隨著網(wǎng)絡(luò)的逐步普及越來越多的企業(yè)開始在多個地方建立自己的分支機構(gòu)，不過由于很多企業(yè)內(nèi)部應(yīng)用涉及到業(yè)務(wù)隱私，所以如何讓分支結(jié)構(gòu)能夠安全并且順利的使用這些應(yīng)用就成為每個企業(yè)網(wǎng)絡(luò)管理員所關(guān)心的話題，一般來說我們可以通過VPN安全設(shè)備實現(xiàn)遠程用戶或分支機構(gòu)的接入服務(wù)，通過VPN驗證遠程接入權(quán)限。那么對于VPN安全設(shè)備來說我們該如何設(shè)置呢?下面筆者就從自己多年實際應(yīng)用以及設(shè)置多臺VPN安全設(shè)備的經(jīng)驗出發(fā)，為各位IT168讀者介紹如何三步走配置VPN安全設(shè)備。(如圖1)

一，VPN安全設(shè)備之功能：

在配置VPN安全設(shè)備之前我們先要了解他到底能夠為我們做什么，這樣才能夠更好的理解為什么要針對某些配置和參數(shù)進行設(shè)置。

所謂VPN實際上是虛擬專用網(wǎng)絡(luò)Virtual Private Network的縮寫，他又稱為虛擬私人網(wǎng)絡(luò)，是一種常用于連接中、大型企業(yè)或團體與團體間的私人網(wǎng)絡(luò)的通訊方法。虛擬私人網(wǎng)絡(luò)的訊息透過公用的網(wǎng)絡(luò)架構(gòu)(例如互聯(lián)網(wǎng))來傳送內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)訊息。

通過VPN我們可以將外網(wǎng)或異地分支結(jié)構(gòu)連接到企業(yè)的內(nèi)網(wǎng)中，獲得與內(nèi)網(wǎng)其他計算機同一個網(wǎng)段的IP，使用內(nèi)網(wǎng)相關(guān)服務(wù)與網(wǎng)絡(luò)應(yīng)用。不過要想讓VPN能夠正常運行我們首先需要設(shè)置對應(yīng)的具備遠程接入VPN設(shè)備的帳戶，然后還要根據(jù)帳號權(quán)限分配容許連接的內(nèi)網(wǎng)應(yīng)用服務(wù)類別，要知道一臺高性能的VPN設(shè)備是不可能只提供接入而不分配接入后能夠使用的權(quán)限的，通過劃分權(quán)限我們可以實現(xiàn)既保證VPN遠程接入內(nèi)網(wǎng)又禁止接入后隨意濫用訪問權(quán)限的功能。同時VPN設(shè)備自身的各個網(wǎng)絡(luò)參數(shù)也需要合理配置。下面筆者就綜合多臺VPN的配置為各位介紹如何設(shè)置VPN安全設(shè)備。

#p#

二，三步走教你配置VPN安全設(shè)備：

筆者擔(dān)任網(wǎng)絡(luò)管理員職務(wù)已經(jīng)有六個年頭了，在這期間筆者在windows 2003上開啟過VPN服務(wù)，在多臺專門的VPN安全設(shè)備上也進行了相關(guān)設(shè)置。拋開windows 2003這類系統(tǒng)和軟件建立的VPN不說，因為軟件設(shè)置建立的VPN性能和安全等方面都不如專業(yè)的VPN安全接入設(shè)備，性能的缺失使其應(yīng)用范圍很窄。所以我們還是以專業(yè)VPN安全設(shè)備的配置為例進行介紹，就筆者總結(jié)VPN安全設(shè)備配置主要可以歸納為三大步。

(1)VPN安全設(shè)備網(wǎng)絡(luò)參數(shù)要設(shè)好：

任何VPN安全設(shè)備的網(wǎng)絡(luò)相關(guān)參數(shù)都需要我們提前設(shè)好，默認的信息肯定是不符合我們企業(yè)實際應(yīng)用的。這里涉及的網(wǎng)絡(luò)參數(shù)主要包括VPN安全設(shè)備的內(nèi)網(wǎng)IP，外網(wǎng)IP等信息。下面我們就來看看如何從第一步開始針對VPN安全設(shè)備的網(wǎng)絡(luò)參數(shù)進行配置。

