巧設Windows 2008防火墻 控制VPN連接權限(圖)

為了盡可能地降低組網費用，同時不能影響移動辦公的需求，某單位決定在局域網的文件服務器中安裝配置VPN服務器，這樣可以讓單位可信任員工隨時隨地通過VPN網絡連接，訪問單位文件服務器中的重要數據內容，并且這種訪問方式安全性也能得到保證，可謂一舉兩得！最近，單位有一系列很重要的文件存放在VPN服務器中，單位領導希望這些文件只能允許某個特定的員工通過VPN連接進行訪問，其他任何員工都無權訪問；面對這樣的訪問需求，我們該如何才能實現呢？其實，要實現上面的網絡訪問目的，我們可以有多種方法可供選用；不過，在安裝了Windows Server 2008系統的VPN服務器中，我們可以巧妙地使用該系統內置的高級安全防火墻，來實現更加靈活地控制！

實現思路

我們知道，只要在Windows Server 2008系統中安裝、配置好了VPN服務器，那么Internet網絡中的任意一臺VPN客戶端系統都能通過VPN服務器中的“1723”端口，來訪問其中的數據內容了，很顯然我們只要能夠想辦法對VPN服務器中的“1723”端口進行有效控制，就能實現僅讓指定員工有權訪問VPN服務器中的重要文件目的了。而Windows Server 2008系統恰好為我們提供了高級安全防火墻功能，通過該功能我們可以按照實際需要定義訪問VPN服務器的入站規則、出站規則，并且這些規則允許我們對網絡連接進行驗證操作，這么一來我們就能很輕易地將VPN網絡連接權限授予單位特定的可信任員工了；甚至，我們還能設置訪問規則，僅讓指定的VPN客戶端系統訪問VPN服務器，確保VPN服務器中的重要數據信息安全。

　　控制進入

為了僅讓使用指定帳號的用戶可以正常訪問VPN服務器中的重要數據內容，我們可以授權特定帳號名稱進入VPN服務器，并通過Windows Server 2008系統中的“1723”端口來進行資源訪問操作，下面就是具體的實現方法：

首先以系統管理員身份登錄進入Windows Server 2008服務器系統，依次單擊該系統桌面中的“開始”/“程序”/“管理工具”/“服務器管理器”命令，在彈出的服務器管理器窗口中依次點選“配置”/“高級安全防火墻”分支選項；

其次在目標分支選項下面單擊“入站規則”子項，在對應“入站規則”子項的右側“操作”列表區域中，單擊“新規則”按鈕，打開創建新的入站規則向導對話框；

圖1 選擇協議端口

當向導窗口詢問我們要創建什么類型的規則時，我們必須選中這里的“端口”選項，以便讓Windows Server 2008服務器系統對通過VPN連接端口的數據包進行身份驗證操作；選中“端口”選項后，單擊“下一步”按鈕，打開如圖1所示的向導設置界面，再將該設置界面中的“TCP”協議選項選中，同時選中“特定本地端口”選項，然后在對應“特定本地端口”選項的文本框中輸入VPN服務器缺省使用的“1723”端口；

圖2 向導設置界面

繼續單擊“下一步”按鈕，系統屏幕上會出現一個如圖2所示的向導設置界面，選中其中的“只允許安全連接”選項，同時將該選項下面的“要求加密連接”子項選中，以便讓Windows Server 2008服務器系統對來訪者進行身份驗證操作；

圖3 設定連接權限

當向導屏幕出現如圖3所示的設置窗口時，我們可以選中這里的“只允許來自下列用戶的連接”選項，同時單擊該選項旁邊的“添加”按鈕，從其后出現的帳號選擇對話框中，將我們認為可以信任的目標用戶帳號導入添加進來；最后依照向導提示，為當前創建的新入站規則取一個合適的名稱，如此一來日后我們只有使用在這里授權的用戶帳號才能訪問Windows Server 2008系統中的VPN服務器，而使用其他用戶帳號嘗試與VPN服務器建立連接時，Windows Server 2008系統中的高級安全防火墻就會自動對它們進行攔截，這樣一來VPN服務器中的重要數據信息就不會被他人隨意訪問了。

為了防止離職員工隨意使用特定的用戶帳號進行VPN連接訪問，我們還可以修改入站規則的加密連接設置項目，同時選中其中的“只允許使用指定計算機連接”選項，再單擊“添加”按鈕，將我們認為可以信任的計算機主機名稱或IP地址添加進來，這樣一來我們日后必須在指定的計算機中、使用指定的用戶帳號，才能順利地訪問到VPN服務器中的重要數據信息，而那些知道VPN連接帳號的離職員工如果不能在指定的計算機中進行網絡連接，同樣不能訪問VPN服務器中的文件內容。很明顯，這種控制方式可以讓VPN服務器中的文件內容更加安全。