***的解決方案就是在Internet上虛擬出一個局域網,方便客戶端(企業員工)與服務器(公司)或者相互之間信息共享、傳遞、交流的需要。*** 客戶端可以使用“點對點隧道協議”(PPTP)、 “第二層隧道協議”(L2TP) 和“IP 安全”(IPSec)來創建一個通往基於 Windows Server 2003 的“路由和遠程訪問”服務***服務器的安全隧道,這樣,客戶端就變成了專用網絡上的一個遠程節點。
***的安全威脅就來自這條線路之外,即Internet。那如何來加固***,使它免受來自外部的***呢?爲***服務器配置PPTP數據包篩選器,是個比較有效的辦法。其原則是,賦予接入***的客戶端最少特權,並且丟棄除明確允許的數據包以外的其它所有數據包。
一、配置PPTP輸入篩選器
配置PPTP輸入篩選器,其目的是隻允許來自PPTP ***客戶端的入站通信,操作如下:
第一步:依次執行“開始→程序→管理工具”,打開“路由和遠程訪問”窗口。在其控制檯的左側窗口依次展開“服務器名(本地)→IP路由選擇”,然後單擊“常規”在右側窗格中雙擊“本地連接”,打開“本地連接屬性”對話框。(圖1)
第二步:在“常規”選項卡中單擊“入站篩選器”,然在打開的“入站篩選器”對話框中點擊“新建”按鈕,打開“添加IP篩選器”對話框。勾選“目標網絡”複選框,在“IP地址”編輯框中鍵入該外部接口的IP地址,在“子網掩碼”編輯框中鍵入“255.255.255.255”,在“協議”框下拉菜單中選中“TCP”協議,在彈出的“目標端口”框中鍵入端口號“1723”,然後單擊“確定”按鈕。(圖2)
第三步:回到“入站篩選器”對話框,點選“丟棄所有的包,滿足下列條件的除外”單選框,如圖3。然後反單擊“新建”按鈕,勾選“目標網絡”複選框。在“IP地址”編輯框中鍵入該外部接口的IP地址,在“子網掩碼”編輯框中鍵入“255.255.255.255”,在“協議”框下拉菜單中選中“其他”,在“在協議號”框中鍵入“47”,如圖4,最後依次單擊“確定”按鈕完成設置。(圖3)(圖4)
二、配置PPTP輸出篩選器
配置PPTP輸出篩選器,其目的是隻允許到達PPTP ***客戶端的出站通信,操作如下:
第一步:在“路由和遠程訪問”窗口打開外部接口屬性對話框,然後在“常規”選項卡中單擊“出站篩選器”按鈕,在打開的“出站篩選器”窗口中單擊“新建”按鈕,打開“添加IP篩選器”對話框。勾選 “源網絡”複選框,在“IP地址”編輯框中鍵入該外部接口的IP地址,子網掩碼爲“255.255.255.255”,指定協議爲“TCP”,並指定“源端口”號爲“1723”,單擊“確定”按鈕。(圖5)
第二步:回到“出站篩選器”對話框,點選“丟棄所有的包,滿足下列條件的除外”單選框。然後單擊“新建”按鈕,勾選“源網絡”複選框。在“IP地址”編輯框中鍵入該外部接口的IP地址,“子網掩碼”爲“255.255.255.255”,在“協議”框下拉菜單中選中“其他”,指定“協議號”爲“47”,最後依次單擊“確定”按鈕完成設置,如圖6。(圖6)
提示:“1723”端口是***服務器默認使用的端口,而“47”則代表TCP協議。
完成上述設置後,就只有那些基於PPTP的***客戶端可以訪問***服務器的外部接口了,這樣就極大地加固了***的安全性。