輕松配置VPN安全設(shè)備的三步驟

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著網(wǎng)絡(luò)的逐步普及越來(lái)越多的企業(yè)開(kāi)始在多個(gè)地方建立自己的分支機(jī)構(gòu)，不過(guò)由于很多企業(yè)內(nèi)部應(yīng)用涉及到業(yè)務(wù)隱私，所以如何讓分支結(jié)構(gòu)能夠安全并且順利的使用這些應(yīng)用就成為每個(gè)企業(yè)網(wǎng)絡(luò)管理員所關(guān)心的話題，一般來(lái)說(shuō)我們可以通過(guò)VPN安全設(shè)備實(shí)現(xiàn)遠(yuǎn)程用戶或分支機(jī)構(gòu)的接入服務(wù)，通過(guò)VPN驗(yàn)證遠(yuǎn)程接入權(quán)限。那么對(duì)于VPN安全設(shè)備來(lái)說(shuō)我們?cè)撊绾卧O(shè)置呢？下面筆者就從自己多年實(shí)際應(yīng)用以及設(shè)置多臺(tái)VPN安全設(shè)備的經(jīng)驗(yàn)出發(fā)，為讀者介紹如何三步走配置VPN安全設(shè)備。

一，VPN安全設(shè)備之功能：

在配置VPN安全設(shè)備之前我們先要了解他到底能夠?yàn)槲覀冏鍪裁?，這樣才能夠更好的理解為什么要針對(duì)某些配置和參數(shù)進(jìn)行設(shè)置。

所謂VPN實(shí)際上是虛擬專用網(wǎng)絡(luò)Virtual Private Network的縮寫，他又稱為虛擬私人網(wǎng)絡(luò)，是一種常用于連接中、大型企業(yè)或團(tuán)體與團(tuán)體間的私人網(wǎng)絡(luò)的通訊方法。虛擬私人網(wǎng)絡(luò)的訊息透過(guò)公用的網(wǎng)絡(luò)架構(gòu)（例如互聯(lián)網(wǎng)）來(lái)傳送內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)訊息。

通過(guò)VPN我們可以將外網(wǎng)或異地分支結(jié)構(gòu)連接到企業(yè)的內(nèi)網(wǎng)中，獲得與內(nèi)網(wǎng)其他計(jì)算機(jī)同一個(gè)網(wǎng)段的IP，使用內(nèi)網(wǎng)相關(guān)服務(wù)與網(wǎng)絡(luò)應(yīng)用。不過(guò)要想讓VPN能夠正常運(yùn)行我們首先需要設(shè)置對(duì)應(yīng)的具備遠(yuǎn)程接入VPN設(shè)備的帳戶，然后還要根據(jù)帳號(hào)權(quán)限分配容許連接的內(nèi)網(wǎng)應(yīng)用服務(wù)類別，要知道一臺(tái)高性能的VPN設(shè)備是不可能只提供接入而不分配接入后能夠使用的權(quán)限的，通過(guò)劃分權(quán)限我們可以實(shí)現(xiàn)既保證VPN遠(yuǎn)程接入內(nèi)網(wǎng)又禁止接入后隨意濫用訪問(wèn)權(quán)限的功能。同時(shí)VPN設(shè)備自身的各個(gè)網(wǎng)絡(luò)參數(shù)也需要合理配置。下面筆者就綜合多臺(tái)VPN的配置為各位介紹如何設(shè)置VPN安全設(shè)備。

二，三步走教你配置VPN安全設(shè)備：

筆者擔(dān)任網(wǎng)絡(luò)管理員職務(wù)已經(jīng)有六個(gè)年頭了，在這期間筆者在windows 2003上開(kāi)啟過(guò)VPN服務(wù)，在多臺(tái)專門的VPN安全設(shè)備上也進(jìn)行了相關(guān)設(shè)置。拋開(kāi)windows 2003這類系統(tǒng)和軟件建立的VPN不說(shuō)，因?yàn)檐浖O(shè)置建立的VPN性能和安全等方面都不如專業(yè)的VPN安全接入設(shè)備，性能的缺失使其應(yīng)用范圍很窄。所以我們還是以專業(yè)VPN安全設(shè)備的配置為例進(jìn)行介紹，就筆者總結(jié)VPN安全設(shè)備配置主要可以歸納為三大步。

