監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關閉
哈爾濱OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

輕松配置VPN安全設備的三步驟

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

隨著網(wǎng)絡的逐步普及越來越多的企業(yè)開始在多個地方建立自己的分支機構,不過由于很多企業(yè)內部應用涉及到業(yè)務隱私,所以如何讓分支結構能夠安全并且順利的使用這些應用就成為每個企業(yè)網(wǎng)絡管理員所關心的話題,一般來說我們可以通過VPN安全設備實現(xiàn)遠程用戶或分支機構的接入服務,通過VPN驗證遠程接入權限。那么對于VPN安全設備來說我們該如何設置呢?下面筆者就從自己多年實際應用以及設置多臺VPN安全設備的經(jīng)驗出發(fā),為讀者介紹如何三步走配置VPN安全設備。

一,VPN安全設備之功能:

在配置VPN安全設備之前我們先要了解他到底能夠為我們做什么,這樣才能夠更好的理解為什么要針對某些配置和參數(shù)進行設置。

所謂VPN實際上是虛擬專用網(wǎng)絡Virtual Private Network的縮寫,他又稱為虛擬私人網(wǎng)絡,是一種常用于連接中、大型企業(yè)或團體與團體間的私人網(wǎng)絡的通訊方法。虛擬私人網(wǎng)絡的訊息透過公用的網(wǎng)絡架構(例如互聯(lián)網(wǎng))來傳送內聯(lián)網(wǎng)的網(wǎng)絡訊息。

通過VPN我們可以將外網(wǎng)或異地分支結構連接到企業(yè)的內網(wǎng)中,獲得與內網(wǎng)其他計算機同一個網(wǎng)段的IP,使用內網(wǎng)相關服務與網(wǎng)絡應用。不過要想讓VPN能夠正常運行我們首先需要設置對應的具備遠程接入VPN設備的帳戶,然后還要根據(jù)帳號權限分配容許連接的內網(wǎng)應用服務類別,要知道一臺高性能的VPN設備是不可能只提供接入而不分配接入后能夠使用的權限的,通過劃分權限我們可以實現(xiàn)既保證VPN遠程接入內網(wǎng)又禁止接入后隨意濫用訪問權限的功能。同時VPN設備自身的各個網(wǎng)絡參數(shù)也需要合理配置。下面筆者就綜合多臺VPN的配置為各位介紹如何設置VPN安全設備。

二,三步走教你配置VPN安全設備:

筆者擔任網(wǎng)絡管理員職務已經(jīng)有六個年頭了,在這期間筆者在windows 2003上開啟過VPN服務,在多臺專門的VPN安全設備上也進行了相關設置。拋開windows 2003這類系統(tǒng)和軟件建立的VPN不說,因為軟件設置建立的VPN性能和安全等方面都不如專業(yè)的VPN安全接入設備,性能的缺失使其應用范圍很窄。所以我們還是以專業(yè)VPN安全設備的配置為例進行介紹,就筆者總結VPN安全設備配置主要可以歸納為三大步。

(1)VPN安全設備網(wǎng)絡參數(shù)要設好:

任何VPN安全設備的網(wǎng)絡相關參數(shù)都需要我們提前設好,默認的信息肯定是不符合我們企業(yè)實際應用的。這里涉及的網(wǎng)絡參數(shù)主要包括VPN安全設備的內網(wǎng)IP,外網(wǎng)IP等信息。下面我們就來看看如何從第一步開始針對VPN安全設備的網(wǎng)絡參數(shù)進行配置。

第一步:首先使用VPN默認的管理地址訪問管理界面,一般都會自動安裝一個廠商的插件。

第二步:進入管理界面后左邊是相應的配置選單,各個VPN安全設備都不太相同,不過都會存在一個類似“快速配置”的選項,通過此選項我們可以針對VPN設備的基本信息和網(wǎng)絡參數(shù)進行配置。

第三步:快速配置第一項是設置VPN安全產品的內網(wǎng)接口,我們只需要將企業(yè)內網(wǎng)IP地址填寫到此即可,記住一定不要和其他計算機IP地址沖突,子網(wǎng)掩碼信息也按照真實情況填寫。

第四步:接下來是設置外網(wǎng)接口,一般VPN安全產品支持動態(tài)IP或指定靜態(tài)IP地址以及PPPOE這種ADSL撥號方式,我們可以根據(jù)企業(yè)實際情況去設置,需要提醒一點的是在設置靜態(tài)IP地址等信息時,DNS地址和默認網(wǎng)關地址一定不要忘記寫。

小提示:

一般來說VPN設備都會放置到企業(yè)網(wǎng)絡的最外層,所以很少會在外層安裝有DHCP服務器,因此對于VPN安全設備來說直接選擇動態(tài)獲取WAN接口方式的很少,一般都不會采用。

第五步:設置VPN服務端的連接IP地址,這個地址非常重要,在客戶端通過VPN接入程序連接服務端時需要填寫的就是這個地址和相應的端口,一般來說此地址與VPN安全設備的WAN接口IP地址應該是一致的。

小提示:

VPN服務端所使用的IP,特別是端口信息并不是一成不變的,由于企業(yè)內網(wǎng)存在防火墻的緣故,所以自定義服務端應用端口功能不能缺少。我們可以在VPN相關的基本設置處找到修改VPN監(jiān)聽端口的選項。

針對VPN服務端地址,端口以及VPN設備的LAN接口,WAN接口IP地址設置完畢后我們就完成了第一步的設置工作,接下來就要針對VPN接入帳號以及權限信息進行配置了。

(2)VPN接入帳號信息要設好:

對于企業(yè)來說我們可以為VPN接入安全分級,通過設置多個不同用戶組不同權限的VPN接入帳號來實現(xiàn)企業(yè)遠程接入的多層管理。不過不管接入后權限如何都需要我們?yōu)閷娜藛T提供相應的授權帳號。因此第二步針對VPN安全設備的設置就落在VPN接入帳號上。

第一步:同樣在VPN安全設備管理界面,找到VPN信息設置下的用戶管理。

第二步:在用戶管理中通過“新增用戶”按鈕創(chuàng)建一個帳戶,在這里設置接入密碼以及認證屬性,在認證方面存在本地認證,LDAP認證,Radius認證等,前者是通過VPN安全設備自身帳戶庫來達到認證目的,而后者是需要一臺專門的radius認證服務器來實現(xiàn)認證。而LDAP通常被公司用作用戶信息的中心資源庫,同時也被當作一種認證服務。

第三步:在帳戶屬性中我們還會看到有管啟用虛擬IP的信息,在這里要求我們填寫一個特定的IP地址,這樣當遠程主機或網(wǎng)絡使用該帳戶連接VPN時會自動分配給接入者一個虛擬IP,記住這個虛擬IP地址最好與內網(wǎng)IP一樣,這樣才能夠保證接入后可以順利使用內網(wǎng)應用與服務。

小提示:

不管為接入帳號設置什么樣的虛擬IP,在建立帳號之前我們都需要手工建立相應的虛擬IP池,然后才能夠保證VPN接入帳戶處的設置可以生效。虛擬IP池支持多個IP段一起作用。

擁有了VPN接入帳號后我們還沒有完全完成VPN安全設備的配置工作,要想能夠有效的提高設備安全,我們還需要針對VPN接入者的安全權限進行細分。

(3)VPN接入權限要分配好:

小提示:

一般來說VPN設備都會放置到企業(yè)網(wǎng)絡的最外層,所以很少會在外層安裝有DHCP服務器,因此對于VPN安全設備來說直接選擇動態(tài)獲取WAN接口方式的很少,一般都不會采用。

第五步:設置VPN服務端的連接IP地址,這個地址非常重要,在客戶端通過VPN接入程序連接服務端時需要填寫的就是這個地址和相應的端口,一般來說此地址與VPN安全設備的WAN接口IP地址應該是一致的。

小提示:

VPN服務端所使用的IP,特別是端口信息并不是一成不變的,由于企業(yè)內網(wǎng)存在防火墻的緣故,所以自定義服務端應用端口功能不能缺少。我們可以在VPN相關的基本設置處找到修改VPN監(jiān)聽端口的選項。

針對VPN服務端地址,端口以及VPN設備的LAN接口,WAN接口IP地址設置完畢后我們就完成了第一步的設置工作,接下來就要針對VPN接入帳號以及權限信息進行配置了。

(2)VPN接入帳號信息要設好:

對于企業(yè)來說我們可以為VPN接入安全分級,通過設置多個不同用戶組不同權限的VPN接入帳號來實現(xiàn)企業(yè)遠程接入的多層管理。不過不管接入后權限如何都需要我們?yōu)閷娜藛T提供相應的授權帳號。因此第二步針對VPN安全設備的設置就落在VPN接入帳號上。

第一步:同樣在VPN安全設備管理界面,找到VPN信息設置下的用戶管理。

第二步:在用戶管理中通過“新增用戶”按鈕創(chuàng)建一個帳戶,在這里設置接入密碼以及認證屬性,在認證方面存在本地認證,LDAP認證,Radius認證等,前者是通過VPN安全設備自身帳戶庫來達到認證目的,而后者是需要一臺專門的radius認證服務器來實現(xiàn)認證。而LDAP通常被公司用作用戶信息的中心資源庫,同時也被當作一種認證服務。

