為了盡可能地降低組網(wǎng)費用，同時不能影響移動辦公的需求，某單位決定在局域網(wǎng)的文件服務(wù)器中安裝配置VPN服務(wù)器，這樣可以讓單位可信任員工隨時隨地通過VPN網(wǎng)絡(luò)連接，訪問單位文件服務(wù)器中的重要數(shù)據(jù)內(nèi)容，并且這種訪問方式安全性也能得到保證，可謂一舉兩得！最近，單位有一系列很重要的文件存放在VPN服務(wù)器中，單位領(lǐng)導(dǎo)希望這些文件只能允許某個特定的員工通過VPN連接進行訪問，其他任何員工都無權(quán)訪問；面對這樣的訪問需求，我們該如何才能實現(xiàn)呢？其實，要實現(xiàn)上面的網(wǎng)絡(luò)訪問目的，我們可以有多種方法可供選用；不過，在安裝了Windows Server 2008系統(tǒng)的VPN服務(wù)器中，我們可以巧妙地使用該系統(tǒng)內(nèi)置的高級安全防火墻，來實現(xiàn)更加靈活地控制！

實現(xiàn)思路

我們知道，只要在Windows Server 2008系統(tǒng)中安裝、配置好了VPN服務(wù)器，那么Internet網(wǎng)絡(luò)中的任意一臺VPN客戶端系統(tǒng)都能通過VPN服務(wù)器中的“1723”端口，來訪問其中的數(shù)據(jù)內(nèi)容了，很顯然我們只要能夠想辦法對VPN服務(wù)器中的“1723”端口進行有效控制，就能實現(xiàn)僅讓指定員工有權(quán)訪問VPN服務(wù)器中的重要文件目的了。而Windows Server 2008系統(tǒng)恰好為我們提供了高級安全防火墻功能，通過該功能我們可以按照實際需要定義訪問VPN服務(wù)器的入站規(guī)則、出站規(guī)則，并且這些規(guī)則允許我們對網(wǎng)絡(luò)連接進行驗證操作，這么一來我們就能很輕易地將VPN網(wǎng)絡(luò)連接權(quán)限授予單位特定的可信任員工了；甚至，我們還能設(shè)置訪問規(guī)則，僅讓指定的VPN客戶端系統(tǒng)訪問VPN服務(wù)器，確保VPN服務(wù)器中的重要數(shù)據(jù)信息安全。

　　控制進入

為了僅讓使用指定帳號的用戶可以正常訪問VPN服務(wù)器中的重要數(shù)據(jù)內(nèi)容，我們可以授權(quán)特定帳號名稱進入VPN服務(wù)器，并通過Windows Server 2008系統(tǒng)中的“1723”端口來進行資源訪問操作，下面就是具體的實現(xiàn)方法：

首先以系統(tǒng)管理員身份登錄進入Windows Server 2008服務(wù)器系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“程序”/“管理工具”/“服務(wù)器管理器”命令，在彈出的服務(wù)器管理器窗口中依次點選“配置”/“高級安全防火墻”分支選項；

其次在目標分支選項下面單擊“入站規(guī)則”子項，在對應(yīng)“入站規(guī)則”子項的右側(cè)“操作”列表區(qū)域中，單擊“新規(guī)則”按鈕，打開創(chuàng)建新的入站規(guī)則向?qū)υ捒颍?/P>

圖1 選擇協(xié)議端口

當向?qū)Т翱谠儐栁覀円獎?chuàng)建什么類型的規(guī)則時，我們必須選中這里的“端口”選項，以便讓W(xué)indows Server 2008服務(wù)器系統(tǒng)對通過VPN連接端口的數(shù)據(jù)包進行身份驗證操作；選中“端口”選項后，單擊“下一步”按鈕，打開如圖1所示的向?qū)гO(shè)置界面，再將該設(shè)置界面中的“TCP”協(xié)議選項選中，同時選中“特定本地端口”選項，然后在對應(yīng)“特定本地端口”選項的文本框中輸入VPN服務(wù)器缺省使用的“1723”端口；

圖2 向?qū)гO(shè)置界面

繼續(xù)單擊“下一步”按鈕，系統(tǒng)屏幕上會出現(xiàn)一個如圖2所示的向?qū)гO(shè)置界面，選中其中的“只允許安全連接”選項，同時將該選項下面的“要求加密連接”子項選中，以便讓W(xué)indows Server 2008服務(wù)器系統(tǒng)對來訪者進行身份驗證操作；

圖3 設(shè)定連接權(quán)限

當向?qū)聊怀霈F(xiàn)如圖3所示的設(shè)置窗口時，我們可以選中這里的“只允許來自下列用戶的連接”選項，同時單擊該選項旁邊的“添加”按鈕，從其后出現(xiàn)的帳號選擇對話框中，將我們認為可以信任的目標用戶帳號導(dǎo)入添加進來；最后依照向?qū)崾荆瑸楫斍皠?chuàng)建的新入站規(guī)則取一個合適的名稱，如此一來日后我們只有使用在這里授權(quán)的用戶帳號才能訪問Windows Server 2008系統(tǒng)中的VPN服務(wù)器，而使用其他用戶帳號嘗試與VPN服務(wù)器建立連接時，Windows Server 2008系統(tǒng)中的高級安全防火墻就會自動對它們進行攔截，這樣一來VPN服務(wù)器中的重要數(shù)據(jù)信息就不會被他人隨意訪問了。

為了防止離職員工隨意使用特定的用戶帳號進行VPN連接訪問，我們還可以修改入站規(guī)則的加密連接設(shè)置項目，同時選中其中的“只允許使用指定計算機連接”選項，再單擊“添加”按鈕，將我們認為可以信任的計算機主機名稱或IP地址添加進來，這樣一來我們?nèi)蘸蟊仨氃谥付ǖ挠嬎銠C中、使用指定的用戶帳號，才能順利地訪問到VPN服務(wù)器中的重要數(shù)據(jù)信息，而那些知道VPN連接帳號的離職員工如果不能在指定的計算機中進行網(wǎng)絡(luò)連接，同樣不能訪問VPN服務(wù)器中的文件內(nèi)容。很明顯，這種控制方式可以讓VPN服務(wù)器中的文件內(nèi)容更加安全。