（1）VPN安全設(shè)備網(wǎng)絡(luò)參數(shù)要設(shè)好：

任何VPN安全設(shè)備的網(wǎng)絡(luò)相關(guān)參數(shù)都需要我們提前設(shè)好，默認(rèn)的信息肯定是不符合我們企業(yè)實(shí)際應(yīng)用的。這里涉及的網(wǎng)絡(luò)參數(shù)主要包括VPN安全設(shè)備的內(nèi)網(wǎng)IP，外網(wǎng)IP等信息。下面我們就來(lái)看看如何從第一步開(kāi)始針對(duì)VPN安全設(shè)備的網(wǎng)絡(luò)參數(shù)進(jìn)行配置。

第一步：首先使用VPN默認(rèn)的管理地址訪問(wèn)管理界面，一般都會(huì)自動(dòng)安裝一個(gè)廠商的插件。

第二步：進(jìn)入管理界面后左邊是相應(yīng)的配置選單，各個(gè)VPN安全設(shè)備都不太相同，不過(guò)都會(huì)存在一個(gè)類似“快速配置”的選項(xiàng)，通過(guò)此選項(xiàng)我們可以針對(duì)VPN設(shè)備的基本信息和網(wǎng)絡(luò)參數(shù)進(jìn)行配置。

第三步：快速配置第一項(xiàng)是設(shè)置VPN安全產(chǎn)品的內(nèi)網(wǎng)接口，我們只需要將企業(yè)內(nèi)網(wǎng)IP地址填寫到此即可，記住一定不要和其他計(jì)算機(jī)IP地址沖突，子網(wǎng)掩碼信息也按照真實(shí)情況填寫。

第四步：接下來(lái)是設(shè)置外網(wǎng)接口，一般VPN安全產(chǎn)品支持動(dòng)態(tài)IP或指定靜態(tài)IP地址以及PPPOE這種ADSL撥號(hào)方式，我們可以根據(jù)企業(yè)實(shí)際情況去設(shè)置，需要提醒一點(diǎn)的是在設(shè)置靜態(tài)IP地址等信息時(shí)，DNS地址和默認(rèn)網(wǎng)關(guān)地址一定不要忘記寫。

小提示：

一般來(lái)說(shuō)VPN設(shè)備都會(huì)放置到企業(yè)網(wǎng)絡(luò)的最外層，所以很少會(huì)在外層安裝有DHCP服務(wù)器，因此對(duì)于VPN安全設(shè)備來(lái)說(shuō)直接選擇動(dòng)態(tài)獲取WAN接口方式的很少，一般都不會(huì)采用。

第五步：設(shè)置VPN服務(wù)端的連接IP地址，這個(gè)地址非常重要，在客戶端通過(guò)VPN接入程序連接服務(wù)端時(shí)需要填寫的就是這個(gè)地址和相應(yīng)的端口，一般來(lái)說(shuō)此地址與VPN安全設(shè)備的WAN接口IP地址應(yīng)該是一致的。

小提示：

VPN服務(wù)端所使用的IP，特別是端口信息并不是一成不變的，由于企業(yè)內(nèi)網(wǎng)存在防火墻的緣故，所以自定義服務(wù)端應(yīng)用端口功能不能缺少。我們可以在VPN相關(guān)的基本設(shè)置處找到修改VPN監(jiān)聽(tīng)端口的選項(xiàng)。

