VPN 服务器和防火墙配置

http://technet.microsoft.com/zh-cn/library/cc737500(WS.10).aspx

VPN 服务器和防火墙配置

将防火墙与 VPN 服务器一起使用有两种方法：
防火墙前的 VPN 服务器VPN 服务器连接到 Internet，而防火墙位于 VPN 服务器和 Intranet 之间。

防火墙后的 VPN 服务器防火墙连接到 Internet，而 VPN 服务器位于防火墙和 Intranet 之间。

防火墙前的 VPN 服务器

当 VPN 服务器位于防火墙之前并连接至 Internet 时，您需要将数据包筛选器添加到 Internet 接口，该接口只允许 VPN 通讯从 VPN 服务器的 Internet 接口的 IP 地址中进出。

对于传入通讯，当 VPN 服务器加密了通过隧道的数据后，会将其转发到防火墙。通过使用其筛选器，防火墙允许通讯转发到 Intranet 资源。因为验证过的 VPN 客户端生成通过 VPN 服务器的唯一通讯，所以在此情况下，防火墙筛选可以用于防止 VPN 用户访问特定 Intranet 资源。因为 Intranet 上允许的唯一 Internet 通讯必须通过 VPN 服务器传递，所以该方法还防止文件传输协议 (FTP) 的共享或者具有非 VPN Internet 用户的 Web Intranet 资源。

下列图解显示防火墙前的 VPN 服务器。

对于 VPN 服务器上的 Internet 接口，请使用路由和远程访问配置下列输入和输出筛选器：
点对点隧道协议 (PPTP) 的数据包筛选器

配置以下输入筛选器，将它们的筛选器操作设置为“丢弃所有的包，满足下面条件的除外”：
VPN 服务器的 Internet 接口的目标 IP 地址、子网掩码 255.255.255.255 以及 TCP 目标端口 1723。

此筛选器允许 PPTP 隧道维护从 PPTP 客户端到 PPTP 服务器的通讯。

VPN 服务器的 Internet 接口的目标 IP 地址、子网掩码 255.255.255.255 以及 IP 协议 ID 47。

此筛选器允许从 PPTP 客户端到 PPTP 服务器的 PPTP 隧道数据。

VPN 服务器的 Internet 接口的目标 IP 地址、子网掩码 255.255.255.255 以及 TCP [建立的] 源端口 1723。

在一个路由器到路由器的 VPN 连接中，只有将 VPN 服务器用作 VPN 客户端（呼叫路由器）时，此筛选器才是必需的。TCP [建立的] 通讯只有当 VPN 服务器初始化 TCP 连接时才被接受。


配置以下输出筛选器，将它们的筛选器操作设置为“丢弃所有的包，满足下面条件的除外”：
VPN 服务器的 Internet 接口的源 IP 地址、子网掩码 255.255.255.255 以及 TCP 源端口 1723。

此筛选器允许 PPTP 隧道维护从 VPN 服务器到 VPN 客户端的通讯。

VPN 服务器的 Internet 接口的源 IP 地址、子网掩码 255.255.255.255 以及 IP 协议 ID 47。

此筛选器允许从 VPN 服务器到 VPN 客户端的 PPTP 隧道数据。

VPN 服务器的 Internet 接口的源 IP 地址、子网掩码 255.255.255.255 以及 TCP 目标端口 1723。

在一个路由器到路由器的 VPN 连接中，只有将 VPN 服务器用作 VPN 客户端（呼叫路由器）时，此筛选器才是必需的。TCP [建立的] 通讯只有当 VPN 服务器初始化 TCP 连接时才被发送。


详细信息，请参阅添加 PPTP 筛选器。
通过 Internet 协议安全性的第二层隧道协议 (L2TP/IPSec) 的数据包筛选器

配置以下输入筛选器，将它们的筛选器操作设置为“丢弃所有的包，满足下面条件的除外”：
VPN 服务器的 Internet 接口的目标 IP 地址、子网掩码 255.255.255.255 以及 UDP 目标端口 500。

此筛选器允许发往 VPN 服务器的 Internet 密钥交换 (IKE) 通讯。

VPN 服务器的 Internet 接口的目标 IP 地址、子网掩码 255.255.255.255 以及 UDP 目标端口 1701。

此筛选器允许从 VPN 客户端到 VPN 服务器的 L2TP 通讯。

VPN 服务器的 Internet 接口的目标 IP 地址、子网掩码 255.255.255.255 以及 UDP 目标端口 4500。

此筛选器允许 IPSec 网络地址转换程序遍历 (NAT-T) 通讯。


配置以下输出筛选器，将它们的筛选器操作设置为“丢弃所有的包，满足下面条件的除外”：
VPN 服务器的 Internet 接口的源 IP 地址、子网掩码 255.255.255.255 以及 UDP 源端口 500。

