■江苏 孙秀洪
编者按:虚拟专用网络相比普通网络拥有极高的安全性而被企业广泛应用,本文列举了虚拟专用网络使用过程中可能出现的一些问题,希望对大家有所帮助。
在进行虚拟专用连接时,有时会弹出远程计算机没有反应的错误提示,请问为什么会出现这种错误,遇到这种错误时该如何解决?
答:这种问题多半是网络延迟引起的,只要多连接几次,就能解决问题了。
如果还是不能解决问题,可 以 依 次 单 击“开 始”、“运行”命令,弹出系统运行对话框,输入“regedit”命令并回车,切换到系统注册表编辑窗口,将鼠标定位到“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CEBFC1-08002bE10318}/<000x>”节点上,这里的“<000x>”其实是WAN 微型端口驱动程序的网络适配器。
用鼠标右键单击目标节点,从右键菜单中依次选择“新 建”、“DWORD 值” 命令,手工创建一个新的双字节键值,将其名称设置为“ValidateAddress”,再将其数值设置为“0”,之后重新启动计算机系统,让上述设置正式生效。
以前,笔者在Windows XP客户端系统中,可以使用虚拟专用连接登录单位虚拟专用服务器,而且在登录成功的状态下,笔者既能访问到单位内部网络中的数据信息,又能访问Internet 网络中的站点页面。然而,笔者将计算机的操作系统升级为了Windows 7 系统后,发现使用相同的登录账号与密码,登录连接虚拟专用服务器后,发现可以登录到单位内部网络,但不能打开网页内容。请问如何解决这种问题?
答:这种问题很可能是Windows 7 系统下的虚拟专用网络连接没有自动获得DNS 参数造成的,我们可以为Windows 7 客户端系统手工配置好正确的DNS 服务器地址参数,其IP地址参数仍然采用动态分配方式上网。
在进行该操作时,依次单击“开始”、“控制面板”命令,双击控制面板中的“网络和共享中心”图标,展开网络和共享中心管理窗口,单击左侧区域的“更改适配器设置”按钮,弹出网络连接列表界面;用鼠标右键单击虚拟专用连接图标,点选右键菜单中的“属性”命令,打开虚拟专用连接属性对话框,点选“网络”标签,在对应标签设置页面中,选中“Internet 协 议版本4(TCP/IPv4)”选项,单击该选项下面的“属性”按钮,切换到TCP/IPv4 属性对话框。选中“自动获得IP 地址”选项,让Windows 7 系统自动获得IP 地址,再选中“使用下面的DNS 服务器地址”选项,在首选DNS 服务器位置处输入自己经常使用的DNS服务器地址,最后按“确定”按钮保存设置操作。
有时,尝试以虚拟专用连接方式与远程服务器建立通信,远程服务器却出现了不支持加密的提示,请问如何消除该提示?
答:很简单!在Windows XP 系统环境下,用鼠标右键单击系统桌面上的“网上邻居”图标,执行右键菜单中的“属性”命令,弹出网络连接列表窗口,找到目标虚拟专用连接,打开它的快捷菜单,选择“属性”命令,进入目标连接属性对话框,点击“安全”标签,在对应标签设置页面的“数据加密”位置处,选中“没有加密也可以连接”选项,确认后保存设置操作即可。
在Windows 7 系统环境下,依次点击“开始”、“控制面板”命令,双击系统控制面板窗口中的“网络共享中心”图标,在其后界面中点击“更改适配器”按钮,再选中目标虚拟专用连接图标,打开它的右键菜单,点击“属性”命令,在其后弹出的虚拟专用连接属性对话框中,将“数据加密”位置处的“没有加密也可以连接”选项选中,确认后保存设置操作即可。
如果虚拟专用服务器禁止用户借助网络访问这台计算机时,虚拟专用客户端用户也不能正常与虚拟专用服务器建立连接,请问如何检查虚拟专用服务器有没有对网络访问进行限制?
答:首先依次单击虚拟专用服务器系统中的“开始”、“运行”命令,打开系统运行对话框,执行“gpedit.msc”命令,切换到系统组策略控制台窗口。在该控制台窗口左侧列表中,将鼠标定位到“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“用户权限分配”节点上,找到目标节点下的“从网络访问此计算机”组策略选项,用鼠标双击该选项,弹出对应组策略属性对话框。
在“本地安全设置”页面中,看看虚拟专用客户端用户的帐号名称是否出现在其中,倘若没有看到的话,不妨及时按下“添加用户和组”按钮,从其后出现的帐号选择对话框中,导入添加虚拟专用客户端用户帐号名称,确认后返回,这样目标虚拟专用客户端用户就可以借助网络访问虚拟专用服务器系统了。
请问有哪些用户适合使用虚拟专用网络?哪些用户不适合使用虚拟专用网络?
