穿越“交火地带”的VPN──架设基于KWF网络防火墙的VPN网络
局域网
总公司和分公司不在同一区域,企业网内部的业务数据信息共享十分不便,每次都要手工将总公司的业务数据传送给分公司,非常麻烦。由于信息反馈的不及时,耽误了很多商机,老板命令小胖尽快解决这个问题。小胖想到了使用VPN方案解决这个难题,但如何安装、配置VPN网络,小胖可是一窍不通,他又想到了果冻……
为何选择“交火地带”
受邀而来的果冻发现小胖公司使用了KWF(Kerio Winroute Firewall)网络防火墙软件(下载地址:http://www.winroute.com.cn)。为何不使用KWF防火墙内置的VPN服务器在系统与病毒交火频频的地方组建VPN网络呢?
KWF内置的VPN服务就集成在网络防火墙中,这样就有效地将网络安全管理和VPN服务管理合二为一,并且还可利用KWF防火墙自动生成的流量策略来完成向公网发布VPN服务,增强VPN网络的安全性。这样一来繁琐的VPN服务安装、配置过程就被大大简化了,而且维护VPN网络的难度也降低了。
开启VPN服务之门
果冻要利用KWF完成VPN网络的组建,需要分别完成两部分的工作。首先在总公司的网关服务器中架设VPN服务器,其次还要在分公司的客户机中安装“Kerio VPN”客户端程序。果冻的首要工作便是安装、启动总公司的VPN服务器。
果冻提示 VPN服务器是KWF防火墙内置的一个功能组件,它的安装过程比较简单,并不需要进行单独的安装配置,VPN服务器的安装过程包含在KWF防火墙的安装过程中。
1.安装
在总公司的网关服务器上(Windows 2003),果冻运行KWF网络防火墙安装程序,安装程序会自动安装VPN服务器。果冻在“安装程序向导”中点击“下一步”按钮,进入“Setup Type”安装类型对话框,选中“Custom”,点击“Next”按钮,进入“组件选择(Select Components)”对话框,选中“Winroute Engine”下的“VPN support”组件,其他选项使用默认设置即可。
进入“Administrative Account(管理员账号)”对话框后,为KWF网络防火墙设置管理员账号和初始密码,果冻在“Username”栏输入KWF默认的管理员账号“Admin”,输入密码后,一路点击“下一步(Next)”按钮,就完成了VPN服务的安装,最后重新启动Windows 2003系统。
2.启动
重新启动Windows 2003系统,VPN服务器的安装就完成了,此时需要果冻手工启动VPN服务器。
首先登录KWF控制台。双击网关服务器系统托盘中的“KWF图标”,弹出“KWF控制台”登录对话框,在“Host”栏选择“localhost”,输入KWF管理员账号和密码,点击“Connect”按钮后,就可登录KWF控制台。第一次登录KWF控制台会弹出“Network rules Wizard”对话框,一路点击“下一步”按钮,进入第五个对话框时,选中“Yes,I want to use Kerio VPN”选项,最后点击“Finish”按钮,就可完成VPN服务器的启动。
果冻提示 启动KWF的VPN服务器后,可能会发现KWF控制台窗口的“Traffic policy”框体中多出两条关于VPN服务的访问管理策略,它们的作用是允许分公司的VPN用户访问总公司的VPN服务器,以及允许分公司VPN 客户共享总公司内部网络的业务数据资源。
这样,果冻不需要进行复杂的手工配置,就完成了VPN服务器的公网发布。这是利用Windows服务器系统内置的“路由和远程访问”组件架设VPN服务器所无法比拟的。
完善VPN服务
完成VPN服务器的安装和启动后,接下来果冻还要配置VPN服务器的参数,并为分公司的用户创建VPN账号,这样才能保证分公司用户可以正常登录VPN网络,共享总公司的业务数据资源。
1.调整VPN参数
在KWF控制台窗口左侧框体中依次点击“Configuration→Interfaces”,双击右侧框体中的“VPN Server”选项,弹出“VPN Server”对话框,切换到“General”标签页(图1)。
