为数据营造安全通道

手工营造安全通道

目前，不少单位内网都部署有VPN服务器，为了能在Internet终端计算机系统和VPN服务器之间建立一条安全私密通道，我们必须为VPN终端计算机分配最小访问权限，并将合法数据包以外的内容丢弃掉。

图1 IP筛选器添加设置框

由于大多终端系统一般使用PPTP协议进行VPN连接，我们只要对VPN服务器的PPTP输入、输出筛选器进行适当设置，仅让授权的终端系统进行数据传输：先进入VPN服务器所在主机系统的控制面板窗口，依次双击“管理工具”、“路由和远程访问”，逐一展开其后界面中的“本地服务器站点名称”、“IP路由选择”、“常规”分支，选中指定分支下的“本地连接”选项，通过双击鼠标方法进入本地连接属性框。在常规选项设置页面中先后点击“入站筛选器”、“新建”按钮，展开如图1所示的IP筛选器添加设置框，将“目标网络”选中，在IP地址、掩码框位置处输入VPN服务器所在主机IP地址，以及“255.255.255.255”这个子网掩码地址，将“协议”设置为TCP，将“目标端口”输入为默认的“1723”号码，单击“确定”按钮后完成PPTP输入筛选器配置操作，接着将“丢弃所有的包，满足下列条件的除外”选中，单击“新建”按钮，选中其后界面中的“目标网络”选项，将VPN服务器所在主机IP地址正确填写在“IP地址”文本框中，将子网掩码输入为“255.255.255.255”，将“协议”设置为“其他”，同时将“协议号”修改为“47”，单击“确定”按钮结束PPTP输入筛选器配置操作。

下面再对PPTP输出筛选器进行合适配置，限制只有可信VPN终端系统才能接受到数据包，详细操作为：打开路由和远程访问管理窗口，在外部接口属性对话框的常规选项页面中，逐一点击“出站筛选器”、“新建”按钮，切换到IP筛选器创建设置框，选中“源网络”选项，将“IP地址”输入为VPN服务器所在主机IP地址（外部），将子网掩码地址设置 为“255.255.255.255”，将“协议”选择为TCP，将“源端口”输入为“1723”，单击“确定”按钮返回出站筛选器设置框，将“丢弃所有的包，满足下列条件的除外”选中，同时进入新建对话框，选中“源网络”选项，将“IP地址”设置为VPN服务器所在主机IP地址（外部），将子网掩码输入为“255.255.255.255”，将“协议”选择为“其他”，将“协议号”输入为“47”，单击“确定”按钮退出设置对话框。完成上述设置任务后，重要数据通过VPN连接进行传输，就显得非常安全了。

在配置好VPN服务器后，建议用户在VPN终端计算机系统中，对VPN连接的安全属性进行修改，强制对使用该连接的数据执行加密操作，确保重要数据传输更加安全。在VPN终端计算机中，依次单击“开始”、“设置”、“网络连接”命令，进入网络连接列表窗口，找到“虚拟专用网络”下的VPN连接，用鼠标右键点击该连接图标，选择快捷菜单中的“属性”命令，展开VPN连接属性设置框。点选“安全”标签，在对应标签设置页面中，取消选中“要求数据加密(没有就断开)”选项，单击“确定”按钮保存设置即可。

外力营造安全通道

图2 选中对应选项设置区域中的“使用主密码”选项

图3 缺省状态下内部网址端口

为了防止恶意用户通过网络连接中途拦截重要数据，用户也可以选择使用“K-Secure VPN”外力工具，结合局域网中的防火墙系统，来保护重要数据的传输安全。这种方法的实现思路，就是分别在VPN终端计算机、VPN服务器系统中，安装“K-Secure VPN”的客户端、服务器端程序，日后终端系统传输数据时，会被“K-Secure VPN”的客户端程序自动加密压缩才会在Internet网络上传输，到达局域网经过防火墙系统安全认证后，“K-Secure VPN”服务器端程序会对接受到的数据智能解密和解压缩操作，最后数据才会被安全传输到目标主机。同样地，目标主机将应答数据回传给VPN终端计算机时，也要经过服务器端程序的加密、压缩，客户端程序的解密、解压等环节。在整个数据传输过程中，恶意用户即使窃取到了数据，也不能访问其中的内容。