針對(duì)VPN服務(wù)端地址，端口以及VPN設(shè)備的LAN接口，WAN接口IP地址設(shè)置完畢后我們就完成了第一步的設(shè)置工作，接下來(lái)就要針對(duì)VPN接入帳號(hào)以及權(quán)限信息進(jìn)行配置了。

（2）VPN接入帳號(hào)信息要設(shè)好：

對(duì)于企業(yè)來(lái)說(shuō)我們可以為VPN接入安全分級(jí)，通過(guò)設(shè)置多個(gè)不同用戶組不同權(quán)限的VPN接入帳號(hào)來(lái)實(shí)現(xiàn)企業(yè)遠(yuǎn)程接入的多層管理。不過(guò)不管接入后權(quán)限如何都需要我們?yōu)閷?duì)應(yīng)的人員提供相應(yīng)的授權(quán)帳號(hào)。因此第二步針對(duì)VPN安全設(shè)備的設(shè)置就落在VPN接入帳號(hào)上。

第一步：同樣在VPN安全設(shè)備管理界面，找到VPN信息設(shè)置下的用戶管理。

第二步：在用戶管理中通過(guò)“新增用戶”按鈕創(chuàng)建一個(gè)帳戶，在這里設(shè)置接入密碼以及認(rèn)證屬性，在認(rèn)證方面存在本地認(rèn)證，LDAP認(rèn)證，Radius認(rèn)證等，前者是通過(guò)VPN安全設(shè)備自身帳戶庫(kù)來(lái)達(dá)到認(rèn)證目的，而后者是需要一臺(tái)專門的radius認(rèn)證服務(wù)器來(lái)實(shí)現(xiàn)認(rèn)證。而LDAP通常被公司用作用戶信息的中心資源庫(kù)，同時(shí)也被當(dāng)作一種認(rèn)證服務(wù)。

第三步：在帳戶屬性中我們還會(huì)看到有管啟用虛擬IP的信息，在這里要求我們填寫一個(gè)特定的IP地址，這樣當(dāng)遠(yuǎn)程主機(jī)或網(wǎng)絡(luò)使用該帳戶連接VPN時(shí)會(huì)自動(dòng)分配給接入者一個(gè)虛擬IP，記住這個(gè)虛擬IP地址最好與內(nèi)網(wǎng)IP一樣，這樣才能夠保證接入后可以順利使用內(nèi)網(wǎng)應(yīng)用與服務(wù)。

小提示：

不管為接入帳號(hào)設(shè)置什么樣的虛擬IP，在建立帳號(hào)之前我們都需要手工建立相應(yīng)的虛擬IP池，然后才能夠保證VPN接入帳戶處的設(shè)置可以生效。虛擬IP池支持多個(gè)IP段一起作用。

擁有了VPN接入帳號(hào)后我們還沒(méi)有完全完成VPN安全設(shè)備的配置工作，要想能夠有效的提高設(shè)備安全，我們還需要針對(duì)VPN接入者的安全權(quán)限進(jìn)行細(xì)分。

（3）VPN接入權(quán)限要分配好：

小提示：

一般來(lái)說(shuō)VPN設(shè)備都會(huì)放置到企業(yè)網(wǎng)絡(luò)的最外層，所以很少會(huì)在外層安裝有DHCP服務(wù)器，因此對(duì)于VPN安全設(shè)備來(lái)說(shuō)直接選擇動(dòng)態(tài)獲取WAN接口方式的很少，一般都不會(huì)采用。

第五步：設(shè)置VPN服務(wù)端的連接IP地址，這個(gè)地址非常重要，在客戶端通過(guò)VPN接入程序連接服務(wù)端時(shí)需要填寫的就是這個(gè)地址和相應(yīng)的端口，一般來(lái)說(shuō)此地址與VPN安全設(shè)備的WAN接口IP地址應(yīng)該是一致的。