此筛选器允许来自 VPN 服务器的 IKE 通讯。

VPN 服务器的 Internet 接口的源 IP 地址、子网掩码 255.255.255.255 以及 UDP 源端口 1701。

此筛选器允许从 VPN 服务器到 VPN 客户端的 L2TP 通讯。

VPN 服务器的 Internet 接口的源 IP 地址、子网掩码 255.255.255.255 以及 UDP 源端口 4500。

此筛选器允许 IPSec NAT-T 通讯。


详细信息，请参阅添加基于 IPSec 的 L2TP 筛选器。

在 IP 协议 50 位置封装安全有效负载 (ESP) 通讯时不需要任何筛选器。在将 L2TP 数据包传递到路由和远程访问之前，IPSec 组件会删除其 ESP 头。

要点
不建议实施包含了位于网络地址转换器后面的 VPN 服务器的针对 Windows 的 IPSec NAT-T 部署。当一个服务器位于网络地址转换器后面而且该服务器使用 IPSec NAT-T 时，可能会由于网络地址转换器转换网络通讯的方式而出现意外行为。

防火墙后的 VPN 服务器

在更普通的配置中，防火墙连接到 Internet，而 VPN 服务器为连接到外围网络的 Intranet 资源。VPN 服务器在外围网络和 Intranet 上都有接口。在此情况下，防火墙必须在 Internet 接口上用输入和输出筛选器进行配置，该接口允许隧道维护通讯和通过隧道的数据传送到 VPN 服务器。其他筛选器可以允许通讯传送到 Web、FTP 和外围网络上其他类型的服务器。对于其他层的安全，VPN 服务器还能够在其外围网络接口上用 PPTP 或 L2TP/IPSec 数据包筛选器被配置。

因为防火墙没有用于所有 VPN 连接的加密密钥，所以它只能够在通过隧道的数据的明文标头上筛选。也就是，所有通过隧道的数据都将通过防火墙进行传递。但是这不是一个安全问题，因为 VPN 连接要求能够防止在 VPN 服务器之上的未授权访问的身份验证过程。

下列图解显示外围网络上防火墙之后的 VPN 服务器。

对于 Internet 和防火墙上的外围网络接口，请使用防火墙的配置软件配置下列输入和输出筛选器：
PPTP 的数据包筛选器

可以在 Internet 接口或外围网络接口上配置单独的输入与输出数据包筛选器。
Internet 接口上的筛选器

在防火墙 Internet 接口上配置以下输入数据包筛选器可允许下列类型的通讯：
VPN 服务器的外围网络接口的目标 IP 地址和 TCP 目标端口 1723 (0x6BB)。

此筛选器允许 PPTP 隧道维护从 PPTP 客户端到 PPTP 服务器的通讯。

VPN 服务器的外围网络接口的目标 IP 地址和 IP 协议 ID 47 (0x2F)。

此筛选器允许从 PPTP 客户端到 PPTP 服务器的 PPTP 隧道数据。

VPN 服务器的外围网络接口的目标 IP 地址和 TCP 源端口 1723 (0x6BB)。

在一个路由器到路由器的 VPN 连接中，只有将 VPN 服务器用作 VPN 客户端（呼叫路由器）时，此筛选器才是必需的。此筛选器应仅适于与 PPTP 数据包筛选器（如防火墙前的 VPN 服务器中所述并在 VPN 服务器的外围网络接口上配置）一起使用。如果允许从 TCP 端口 1723 到 VPN 服务器的所有通讯，有可能会遭到那些使用此端口的 Internet 源的网络攻击。


在防火墙的 Internet 接口上配置以下输出筛选器可允许下列类型的通讯：
VPN 服务器的外围网络接口的源 IP 地址和 TCP 源端口 1723 (0x6BB)。

此筛选器允许 PPTP 隧道维护从 VPN 服务器到 VPN 客户端的通讯。

VPN 服务器的外围网络接口的源 IP 地址和 IP 协议 ID 47 (0x2F)。

此筛选器允许从 VPN 服务器到 VPN 客户端的 PPTP 隧道数据。

VPN 服务器外围网络接口的源 IP 地址和 TCP 目标端口 1723 (0x6BB)。

在一个路由器到路由器的 VPN 连接中，只有将 VPN 服务器用作 VPN 客户端（呼叫路由器）时，此筛选器才是必需的。此筛选器应仅适于与 PPTP 数据包筛选器（如防火墙前的 VPN 服务器中所述并在 VPN 服务器的外围网络接口上配置）一起使用。如果允许从 VPN 服务器到 TCP 端口 1723 的所有通讯，有可能会遭到那些使用此端口的 Internet 源的网络攻击。

外围网络接口上的筛选器

在防火墙的外围网络接口上配置以下输入筛选器可允许下列类型的通讯：
VPN 服务器的外围网络接口的源 IP 地址和 TCP 源端口 1723 (0x6BB)。

此筛选器允许 PPTP 隧道维护从 VPN 服务器到 VPN 客户端的通讯。

VPN 服务器的外围网络接口的源 IP 地址和 IP 协议 ID 47 (0x2F)。

此筛选器允许从 VPN 服务器到 VPN 客户端的 PPTP 隧道数据。

VPN 服务器外围网络接口的源 IP 地址和 TCP 目标端口 1723 (0x6BB)。

在一个路由器到路由器的 VPN 连接中，只有将 VPN 服务器用作 VPN 客户端（呼叫路由器）时，此筛选器才是必需的。此筛选器应仅适于与 PPTP 数据包筛选器（如防火墙前的 VPN 服务器中所述并在 VPN 服务器的外围网络接口上配置）一起使用。如果允许从 VPN 服务器到 TCP 端口 1723 的所有通讯，有可能会遭到那些使用此端口的 Internet 源的网络攻击。


