為了盡可能地降低組網(wǎng)費(fèi)用，同時(shí)不能影響移動(dòng)辦公的需求，某單位決定在局域網(wǎng)的文件服務(wù)器中安裝配置VPN服務(wù)器，這樣可以讓單位可信任員工隨時(shí)隨地通過(guò)VPN網(wǎng)絡(luò)連接，訪問(wèn)單位文件服務(wù)器中的重要數(shù)據(jù)內(nèi)容，并且這種訪問(wèn)方式安全性也能得到保證，可謂一舉兩得！最近，單位有一系列很重要的文件存放在VPN服務(wù)器中，單位領(lǐng)導(dǎo)希望這些文件只能允許某個(gè)特定的員工通過(guò)VPN連接進(jìn)行訪問(wèn)，其他任何員工都無(wú)權(quán)訪問(wèn)；面對(duì)這樣的訪問(wèn)需求，我們?cè)撊绾尾拍軐?shí)現(xiàn)呢？其實(shí)，要實(shí)現(xiàn)上面的網(wǎng)絡(luò)訪問(wèn)目的，我們可以有多種方法可供選用；不過(guò)，在安裝了Windows Server 2008系統(tǒng)的VPN服務(wù)器中，我們可以巧妙地使用該系統(tǒng)內(nèi)置的高級(jí)安全防火墻，來(lái)實(shí)現(xiàn)更加靈活地控制！

實(shí)現(xiàn)思路

我們知道，只要在Windows Server 2008系統(tǒng)中安裝、配置好了VPN服務(wù)器，那么Internet網(wǎng)絡(luò)中的任意一臺(tái)VPN客戶端系統(tǒng)都能通過(guò)VPN服務(wù)器中的“1723”端口，來(lái)訪問(wèn)其中的數(shù)據(jù)內(nèi)容了，很顯然我們只要能夠想辦法對(duì)VPN服務(wù)器中的“1723”端口進(jìn)行有效控制，就能實(shí)現(xiàn)僅讓指定員工有權(quán)訪問(wèn)VPN服務(wù)器中的重要文件目的了。而Windows Server 2008系統(tǒng)恰好為我們提供了高級(jí)安全防火墻功能，通過(guò)該功能我們可以按照實(shí)際需要定義訪問(wèn)VPN服務(wù)器的入站規(guī)則、出站規(guī)則，并且這些規(guī)則允許我們對(duì)網(wǎng)絡(luò)連接進(jìn)行驗(yàn)證操作，這么一來(lái)我們就能很輕易地將VPN網(wǎng)絡(luò)連接權(quán)限授予單位特定的可信任員工了；甚至，我們還能設(shè)置訪問(wèn)規(guī)則，僅讓指定的VPN客戶端系統(tǒng)訪問(wèn)VPN服務(wù)器，確保VPN服務(wù)器中的重要數(shù)據(jù)信息安全。

　　控制進(jìn)入

為了僅讓使用指定帳號(hào)的用戶可以正常訪問(wèn)VPN服務(wù)器中的重要數(shù)據(jù)內(nèi)容，我們可以授權(quán)特定帳號(hào)名稱進(jìn)入VPN服務(wù)器，并通過(guò)Windows Server 2008系統(tǒng)中的“1723”端口來(lái)進(jìn)行資源訪問(wèn)操作，下面就是具體的實(shí)現(xiàn)方法：

首先以系統(tǒng)管理員身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開(kāi)始”/“程序”/“管理工具”/“服務(wù)器管理器”命令，在彈出的服務(wù)器管理器窗口中依次點(diǎn)選“配置”/“高級(jí)安全防火墻”分支選項(xiàng)；

其次在目標(biāo)分支選項(xiàng)下面單擊“入站規(guī)則”子項(xiàng)，在對(duì)應(yīng)“入站規(guī)則”子項(xiàng)的右側(cè)“操作”列表區(qū)域中，單擊“新規(guī)則”按鈕，打開(kāi)創(chuàng)建新的入站規(guī)則向?qū)?duì)話框；

