專家講堂：如何創(chuàng)建WindowsVPN服務(wù)器

有關(guān)VPN客戶機(jī)的一個(gè)常見的錯(cuò)覺是認(rèn)為它們是在VPN網(wǎng)絡(luò)上連接到企業(yè)網(wǎng)絡(luò)的工作站。這種工作站肯定是一種VPN客戶機(jī)，但是，它并不是惟一的一種VPN客戶機(jī)。VPN客戶機(jī)可以是一臺(tái)計(jì)算機(jī)，還可以是一臺(tái)路由器。你的網(wǎng)絡(luò)需要使用什么類型的VPN客戶機(jī)確實(shí)取決于你的公司的具體需求。
    例如，如果你碰巧有一個(gè)缺少與公司辦公室直接連接的一個(gè)分支辦公室，使用一臺(tái)路由器作為VPN客戶機(jī)對(duì)你來說可能是一個(gè)很好的選擇。通過這樣做，你可以利用一個(gè)單個(gè)的連接把整個(gè)分支辦公室與公司辦公室連接起來。不需要每一臺(tái)PC都單獨(dú)建立一個(gè)連接。
    另一方面，如果你擁有一些經(jīng)常出差的雇員，這些雇員需要在旅行中訪問公司的網(wǎng)絡(luò)，你把這些雇員的筆記本電腦設(shè)置為VPN的客戶機(jī)可能會(huì)有好處。
    從技術(shù)上說，只要支持PPTP、L2TP或者IPSec協(xié)議，任何操作系統(tǒng)都可以作為一臺(tái)VPN客戶機(jī)。就微軟而言，這意味著你可以使用Windows NT 4.0、9X、ME、2000和XP操作系統(tǒng)。雖然所有這些操作系統(tǒng)從技術(shù)上說都可以作為客戶機(jī)，我建議你堅(jiān)持使用Windows 2000或者Windows XP操作系統(tǒng)，因?yàn)檫@些操作系統(tǒng)能夠支持L2TP和PSec協(xié)議。
    VPN服務(wù)器
    VPN服務(wù)器可以當(dāng)作VPN客戶機(jī)的一個(gè)連接點(diǎn)。從技術(shù)上說，你可以使用Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003等操作系統(tǒng)作為一臺(tái)VPN服務(wù)器。不過，為了保證安全，我認(rèn)為你應(yīng)該使用Windows Server 2003操作系統(tǒng)。
    有關(guān)VPN服務(wù)器的的誤解之一是VPN服務(wù)器所有的工作都是自己完成的。我的朋友無數(shù)次地對(duì)我說，他們要購買一臺(tái)VPN服務(wù)器。他們沒有認(rèn)識(shí)到VPN服務(wù)器只是必要的組件之一。
    VPN服務(wù)器本身是非常簡單的。VPN服務(wù)器不過是執(zhí)行路由和遠(yuǎn)程訪問服務(wù)任務(wù)的一個(gè)增強(qiáng)的‘Windows 2003 Server’服務(wù)器。一旦一個(gè)進(jìn)入VPN網(wǎng)絡(luò)的請(qǐng)求被批準(zhǔn)，這個(gè)VPN服務(wù)器就簡單地充當(dāng)一臺(tái)路由器向這個(gè)VPN客戶機(jī)提供專用網(wǎng)絡(luò)的接入。
    ISA服務(wù)器
    VPN服務(wù)器的額外要求之一是你要有一臺(tái)RADIUS(遠(yuǎn)程認(rèn)證撥入用戶服務(wù))服務(wù)器。遠(yuǎn)程認(rèn)證撥入用戶服務(wù)是互聯(lián)網(wǎng)服務(wù)提供商在用戶試圖建立互聯(lián)網(wǎng)連接的時(shí)候?qū)τ脩暨M(jìn)行身份識(shí)別的一種機(jī)制。
    你需要使用RADIUS服務(wù)器的原因是你需要一些身份識(shí)別機(jī)制對(duì)通過VPN連接進(jìn)入你的網(wǎng)絡(luò)的用戶進(jìn)行身份識(shí)別。你的域名控制器不能完成這個(gè)任務(wù)。即使你的域名控制器能夠勝任這個(gè)任務(wù)，把域名控制器暴露給外部世界也不是一個(gè)好主意。
    現(xiàn)在的問題是你從什么地方獲得這個(gè)RADIUS服務(wù)器?微軟有自己版本的RADIUS，名為“互聯(lián)網(wǎng)身份識(shí)別服務(wù)”，英文縮寫字是IAS。Windows Server 2003操作系統(tǒng)包含IAS功能。這是一個(gè)好消息。壞消息是由于安全的原因不能在同一臺(tái)計(jì)算機(jī)中把ISA當(dāng)作路由和遠(yuǎn)程訪問服務(wù)(RRAS)來運(yùn)行。即使可以這樣做，我也不能肯定在虛擬服務(wù)器設(shè)置之外是否有這個(gè)可能。
    防火墻
    你的VPN需要的其它組件是一個(gè)良好的防火墻。的確。你的VPN服務(wù)器接受來自外部世界的連接，但是，這并不意味著外部世界需要完全訪問的VPN服務(wù)器。你必須使用防火墻封鎖任何沒有使用的端口。
    建立VPN連接的基本要求是，VPN服務(wù)器的IP地址必須能過通過互聯(lián)網(wǎng)訪問，VPN通信必須能夠通過你的防火墻進(jìn)入VPN服務(wù)器。然而，還有一項(xiàng)可選擇的組件。你可以使用這個(gè)組件讓你的VPN服務(wù)器更安全。
    如果你非常重視安全問題(而且你有這筆預(yù)算)，你可以在ISA服務(wù)器和你的周邊防火墻和VPN服務(wù)器之間放置一個(gè)ISA服務(wù)器。這個(gè)想法是，你可以設(shè)置防火墻把所有的與VPN有關(guān)的通信都指向那個(gè)ISA服務(wù)器，而不是指向VPN服務(wù)器。然后，ISA服務(wù)器將充當(dāng)一個(gè)VPN代理服務(wù)器。VPN客戶機(jī)和VPN服務(wù)器僅與ISA服務(wù)器進(jìn)行通信。它們相互之間從來不直接通信。這就意味著ISA服務(wù)器在保護(hù)VPN服務(wù)器，不允許直接訪問VPN服務(wù)器，從而為VPN服務(wù)器增加了一個(gè)保護(hù)層。