小提示：

VPN服務(wù)端所使用的IP，特別是端口信息并不是一成不變的，由于企業(yè)內(nèi)網(wǎng)存在防火墻的緣故，所以自定義服務(wù)端應(yīng)用端口功能不能缺少。我們可以在VPN相關(guān)的基本設(shè)置處找到修改VPN監(jiān)聽(tīng)端口的選項(xiàng)。

針對(duì)VPN服務(wù)端地址，端口以及VPN設(shè)備的LAN接口，WAN接口IP地址設(shè)置完畢后我們就完成了第一步的設(shè)置工作，接下來(lái)就要針對(duì)VPN接入帳號(hào)以及權(quán)限信息進(jìn)行配置了。

（2）VPN接入帳號(hào)信息要設(shè)好：

對(duì)于企業(yè)來(lái)說(shuō)我們可以為VPN接入安全分級(jí)，通過(guò)設(shè)置多個(gè)不同用戶組不同權(quán)限的VPN接入帳號(hào)來(lái)實(shí)現(xiàn)企業(yè)遠(yuǎn)程接入的多層管理。不過(guò)不管接入后權(quán)限如何都需要我們?yōu)閷?duì)應(yīng)的人員提供相應(yīng)的授權(quán)帳號(hào)。因此第二步針對(duì)VPN安全設(shè)備的設(shè)置就落在VPN接入帳號(hào)上。

第一步：同樣在VPN安全設(shè)備管理界面，找到VPN信息設(shè)置下的用戶管理。

第二步：在用戶管理中通過(guò)“新增用戶”按鈕創(chuàng)建一個(gè)帳戶，在這里設(shè)置接入密碼以及認(rèn)證屬性，在認(rèn)證方面存在本地認(rèn)證，LDAP認(rèn)證，Radius認(rèn)證等，前者是通過(guò)VPN安全設(shè)備自身帳戶庫(kù)來(lái)達(dá)到認(rèn)證目的，而后者是需要一臺(tái)專門的radius認(rèn)證服務(wù)器來(lái)實(shí)現(xiàn)認(rèn)證。而LDAP通常被公司用作用戶信息的中心資源庫(kù)，同時(shí)也被當(dāng)作一種認(rèn)證服務(wù)。

第三步：在帳戶屬性中我們還會(huì)看到有管啟用虛擬IP的信息，在這里要求我們填寫一個(gè)特定的IP地址，這樣當(dāng)遠(yuǎn)程主機(jī)或網(wǎng)絡(luò)使用該帳戶連接VPN時(shí)會(huì)自動(dòng)分配給接入者一個(gè)虛擬IP，記住這個(gè)虛擬IP地址最好與內(nèi)網(wǎng)IP一樣，這樣才能夠保證接入后可以順利使用內(nèi)網(wǎng)應(yīng)用與服務(wù)。

小提示：

不管為接入帳號(hào)設(shè)置什么樣的虛擬IP，在建立帳號(hào)之前我們都需要手工建立相應(yīng)的虛擬IP池，然后才能夠保證VPN接入帳戶處的設(shè)置可以生效。虛擬IP池支持多個(gè)IP段一起作用。

擁有了VPN接入帳號(hào)后我們還沒(méi)有完全完成VPN安全設(shè)備的配置工作，要想能夠有效的提高設(shè)備安全，我們還需要針對(duì)VPN接入者的安全權(quán)限進(jìn)行細(xì)分。

（3）VPN接入權(quán)限要分配好：

默認(rèn)情況下任何通過(guò)VPN接入的帳號(hào)只要分配了符合內(nèi)網(wǎng)規(guī)則的虛擬IP的話，該接入主機(jī)將與內(nèi)網(wǎng)其他計(jì)算機(jī)擁有相同的訪問(wèn)權(quán)限。訪問(wèn)各個(gè)計(jì)算機(jī)，使用各個(gè)網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)服務(wù)。不過(guò)很多時(shí)候我們并不希望這種接入帶來(lái)隨意使用的效果，我們要針對(duì)遠(yuǎn)程VPN接入者的使用權(quán)限進(jìn)行仔細(xì)劃分。這點(diǎn)對(duì)于提高VPN設(shè)備和內(nèi)網(wǎng)應(yīng)用的安全性是非常重要的。下面我們就簡(jiǎn)單了解下如何針對(duì)VPN接入權(quán)限進(jìn)行分配。

