陳曉君 王雷 劉正華

【摘要】本文以某公司高層領(lǐng)導(dǎo)chen1、chen2出差在外，欲訪問公司內(nèi)部財務(wù)報表為背景，設(shè)計實現(xiàn)了在win2008、win2003、winxp不同操作系統(tǒng)下，基于VPN安全遠(yuǎn)程訪問的實現(xiàn)。其中win2008為域控制器，win2003作為域中存放財務(wù)報表的成員，winxp為高層領(lǐng)導(dǎo)所用客戶端。

【關(guān)鍵詞】VPN；遠(yuǎn)程訪問；域

本文以某公司高層領(lǐng)導(dǎo)chen1、chen2出差在外，欲訪問、修改公司內(nèi)部財務(wù)報表為背景，利用VPN技術(shù)妥善地為出差在外的公司高層提供方便、安全、快捷的財務(wù)報表遠(yuǎn)程訪問服務(wù)。VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）利用公網(wǎng)來構(gòu)建專用的網(wǎng)絡(luò)，通過特殊的硬件和軟件直接通過共享的IP網(wǎng)所建立的隧道來實現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接，并提供同專用網(wǎng)絡(luò)一樣的安全和功能保障。

一、虛擬專用網(wǎng)為用戶提供的功能[1]

加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露；信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份；提供訪問控制，不同的用戶有不同的訪問權(quán)限。

二、基于Windows操作系統(tǒng)安全遠(yuǎn)程訪問的實現(xiàn)方案

VMWare虛擬機(jī)軟件是一個“虛擬PC”軟件，VMware可以使你在一臺機(jī)器上同時運(yùn)行多個操作系統(tǒng)。VMWare是真正主系統(tǒng)“同時”運(yùn)行多個操作系統(tǒng)的平臺，就如標(biāo)準(zhǔn)Windows應(yīng)用程序之間的切換。而且每個操作系統(tǒng)都可以進(jìn)行虛擬的分區(qū)、配置而不影響真實硬盤的數(shù)據(jù)，可以通過網(wǎng)卡將幾臺虛擬機(jī)用網(wǎng)卡連接為一個局域網(wǎng)，極其方便。安裝在VMware操作系統(tǒng)性能上比直接安裝在硬盤上的系統(tǒng)低不少，因此比較適合學(xué)習(xí)和測試。本文首先在虛擬機(jī)上安裝win2008、win2003、winxp三個操作系統(tǒng)，之后在win2008上進(jìn)行DNS服務(wù)器的安裝、配置與測試[2]，創(chuàng)建域，將服務(wù)器win2003加入到域中。至此Win2008作為域控制器，安裝有活動目錄AD、DNS服務(wù)器；win2003作為成員服務(wù)器，即存放公司內(nèi)部財務(wù)報表的服務(wù)器；winxp為客戶端，代表高層領(lǐng)導(dǎo)。本文依據(jù)虛擬專用網(wǎng)絡(luò)VPN實現(xiàn)資源的遠(yuǎn)程訪問，遠(yuǎn)程訪問的網(wǎng)絡(luò)傳輸協(xié)議采用PPTP協(xié)議，允許L2TP連接。[3]原理圖如下：

三、具體實現(xiàn)過程

基于Windows操作系統(tǒng)安全遠(yuǎn)程訪問的實現(xiàn)主要包括一）在域中發(fā)布文件夾共享并設(shè)置權(quán)限；二）VPN服務(wù)器配置：（1）安裝VPN服務(wù)（2）啟用“路由和遠(yuǎn)程訪問服務(wù)”（3）配置路由和遠(yuǎn)程訪問服務(wù)；三）客戶端配置和測試PPTP客戶端。具體實現(xiàn)過程如下：

（一）在域中發(fā)布文件夾共享并設(shè)置權(quán)限

1.在win2003中創(chuàng)建文件夾，名稱為財務(wù)報表，在文件夾中創(chuàng)建文本文檔，名稱為2015-12財務(wù)收支.txt；2.在win2008AD中新建用戶。在“ActiveDirectory用戶和計算機(jī)”窗口中，右擊users-->新建用戶chen1、chen2，設(shè)置密碼；3.賦予chen1、chen2”完全控制”權(quán)限。在“計算機(jī)管理”窗口中，右擊共享-->新建共享，創(chuàng)建文件夾共享中選擇“財務(wù)報表”-->選擇chen1、chen2，賦予”完全控制”權(quán)限；4.在文件夾“財務(wù)報表”屬性框“安全”選項卡中，賦予chen1“讀取”權(quán)限，chen2“讀取”“寫入”權(quán)限

（二）VPN服務(wù)器配置

1.安裝VPN服務(wù)。在“服務(wù)器管理器”界面中，添加角色-->依據(jù)添加角色向?qū)?，在服?wù)器角色中選擇“網(wǎng)絡(luò)策略與訪問服務(wù)”-->選擇“路由和遠(yuǎn)程訪問服務(wù)”，進(jìn)行安裝。

2.啟用“路由和遠(yuǎn)程訪問服務(wù)”。（1）網(wǎng)絡(luò)配置，使本地連接2的IP地址、DNS服務(wù)器與內(nèi)網(wǎng)不在一個網(wǎng)段；（2）在“路由和遠(yuǎn)程訪問”界面中，右擊win2008-->選擇“配置并啟用路由和遠(yuǎn)程訪問”-->選擇VPN，配置此服務(wù)器接受VPN連接-->選擇將此服務(wù)器連接到internet的網(wǎng)絡(luò)接口本地連接2-->為遠(yuǎn)程客戶端分配IP地址；（3）在chen1、chen2屬性對話框“撥入”選項卡，設(shè)置網(wǎng)絡(luò)訪問權(quán)限“允許訪問”“不回?fù)堋薄?/p>

3.配置路由和遠(yuǎn)程訪問服務(wù)。（1）在“路由和遠(yuǎn)程訪問”窗口，右擊win2008，打開屬性對話框-->在“安全”選項卡中，選擇“允許L2TP連接使用自定義IPsec策略”，輸入欲共享的密鑰-->重啟路由和遠(yuǎn)程訪問服務(wù)；（2）右擊“端口”，在端口屬性對話框中，選擇PPTP，配置最多端口數(shù)-->選擇L2TP，配置最多端口數(shù)。

（三）客戶端配置和測試PPTP客戶端

1.在網(wǎng)絡(luò)連接中創(chuàng)建一個新的連接，虛擬專用網(wǎng)絡(luò)連接，輸入公司名稱client及VPN服務(wù)器的IP；2.右擊虛擬專用網(wǎng)絡(luò)client，在屬性對話框中選擇包含windows登錄域；3.右擊client-->連接-->輸入用戶名chen1、密碼、域-->點擊“連接”，顯示client已連接；4.在開始-運(yùn)行中輸入win2003的IP地址，可以看到共享文件夾，遠(yuǎn)程訪問成功-->嘗試chen1用戶只能讀取，不能寫入的權(quán)限；5.重復(fù)3.4.嘗試chen2的連接及讀取寫入權(quán)限。

參考文獻(xiàn)

[1]張冬英.VPN技術(shù)在計算機(jī)網(wǎng)絡(luò)中的應(yīng)用[J].網(wǎng)絡(luò)信息化，2015（10）：116-117.

[2]曹立志.常見WindowsServer2008服務(wù)功能的應(yīng)用[J].技術(shù)研究，2014（19）：83-85.

[3]張梅.SSLVPN關(guān)鍵技術(shù)研究與系統(tǒng)設(shè)計[D].解放軍信息工程大學(xué)，2006.