第一步：首先使用VPN默認的管理地址訪問管理界面，一般都會自動安裝一個廠商的插件。(如圖2)

第二步：進入管理界面后左邊是相應(yīng)的配置選單，各個VPN安全設(shè)備都不太相同，不過都會存在一個類似“快速配置”的選項，通過此選項我們可以針對VPN設(shè)備的基本信息和網(wǎng)絡(luò)參數(shù)進行配置。(如圖3)

第三步：快速配置第一項是設(shè)置VPN安全產(chǎn)品的內(nèi)網(wǎng)接口，我們只需要將企業(yè)內(nèi)網(wǎng)IP地址填寫到此即可，記住一定不要和其他計算機IP地址沖突，子網(wǎng)掩碼信息也按照真實情況填寫。(如圖4)

第四步：接下來是設(shè)置外網(wǎng)接口，一般VPN安全產(chǎn)品支持動態(tài)IP或指定靜態(tài)IP地址以及PPPOE這種ADSL撥號方式，我們可以根據(jù)企業(yè)實際情況去設(shè)置，需要提醒一點的是在設(shè)置靜態(tài)IP地址等信息時，DNS地址和默認網(wǎng)關(guān)地址一定不要忘記寫。(如圖5)

小提示：

一般來說VPN設(shè)備都會放置到企業(yè)網(wǎng)絡(luò)的最外層，所以很少會在外層安裝有DHCP服務(wù)器，因此對于VPN安全設(shè)備來說直接選擇動態(tài)獲取WAN接口方式的很少，一般都不會采用。

第五步：設(shè)置VPN服務(wù)端的連接IP地址，這個地址非常重要，在客戶端通過VPN接入程序連接服務(wù)端時需要填寫的就是這個地址和相應(yīng)的端口，一般來說此地址與VPN安全設(shè)備的WAN接口IP地址應(yīng)該是一致的。(如圖6)

小提示：

VPN服務(wù)端所使用的IP，特別是端口信息并不是一成不變的，由于企業(yè)內(nèi)網(wǎng)存在防火墻的緣故，所以自定義服務(wù)端應(yīng)用端口功能不能缺少。我們可以在VPN相關(guān)的基本設(shè)置處找到修改VPN監(jiān)聽端口的選項。(如圖7)

針對VPN服務(wù)端地址，端口以及VPN設(shè)備的LAN接口，WAN接口IP地址設(shè)置完畢后我們就完成了第一步的設(shè)置工作，接下來就要針對VPN接入帳號以及權(quán)限信息進行配置了。

(2)VPN接入帳號信息要設(shè)好：

對于企業(yè)來說我們可以為VPN接入安全分級，通過設(shè)置多個不同用戶組不同權(quán)限的VPN接入帳號來實現(xiàn)企業(yè)遠程接入的多層管理。不過不管接入后權(quán)限如何都需要我們?yōu)閷?yīng)的人員提供相應(yīng)的授權(quán)帳號。因此第二步針對VPN安全設(shè)備的設(shè)置就落在VPN接入帳號上。

第一步：同樣在VPN安全設(shè)備管理界面，找到VPN信息設(shè)置下的用戶管理。

第二步：在用戶管理中通過“新增用戶”按鈕創(chuàng)建一個帳戶，在這里設(shè)置接入密碼以及認證屬性，在認證方面存在本地認證，LDAP認證，Radius認證等，前者是通過VPN安全設(shè)備自身帳戶庫來達到認證目的，而后者是需要一臺專門的radius認證服務(wù)器來實現(xiàn)認證。而LDAP通常被公司用作用戶信息的中心資源庫，同時也被當(dāng)作一種認證服務(wù)。(如圖8)

第三步：在帳戶屬性中我們還會看到有管啟用虛擬IP的信息，在這里要求我們填寫一個特定的IP地址，這樣當(dāng)遠程主機或網(wǎng)絡(luò)使用該帳戶連接VPN時會自動分配給接入者一個虛擬IP，記住這個虛擬IP地址最好與內(nèi)網(wǎng)IP一樣，這樣才能夠保證接入后可以順利使用內(nèi)網(wǎng)應(yīng)用與服務(wù)。(如圖9)

小提示：

不管為接入帳號設(shè)置什么樣的虛擬IP，在建立帳號之前我們都需要手工建立相應(yīng)的虛擬IP池，然后才能夠保證VPN接入帳戶處的設(shè)置可以生效。虛擬IP池支持多個IP段一起作用。(如圖10)