在設(shè)置完接入帳號(hào)后我們可以到“高級(jí)設(shè)置”下尋找“內(nèi)網(wǎng)服務(wù)設(shè)置”，在這里我們可以針對(duì)VPN接入后使用的服務(wù)進(jìn)行設(shè)置，選擇是否啟用該應(yīng)用。同時(shí)我們還可以通過(guò)“新增”按鈕功能添加自定義的訪問(wèn)控制列表。

通過(guò)設(shè)置訪問(wèn)控制列表信息，我們可以做到容許該接入帳號(hào)只能夠訪問(wèn)某臺(tái)或某個(gè)網(wǎng)段的計(jì)算機(jī)，又或者只容許該接入帳號(hào)只能夠使用某項(xiàng)或某幾個(gè)網(wǎng)絡(luò)應(yīng)用與服務(wù)，總之通過(guò)“內(nèi)網(wǎng)服務(wù)設(shè)置”我們可以為每個(gè)接入帳號(hào)劃分具體的網(wǎng)絡(luò)使用權(quán)限。

當(dāng)然可能有的企業(yè)并不需要針對(duì)接入用戶權(quán)限劃分得過(guò)細(xì)，網(wǎng)絡(luò)管理員自然不用在這里下太多的功夫，不過(guò)VPN接入權(quán)限的配置確實(shí)是VPN安全設(shè)備配置過(guò)程中不可獲缺的一個(gè)環(huán)節(jié)。

三，遠(yuǎn)程接入者上設(shè)置VPN參數(shù)：

最后我們還需要在遠(yuǎn)程接入設(shè)備上安裝VPN客戶端，這樣才能夠順利的連接之前配置的VPN服務(wù)端，從而進(jìn)一步接入到內(nèi)網(wǎng)中。一般來(lái)說(shuō)每個(gè)廠商都會(huì)針對(duì)自己的VPN安全設(shè)備提供給用戶客戶端程序安裝文件，我們進(jìn)行安裝即可。

第一步：安裝客戶端程序復(fù)制必須文件到本地硬盤。

第二步：填寫VPN服務(wù)端的IP地址信息，這個(gè)信息在VPN安全設(shè)備中已經(jīng)設(shè)置，同時(shí)記得輸入正確的VPN服務(wù)監(jiān)聽(tīng)端口。

第三步：在輸入連接該總部所需要的用戶名和密碼處填寫建立的具備接入權(quán)限的用戶名和密碼。

第四步：如果一切順利服務(wù)端地址可達(dá)，端口可用的話在客戶端VPN管理工具中可以看到連接狀態(tài)以及外網(wǎng)流量，VPN流量的產(chǎn)生，同時(shí)我們也會(huì)獲得VPN安全設(shè)備分配給我們的虛擬IP地址。

四，總結(jié)：

以上就是筆者多年積累的針對(duì)多個(gè)VPN安全設(shè)備設(shè)置的內(nèi)容，總體來(lái)說(shuō)我們只需要從VPN安全設(shè)備網(wǎng)絡(luò)參數(shù)，VPN接入帳號(hào)，VPN接入權(quán)限三方面做好工作即可，同時(shí)正確配置VPN客戶端的用戶名密碼，連接地址與端口號(hào)就能夠順利連接到VPN安全設(shè)備了?？傮w來(lái)說(shuō)VPN系統(tǒng)的搭建并不復(fù)雜，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)在VPN接入權(quán)限分配方面的需求比較少，那么設(shè)置起VPN設(shè)備來(lái)就更加簡(jiǎn)單直接了。（IT168）