答:一般来说,有三类用户非常适合使用虚拟专用网络:一是对线路可用性和保密性有特殊要求的用户;二是用户、站点分布范围广,彼此之间的距离远,遍布全球各地,需要通过长途方式联系的用户;三是位置众多,特别是远程办公室站点多的企业用户和远程教育用户。
相对而言,下面三类用户或许并不适于采用虚拟专用网络:一是注重网络性能而不是组网成本的用户;二是对数据传输安全性高度重视的用户;三是网络系统采用不常见的协议或特殊应用,无法在IP隧道中传送数据的用户。
笔者计算机安装的是Windows 7 系统,多次尝试在该系统中进行虚拟专用连接时,连接总不成功,重新启动Windows 7 系统也不行,连接过程中总提示:由于Modem 或网络适配器存在问题,请问这是怎么回事?
答:这多半是Windows 7系统中的Telephony 服务没有启动运行。只要依次点击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“services.msc”命令,切换到系统服务列表界面,从中找到目标系统服务Telephony,用鼠标双击之,打开对应服务属性对话框,点击“启动”按钮,同时将启动类型选择为“自动”,确认后保存设置操作即可。
大家知道,现在市场上大部分虚拟专用都采用L2TP 协议和IPSec 协议,请问这两种协议有什么特点?
答:L2TP 协议是国际标准隧道协议,能以隧道方式使PPP包通过各种网络协议,只是该协议不支持任何加密措施,适合普通远程拨号用户。IPSec协议是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全,这种协议的主要特征在于它可以对所有IP 级的通信进行加密。
单位有一台安装了Windows XP 系统的计算机,可以访问Internet 网络,但在其中进行虚拟专用连接时,系统弹出错误691 提示,请问为什么会出现这种提示?
答:这种错误很可能是由于虚拟专用连接时,使用的登录账户或密码不正确,也有可能是没有使用虚拟专用服务的操作权限。默认状态下,虚拟专用服务要求一个账号只能在一台计算机中使用,所以我们务必要查看自己的连接用户名是否出现了重复。倘若在虚拟专用连接过程中出现了掉线,建议大家不要急着重复连接,尽量等待几分钟。要是仍然提示错误,建议大家将自己的用户名提供给管理员,请他们帮忙解决。
在使用虚拟专用网络的过程中,频繁会发生“不能建立虚拟专用连接,虚拟专用服务器不能到达”的错误,请问怎么解决这类错误?
答:可以按照如下步骤来解决:倘若Windows 系统中启动运行了系统防火墙,不妨先关闭防火墙的运行状态,并进行重新连接测试。在使用了路由器的网络环境中,遇到上述错误提示时,建议重新启动一下路由器后台系统。
除此之外,还要检查终端系统的IPsec Policy Agent服务运行状态是否正常,一旦发现其被禁止运行时,必须要将其启动起来。要做到这一点,可以在系统桌面上,用鼠标右键单击“我的电脑”或“计算机”图标,执行快捷菜单中的“管理”命令,在计算机管理窗口中,将鼠标定位到“服务和应用程序”、“服务”节点上,找到IPsec Policy Agent 服务,并打开该服务的属性对话框,点击“启动”按钮,同时将启动类型选择为“自动”,确认后保存设置操作。
为便于单位员工访问内网资源,不少单位都部署了虚拟专用服务器,员工通过虚拟专用连接就能远程访问内网资源。不过,虚拟专用连接需要通过外网才能完成,这容易给单位内网带来安全威胁,请问怎样保护虚拟专用连接安全?
答:首先对虚拟专用连接加强密码认证,因为密码是一种十分有效的认证形式,只有知道密码的用户,才能正常通过虚拟专用连接进行远程访问。
目前虚拟专用连接可以采用身份认证技术、加解密技术、隧道技术、密钥管理技术等来确保网络连接安全,其中在用户身份验证安全技术方面,虚拟专用连接主要是通过PPP 协议用户级身份验证的方法来进行验证,这些验证方法包括质询握手身份验证、密码身份验证、可扩展身份验证、Shiva 密码身份验证等。在数据加密和密钥管理方面,虚拟专用连接采用MPPE 加密算法和IPSec机制加密上网数据,同时采用公、私密钥对的方法管理密钥内容。
其次启用安全策略。通常来说,要是单位内网允许用户进行远程访问操作,常常会对这些访问用户应用事先定义好的安全策略,确保远程访问操作不会威胁内网安全。要是单位内网使用了一些标准的操作系统,那么也必须要求远程访问用户使用同样的安全标准。例如,单位内网要求每位员工都要安装杀毒软件,并且定期下载更新病毒数据库,那么我们也要强制远程访问用户满足这些运行要求。
第三进行日志跟踪。为了及时发现虚拟专用连接中的异常问题,我们必须加强对这种连接操作进行日志跟踪记录。一旦遇到不正常现象时,只要打开系统事件查看器,找到相关日志记录,快速定位虚拟专用连接的时间日期、目的地址、源地址,通过这些信息找到具体的故障原因。除了要对网络登录行为进行监控记录外,还应该尽可能地监控连接会话信息。要是意外遇到安全事故时,那么可以利用的信息源就比较多,找到具体原因的速度就比较快。而且更为重要的是,倘若网络中事先部署了预防监控措施,那么日志记录中的任何异常现象,都能被网管员及时发现,这样安全威胁程度将会始终处于可控状态。
以前,笔者在自己的笔记本中,使用虚拟专用客户端软件,可以轻松访问单位虚拟专用服务器中的数据信息。近日,笔者下载安装了360 安全卫士,一次偶然的重新启动后,看到虚拟专用客户端软件无法与单位内网中的虚拟专用服务器建立连接了。不知道是什么原因?请问如何解决该故障?