圖1 選擇協(xié)議端口

當(dāng)向?qū)Т翱谠儐?wèn)我們要?jiǎng)?chuàng)建什么類型的規(guī)則時(shí)，我們必須選中這里的“端口”選項(xiàng)，以便讓W(xué)indows Server 2008服務(wù)器系統(tǒng)對(duì)通過(guò)VPN連接端口的數(shù)據(jù)包進(jìn)行身份驗(yàn)證操作；選中“端口”選項(xiàng)后，單擊“下一步”按鈕，打開(kāi)如圖1所示的向?qū)гO(shè)置界面，再將該設(shè)置界面中的“TCP”協(xié)議選項(xiàng)選中，同時(shí)選中“特定本地端口”選項(xiàng)，然后在對(duì)應(yīng)“特定本地端口”選項(xiàng)的文本框中輸入VPN服務(wù)器缺省使用的“1723”端口；

圖2 向?qū)гO(shè)置界面

繼續(xù)單擊“下一步”按鈕，系統(tǒng)屏幕上會(huì)出現(xiàn)一個(gè)如圖2所示的向?qū)гO(shè)置界面，選中其中的“只允許安全連接”選項(xiàng)，同時(shí)將該選項(xiàng)下面的“要求加密連接”子項(xiàng)選中，以便讓W(xué)indows Server 2008服務(wù)器系統(tǒng)對(duì)來(lái)訪者進(jìn)行身份驗(yàn)證操作；

圖3 設(shè)定連接權(quán)限

當(dāng)向?qū)聊怀霈F(xiàn)如圖3所示的設(shè)置窗口時(shí)，我們可以選中這里的“只允許來(lái)自下列用戶的連接”選項(xiàng)，同時(shí)單擊該選項(xiàng)旁邊的“添加”按鈕，從其后出現(xiàn)的帳號(hào)選擇對(duì)話框中，將我們認(rèn)為可以信任的目標(biāo)用戶帳號(hào)導(dǎo)入添加進(jìn)來(lái)；最后依照向?qū)崾荆瑸楫?dāng)前創(chuàng)建的新入站規(guī)則取一個(gè)合適的名稱，如此一來(lái)日后我們只有使用在這里授權(quán)的用戶帳號(hào)才能訪問(wèn)Windows Server 2008系統(tǒng)中的VPN服務(wù)器，而使用其他用戶帳號(hào)嘗試與VPN服務(wù)器建立連接時(shí)，Windows Server 2008系統(tǒng)中的高級(jí)安全防火墻就會(huì)自動(dòng)對(duì)它們進(jìn)行攔截，這樣一來(lái)VPN服務(wù)器中的重要數(shù)據(jù)信息就不會(huì)被他人隨意訪問(wèn)了。

為了防止離職員工隨意使用特定的用戶帳號(hào)進(jìn)行VPN連接訪問(wèn)，我們還可以修改入站規(guī)則的加密連接設(shè)置項(xiàng)目，同時(shí)選中其中的“只允許使用指定計(jì)算機(jī)連接”選項(xiàng)，再單擊“添加”按鈕，將我們認(rèn)為可以信任的計(jì)算機(jī)主機(jī)名稱或IP地址添加進(jìn)來(lái)，這樣一來(lái)我們?nèi)蘸蟊仨氃谥付ǖ挠?jì)算機(jī)中、使用指定的用戶帳號(hào)，才能順利地訪問(wèn)到VPN服務(wù)器中的重要數(shù)據(jù)信息，而那些知道VPN連接帳號(hào)的離職員工如果不能在指定的計(jì)算機(jī)中進(jìn)行網(wǎng)絡(luò)連接，同樣不能訪問(wèn)VPN服務(wù)器中的文件內(nèi)容。很明顯，這種控制方式可以讓VPN服務(wù)器中的文件內(nèi)容更加安全。