在部署“K-Secure VPN”服务器的过程中，必须要选择位于网络防火墙背后，但处于局域网最前沿的一台的主机，来作为VPN服务器，所有来自外网的数据都必须先通过它解密、解压，才能传输到局域网内部的其他计算机系统中。成功安装好服务器端程序后，开启它的运行状态，在主程序界面的工具栏中，单击“选项”按钮，选中对应选项设置区域中的“使用主密码”选项（如图2所示），同时设置好主密码内容，确认后返回。这样，日后只有知道主密码的用户，才能进入该程序的配置界面，修改安全规则和其他配置参数。

接着按下“K-Secure VPN服务端”选项对话框中的“服务端”按钮，在其后界面中设置好VPN服务器的内部网址端口与外部网址端口，缺省状态下内部网址端口使用“8371”号码（如图3所示），单击“确定”按钮后返回主程序界面的左侧列表。值得注意的是，这里输入的地址和端口一定要事先通过网络防火墙的安全认证才行，否则日后的VPN连接通信会受到防火墙的拦截。之后将鼠标定位到“快速配置”节点上，将规则组名称选择为“VPN Group”，将“规则名”输入为“VPN Rule”，同时将“启用”选中（如图4所示），激活当前配置的规则。为了让特定用户才能使用刚才创建的规则，我们还需要在“用户名”位置处输入“VPN User”用户名称，在“连接密钥”位置处单击“重造密钥”按钮，获取自动创建的32位密钥，日后通过VPN连接的重要数据会被该密钥加密处理，恶意用户中途窃取数据也不会查看到其中的内容。

图4 激活当前配置的规则

为了保护VPN终端计算机系统中的每个网络程序都能安全传输数据，建议在这里的“应用程序客户端”位置处，设置好最小网址、最小端口、最大网址、最大端口等参数。例如，可以将“最小网址”输入为“0.0.0.0”，将“最大网址”输入为“255.255.255.255”。而常见的网络程序使用的端口号码包括FTP程序的“21”端口， 邮件处理程序的“25”端口，浏览器程序使用的“80”端口等，所以，在这里可以将“最小端口”设置为“21”，将“最大端口”设置为“80”，这样“K-Secure VPN”工具可以处理常见的网络应用程序发送出来的数据。当然，在实际传输数据过程中，如果发现某个网络程序无法与VPN服务器正常传输交流数据时，很可能是对应程序使用的网络端口没有被“K-Secure VPN”工具放行，此时可以在DOS命令行窗口，使用“ipconfig/all”命令查询特定程序使用的端口号码，同时检查该号码是否位于最小端口与最大端口之间，如果没有处于这个范围时，必须要重新调整最大最小端口号码。接着在“应用程序服务器端”位置处，也要输入合适的网址和端口号码，例如可以输入地址为“255.255.255.255”，输 入端口为“80”，单击“应用”按钮执行规则保存设置操作。完成上述设置操作后，将鼠标定位到主界面的“服务器状态”节点上，单击界面中的“启动VPN服务器端”按钮，开启“K-Secure VPN”工具服务器端的运行状态。

下面还需要在VPN终端计算机系统中安装配置“K-Secure VPN”工具的客户端程序。当在终端计算机中成功安装好“K-Secure VPN”客户端程序后，按下主程序界面中的“连接”按钮，可以轻松获取到本地系统的网络连接状态信息，在确保网络连接状态正常后，点击“服务端”按钮，单击设置区域中的“导入”按钮，来快速添加事先制定好的VPN规则，以保证VPN终端计算机系统与服务器之间可以安全传输数据。当然，为了快速准确制定VPN规则，我们可以将服务器端的VPN规则直接拿来使用，不过这要求用户事先需将服务器端的规则内容导出保存为文件。例如，这里假设用户已经将服务器端的VPN规则文件导出保存为“111.kvr”文件，那么此时只要单击界面中的“导入”按钮，选择服务器端事先导出的“111.kvr”文件，就能快速准确完成VPN规则制定操作。结束上述配置操作后，按下“客户端状态”按钮，点击设置区域中的“启动VPN 客户端”按钮，开启“K-Secure VPN”程序的客户端运行状态，之后单击“测试服务器连接”按钮，开始检测与VPN服务器的通信是否正常。如果测试一切正常的话，用户就能在终端计算机系统中使用各种网络应用程序，与单位局域网中的VPN服务器进行安全传输数据了。