答:由于问题是在安装360安全卫士后出现的,这说明问题多少与该软件有关,很可能是360 安全卫士自动优化惹的祸。进入360 安全卫士主操作窗口,切换到阻止列表,检查虚拟专用 Service 选项是否被优化禁用了,只要取消这项禁用设置,就能解决上述问题!
为什么与国外虚拟专用服务器建立连接后,访问国内网页速度会变得很慢?
答:因为与国外虚拟专用服务器建立连接后,本地网络出口就相当于自动变成了国家带宽出口,所以我们在连接国外虚拟专用服务器的状态下,访问国内网站页面的速度自然是十分缓慢的,整个访问过程需要先从国内连接到国外,再从国外返回到国内。倘若是访问国外网页时,此时线路方式从国内直接传输到国外是相对最快的。此外,还取决于我们所选的线路距离,倘若我们使用的是外国的通信线路,那么浏览自己国内的网页肯定很慢。
很多时候,需要记忆的登录账号与密码比较多,例如进行虚拟专用连接时,需要输入账号与密码,请问如何高效记忆它们呢?
答:在Vista 以上版本系统中,利用系统新增加的“凭据管理器”功能,可以高效记忆各类账号与密码。
在使用该功能记忆账号与密码时,依次单击“开始”、“控制面板”命令,双击“凭据管理器”图标,点击其后界面中的“添加Windows 凭据”按钮,弹出添加凭据对话框,在“目标地址”位置处输入需要访问的主机或站点地址,之后输入登录账号与密码,再按“确定”按钮即可,如此一来日后在共享访问或虚拟专用连接时,不用再次输入登录账号与密码,就能快速进行访问了。
请问为什么Windows 2008系统会选用远程服务网关功能,来对服务器进行网络启动或管理,而不选用传统的远程桌面连接或虚拟专用连接方式?
答:大家知道,将服务器中的重要资源暴露在Internet网络中,可能会存在很大的安全隐患。利用远程桌面连接方式,对服务器进行网络启动或管理时,需要开放服务器3389的TCP 端口,使用虚拟专用连接方式进行网络启动或管理时,实施起来并不太方便,因为不少公共Internet 无线上网节点并没有开启PPTP 或L2TP通信端口,同时有的公共网络也不能正常初始化虚拟专用连接。
与之前的两种远程连接方式相比,Windows 2008 系统的远程服务网关功能,既安全又通用,它将RDP 封装在HTTPS中,网管员能利用HTTPS 的端口TCP 443 与远程服务网关服务器建立连接,远程服务网关对普通计算机系统进行身份验证,从HTTPS 中解压RDP,之后在TCP 3389 端口上将连接转发给目标资源。通过远程服务网关,普通计算机系统只需要访问TCP 443 端口,就能与远程服务器建立一个安全的RDP会话。此外,善于利用远程服务网关的身份验证功能,可以有效提升网络启动或管理的安全性。
如果虚拟专用服务器没有开通远程接入功能,那么虚拟专用客户端用户不管如何连接,都不能访问虚拟专用服务器中的内容。请问怎样查看虚拟专用服务器有没有开通远程接入功能?
答:首先以系统管理员权限登录虚拟专用服务器系统,依次单击“开始”、“程序”、“管理工具”、“路由和远程访问”选项,切换到路由和远程访问控制台窗口,右击该窗口左侧列表中的虚拟专用服务器主机名称,点击右键菜单中的“属性”命令,弹出目标主机的属性对话框。点选“常规”标签,在其后弹出的标签设置页面中,看看“远程访问服务器”选项有没有被选中,一旦看到它没有处于选中状态时,那就说明虚拟专用服务器还没有开通远程接入功能,此时只要及时将它重新选中,确认后保存设置操作,这样虚拟专用服务器就能支持普通用户进行虚拟专用连接了。
虚拟专用网络在传输数据时,会通过加密技术将一台计算机要发送的数据进行编码后,传输给另一台计算机,而后者必须通过解码才能访问数据内容。虚拟专用支持公钥加密技术和对称密钥加密技术,请问这两种技术有什么特点?
答:公钥加密技术结合使用了公钥和私钥。公钥由用户自己的计算机提供给其他任何希望进行安全通信的计算机,私钥只有用户自己的计算机知道,如果要解码被加密的数据信息,计算机一定要使用发送方的计算机提供的公钥以及它自己的私钥。
对称密钥加密技术要求每台计算机都有一个密钥,用于对通过网络发送到另一台计算机的信息包进行加密。对称密钥要求用户知道将要进行通信的计算机是哪一台,以便在每台计算机上安装密钥。对称密钥加密实际上与密码相同,两台计算机都必须知道密码才能对信息进行解码。