第三步:在帳戶屬性中我們還會看到有管啟用虛擬IP的信息,在這里要求我們填寫一個特定的IP地址,這樣當遠程主機或網(wǎng)絡使用該帳戶連接VPN時會自動分配給接入者一個虛擬IP,記住這個虛擬IP地址最好與內網(wǎng)IP一樣,這樣才能夠保證接入后可以順利使用內網(wǎng)應用與服務。

小提示:

不管為接入帳號設置什么樣的虛擬IP,在建立帳號之前我們都需要手工建立相應的虛擬IP池,然后才能夠保證VPN接入帳戶處的設置可以生效。虛擬IP池支持多個IP段一起作用。

擁有了VPN接入帳號后我們還沒有完全完成VPN安全設備的配置工作,要想能夠有效的提高設備安全,我們還需要針對VPN接入者的安全權限進行細分。

(3)VPN接入權限要分配好:

默認情況下任何通過VPN接入的帳號只要分配了符合內網(wǎng)規(guī)則的虛擬IP的話,該接入主機將與內網(wǎng)其他計算機擁有相同的訪問權限。訪問各個計算機,使用各個網(wǎng)絡應用和網(wǎng)絡服務。不過很多時候我們并不希望這種接入帶來隨意使用的效果,我們要針對遠程VPN接入者的使用權限進行仔細劃分。這點對于提高VPN設備和內網(wǎng)應用的安全性是非常重要的。下面我們就簡單了解下如何針對VPN接入權限進行分配。

在設置完接入帳號后我們可以到“高級設置”下尋找“內網(wǎng)服務設置”,在這里我們可以針對VPN接入后使用的服務進行設置,選擇是否啟用該應用。同時我們還可以通過“新增”按鈕功能添加自定義的訪問控制列表。

通過設置訪問控制列表信息,我們可以做到容許該接入帳號只能夠訪問某臺或某個網(wǎng)段的計算機,又或者只容許該接入帳號只能夠使用某項或某幾個網(wǎng)絡應用與服務,總之通過“內網(wǎng)服務設置”我們可以為每個接入帳號劃分具體的網(wǎng)絡使用權限。

當然可能有的企業(yè)并不需要針對接入用戶權限劃分得過細,網(wǎng)絡管理員自然不用在這里下太多的功夫,不過VPN接入權限的配置確實是VPN安全設備配置過程中不可獲缺的一個環(huán)節(jié)。

三,遠程接入者上設置VPN參數(shù):

最后我們還需要在遠程接入設備上安裝VPN客戶端,這樣才能夠順利的連接之前配置的VPN服務端,從而進一步接入到內網(wǎng)中。一般來說每個廠商都會針對自己的VPN安全設備提供給用戶客戶端程序安裝文件,我們進行安裝即可。

第一步:安裝客戶端程序復制必須文件到本地硬盤。

第二步:填寫VPN服務端的IP地址信息,這個信息在VPN安全設備中已經(jīng)設置,同時記得輸入正確的VPN服務監(jiān)聽端口。

第三步:在輸入連接該總部所需要的用戶名和密碼處填寫建立的具備接入權限的用戶名和密碼。

第四步:如果一切順利服務端地址可達,端口可用的話在客戶端VPN管理工具中可以看到連接狀態(tài)以及外網(wǎng)流量,VPN流量的產生,同時我們也會獲得VPN安全設備分配給我們的虛擬IP地址。

四,總結:

以上就是筆者多年積累的針對多個VPN安全設備設置的內容,總體來說我們只需要從VPN安全設備網(wǎng)絡參數(shù),VPN接入帳號,VPN接入權限三方面做好工作即可,同時正確配置VPN客戶端的用戶名密碼,連接地址與端口號就能夠順利連接到VPN安全設備了??傮w來說VPN系統(tǒng)的搭建并不復雜,對于大多數(shù)企業(yè)來說在VPN接入權限分配方面的需求比較少,那么設置起VPN設備來就更加簡單直接了。(IT168)

 

發(fā)布:2025-10-25 10:47    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]

泛普哈爾濱OA軟件行業(yè)資訊其他應用

哈爾濱OA軟件 哈爾濱OA新聞動態(tài) 哈爾濱OA管理信息化 哈爾濱OA快博 哈爾濱OA軟件行業(yè)資訊 哈爾濱軟件開發(fā)公司 哈爾濱門禁系統(tǒng) 哈爾濱物業(yè)管理軟件 哈爾濱倉庫管理軟件 哈爾濱餐飲管理軟件 哈爾濱網(wǎng)站建設公司