擁有了VPN接入帳號后我們還沒有完全完成VPN安全設(shè)備的配置工作，要想能夠有效的提高設(shè)備安全，我們還需要針對VPN接入者的安全權(quán)限進行細分。

(3)VPN接入權(quán)限要分配好：

默認情況下任何通過VPN接入的帳號只要分配了符合內(nèi)網(wǎng)規(guī)則的虛擬IP的話，該接入主機將與內(nèi)網(wǎng)其他計算機擁有相同的訪問權(quán)限。訪問各個計算機，使用各個網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)服務(wù)。不過很多時候我們并不希望這種接入帶來隨意使用的效果，我們要針對遠程VPN接入者的使用權(quán)限進行仔細劃分。這點對于提高VPN設(shè)備和內(nèi)網(wǎng)應(yīng)用的安全性是非常重要的。下面我們就簡單了解下如何針對VPN接入權(quán)限進行分配。

在設(shè)置完接入帳號后我們可以到“高級設(shè)置”下尋找“內(nèi)網(wǎng)服務(wù)設(shè)置”，在這里我們可以針對VPN接入后使用的服務(wù)進行設(shè)置，選擇是否啟用該應(yīng)用。同時我們還可以通過“新增”按鈕功能添加自定義的訪問控制列表。(如圖11)

通過設(shè)置訪問控制列表信息，我們可以做到容許該接入帳號只能夠訪問某臺或某個網(wǎng)段的計算機，又或者只容許該接入帳號只能夠使用某項或某幾個網(wǎng)絡(luò)應(yīng)用與服務(wù)，總之通過“內(nèi)網(wǎng)服務(wù)設(shè)置”我們可以為每個接入帳號劃分具體的網(wǎng)絡(luò)使用權(quán)限。(如圖12)

當(dāng)然可能有的企業(yè)并不需要針對接入用戶權(quán)限劃分得過細，網(wǎng)絡(luò)管理員自然不用在這里下太多的功夫，不過VPN接入權(quán)限的配置確實是VPN安全設(shè)備配置過程中不可獲缺的一個環(huán)節(jié)。

#p#

三，遠程接入者上設(shè)置VPN參數(shù)：

最后我們還需要在遠程接入設(shè)備上安裝VPN客戶端，這樣才能夠順利的連接之前配置的VPN服務(wù)端，從而進一步接入到內(nèi)網(wǎng)中。一般來說每個廠商都會針對自己的VPN安全設(shè)備提供給用戶客戶端程序安裝文件，我們進行安裝即可。

第一步：安裝客戶端程序復(fù)制必須文件到本地硬盤。(如圖13)

第二步：填寫VPN服務(wù)端的IP地址信息，這個信息在VPN安全設(shè)備中已經(jīng)設(shè)置，同時記得輸入正確的VPN服務(wù)監(jiān)聽端口。(如圖14)

第三步：在輸入連接該總部所需要的用戶名和密碼處填寫建立的具備接入權(quán)限的用戶名和密碼。(如圖15)

第四步：如果一切順利服務(wù)端地址可達，端口可用的話在客戶端VPN管理工具中可以看到連接狀態(tài)以及外網(wǎng)流量，VPN流量的產(chǎn)生，同時我們也會獲得VPN安全設(shè)備分配給我們的虛擬IP地址。(如圖16)

四，總結(jié)：

以上就是筆者多年積累的針對多個VPN安全設(shè)備設(shè)置的內(nèi)容，總體來說我們只需要從VPN安全設(shè)備網(wǎng)絡(luò)參數(shù)，VPN接入帳號，VPN接入權(quán)限三方面做好工作即可，同時正確配置VPN客戶端的用戶名密碼，連接地址與端口號就能夠順利連接到VPN安全設(shè)備了?？傮w來說VPN系統(tǒng)的搭建并不復(fù)雜，對于大多數(shù)企業(yè)來說在VPN接入權(quán)限分配方面的需求比較少，那么設(shè)置起VPN設(shè)備來就更加簡單直接了。

【編輯推薦】

1. SONICWALL推出最新系列的網(wǎng)絡(luò)安全設(shè)備
2. 用Windows Server 2003配置VPN
3. 思科路由器和安全設(shè)備管理器