTP协议,允许L2TP连接。[3]原理图如下:
三、具体实现过程
基于Windows操作系统安全远程访问的实现主要包括一)在域中发布文件夹共享并设置权限;二)VPN服务器配置:(1)安装VPN服务(2)启用“路由和远程访问服务”(3)配置路由和远程访问服务;三)客户端配置和测试PPTP客户端。具体实现过程如下:
(一)在域中发布文件夹共享并设置权限
1.在win2003中创建文件夹,名称为财务报表,在文件夹中创建文本文档,名称为2015-12财务收支.txt;2.在win2008AD中新建用户。在“ActiveDirectory用户和计算机”窗口中,右击users-->新建用户chen1、chen2,设置密码;3.赋予chen1、chen2”完全控制”权限。在“计算机管理”窗口中,右击共享-->新建共享,创建文件夹共享中选择“财务报表”-->选择chen1、chen2,赋予”完全控制”权限;4.在文件夹“财务报表”属性框“安全”选项卡中,赋予chen1“读取”权限,chen2“读取”“写入”权限
(二)VPN服务器配置
1.安装VPN服务。在“服务器管理器”界面中,添加角色-->依据添加角色向导,在服务器角色中选择“网络策略与访问服务”-->选择“路由和远程访问服务”,进行安装。
2.启用“路由和远程访问服务”。(1)网络配置,使本地连接2的IP地址、DNS服务器与内网不在一个网段;(2)在“路由和远程访问”界面中,右击win2008-->选择“配置并启用路由和远程访问”-->选择VPN,配置此服务器接受VPN连接-->选择将此服务器连接到internet的网络接口本地连接2-->为远程客户端分配IP地址;(3)在chen1、chen2属性对话框“拨入”选项卡,设置网络访问权限“允许访问”“不回拨”。
3.配置路由和远程访问服务。(1)在“路由和远程访问”窗口,右击win2008,打开属性对话框-->在“安全”选项卡中,选择“允许L2TP连接使用自定义IPsec策略”,输入欲共享的密钥-->重启路由和远程访问服务;(2)右击“端口”,在端口属性对话框中,选择PPTP,配置最多端口数-->选择L2TP,配置最多端口数。
(三)客户端配置和测试PPTP客户端
1.在网络连接中创建一个新的连接,虚拟专用网络连接,输入公司名称client及VPN服务器的IP;2.右击虚拟专用网络client,在属性对话框中选择包含windows登录域;3.右击client-->連接-->输入用户名chen1、密码、域-->点击“连接”,显示client已连接;4.在开始-运行中输入win2003的IP地址,可以看到共享文件夹,远程访问成功-->尝试chen1用户只能读取,不能写入的权限;5.重复3.4.尝试chen2的连接及读取写入权限。
参考文献
[1]张冬英.VPN技术在计算机网络中的应用[J].网络信息化,2015(10):116-117.
[2]曹立志.常见WindowsServer2008服务功能的应用[J].技术研究,2014(19):83-85.
[3]张梅.SSLVPN关键技术研究与系统设计[D].解放军信息工程大学,2006.