虽然VPN服务器会为分公司的VPN客户随机生成一个和总公司内部网络不同的C类网络地址段,但这段IP地址范围未必能满足用户的需要。果冻告诉小胖,可根据实际需要,对这个IP地址段进行修改。例如要将该网段修改为“192.168.4.0”,在“VPN network”栏中输入“192.168.4.0”,“Mask”栏中输入“255.255.255.0”,这样分公司的VPN客户就可以使用“192.168.4.0”范围内的IP地址。
KWF防火墙的VPN服务还会使用“SSL Certificate”证书加密VPN网络中的数据信息。默认情况下,这个证书是VPN服务自动生成的。小胖对这个自动生成的证书不太放心,为了保证VPN网络的安全,果冻就手工创建了一个新的SSL证书,供小胖的VPN网络数据信息加密使用,这样就可防止在VPN网络中通信时,数据被窃取。点击“General”标签页下方的“Change SSL Certificate”按钮,弹出“Server SSL Certificate”对话框,点击“Generate Certificate…”按钮,输入SSL证书信息,最后点击“OK”按钮,就生成了一个新的证书。现在,小胖的VPN网络就可以使用这个新的SSL证书来加密用户数据信息了。
完成以上参数设置后,点击“VPN Server”对话框中的“OK”按钮,保存修改的参数设置。
2.创建VPN账号
现在,还要为分公司的员工创建合法的VPN登录账号。
在KWF控制台管理窗口中,依次点击“Users and Groups→Users”,在右侧框体中开始创建VPN账号。点击“Add”按钮,弹出账号创建向导对话框,在“Name”栏中输入账号名(如“CPCWVPN1”),在“Authentication”框中选择“Internal user database”,接着输入VPN账号密码。在用户权限设置对话框中(图2),为用户指定访问权限。
果冻提示 一定要选中“User can connect using VPN”选项,否则VPN用户就无法登录VPN网络。
接下来点击“Next”按钮,进入“限额”对话框,对VPN用户的网络流量进行限制。例如,要将“CPCWVPN1”账号每天的总流量限制为200MB,可选中“Enable daily limit”选项,接着在“Direction”栏中选择“all traffic”,在“Quota”栏中输入“200”(单位为“MB”),这样就可完成账号的流量限制。最后点击“Finish”按钮,完成VPN账号的创建。其他VPN账号的创建过程与此相同。
果冻提示 基于KWF防火墙的VPN服务器,将用户对VPN网络的访问权限、流量限制、访问内容策略和登录IP地址限制等功能都集成在KWF防火墙中。这样就可将局域网的安全管理和VPN网络的安全管理合二为一,提高网管的工作效率,降低维护网络的难度。
登上VPN快车
接下来,为分公司客户机安装“Kerio VPN”客户端程序后,分公司用户就可以连接这个VPN网络了。“Kerio VPN”程序可在http://www.cloudnet.com.cn/download/WinRoute-vpnclient.exe下载。
小胖通知分公司的网管,在分公司的客户机中,点击Kerio VPN客户端程序对话框中 的“Add”按钮,进入编辑VPN服务器对话框(图3)。在“Server”栏输入总公司的VPN服务器的IP地址,在“Username”和“Password”栏输入VPN账号和密码,点击“OK”按钮。接下来在Kerio VPN客户端程序对话框中选中刚才新建的选项,点击下方的“Connect”按钮,稍等片刻,分公司客户机就能连入VPN网络,分公司的员工就能共享总公司的业务数据信息了。
果冻提示: Kerio VPN客户端程序和一般的VPN客户端程序有所不同,使用Kerio VPN客户端程序可以同时连接多个VPN 网络,这是其他VPN客户端程序很难做到的。
利用KWF防火墙所组建的VPN网络,不但可以实现企业网内部业务数据信息的共享,而且企业用户还可以利用这个VPN网络浏览、访问、共享互联网中的资源,如某些企业对安全有特殊的要求,就可以利用这个VPN网络,来指定VPN用户的互联网访问权限,因为VPN网络中的数据是被加密的,所以比一般的企业网用户访问互联网要安全得多。