在防火墙外围网络接口上配置下列输出数据包筛选器可允许下列类型的通讯：
VPN 服务器的外围网络接口的目标 IP 地址和 TCP 目标端口 1723 (0x6BB)。

此筛选器允许 PPTP 隧道维护从 PPTP 客户端到 PPTP 服务器的通讯。

VPN 服务器的外围网络接口的目标 IP 地址和 IP 协议 ID 47 (0x2F)。

此筛选器允许从 PPTP 客户端到 PPTP 服务器的 PPTP 隧道数据。

VPN 服务器的外围网络接口的目标 IP 地址和 TCP 源端口 1723 (0x6BB)。

在一个路由器到路由器的 VPN 连接中，只有将 VPN 服务器用作 VPN 客户端（呼叫路由器）时，此筛选器才是必需的。此筛选器应仅适于与 PPTP 数据包筛选器（如防火墙前的 VPN 服务器中所述并在 VPN 服务器的外围网络接口上配置）一起使用。如果允许从 TCP 端口 1723 到 VPN 服务器的所有通讯，有可能会遭到那些使用此端口的 Internet 源的网络攻击。

L2TP/IPSec 的数据包筛选器

可以在 Internet 接口或外围网络接口上配置单独的输入与输出数据包筛选器。
Internet 接口上的筛选器

在防火墙 Internet 接口上配置以下输入数据包筛选器可允许下列类型的通讯：
VPN 服务器的外围网络接口的目标 IP 地址和 UDP 目标端口 500 (0x1F4)。

此筛选器允许发往 VPN 服务器的 IKE 通讯。

描述 VPN 服务器外围网络接口的 IP 地址和 UDP 目标端口 4500 (0x1194)。

此筛选器允许发往 VPN 服务器的 IPSec NAT-T 通讯。

VPN 服务器的外围网络接口的目标 IP 地址和 IP 协议 ID 50 (0x32)。

此筛选器允许从 VPN 客户端到 VPN 服务器的 IPSec ESP 通讯。


在防火墙的 Internet 接口上配置以下输出数据包筛选器可允许下列类型的通讯：
VPN 服务器的外围网络接口的源 IP 地址和 UDP 源端口 500 (0x1F4)。

此筛选器允许来自 VPN 服务器的 IKE 通讯。

VPN 服务器的外围网络接口的源 IP 地址和 UDP 源端口 4500。

此筛选器允许来自 VPN 服务器的 IPSec NAT-T 通讯。

VPN 服务器的外围网络接口的源 IP 地址和 IP 协议 ID 50 (0x32)。

此筛选器允许从 VPN 服务器到 VPN 客户端的 IPSec ESP 通讯。


在 UDP 端口 1701 上的 L2TP 通讯不需要任何筛选器。防火墙的所有 L2TP 通讯，包括隧道维护和隧道数据，都作为 IPSec ESP 负载进行加密。

要点
不建议实施包含了位于网络地址转换器后面的 VPN 服务器的针对 Windows 的 IPSec NAT-T 部署。当一个服务器位于网络地址转换器后面而且该服务器使用 IPSec NAT-T 时，可能会由于网络地址转换器转换网络通讯的方式而出现意外行为。

外围网络接口上的筛选器

在防火墙的外围网络接口上配置以下输入数据包筛选器可允许下列类型的通讯：
VPN 服务器的外围网络接口的源 IP 地址和 UDP 源端口 500 (0x1F4)。

此筛选器允许来自 VPN 服务器的 IKE 通讯。

VPN 服务器的外围网络接口的源 IP 地址和 UDP 源端口 4500。

此筛选器允许来自 VPN 服务器的 IPSec NAT-T 通讯。

VPN 服务器的外围网络接口的源 IP 地址和 IP 协议 ID 50 (0x32)。

此筛选器允许从 VPN 服务器到 VPN 客户端的 IPSec ESP 通讯。


在防火墙外围网络接口上配置下列输出数据包筛选器可允许下列类型的通讯：
VPN 服务器的外围网络接口的目标 IP 地址和 UDP 目标端口 500 (0x1F4)。

此筛选器允许发往 VPN 服务器的 IKE 通讯。

描述 VPN 服务器外围网络接口的 IP 地址和 UDP 目标端口 4500 (0x1194)。

此筛选器允许发往 VPN 服务器的 IPSec NAT-T 通讯。

VPN 服务器的外围网络接口的目标 IP 地址和 IP 协议 ID 50 (0x32)。

此筛选器允许从 VPN 客户端到 VPN 服务器的 IPSec ESP 通讯。


在 UDP 端口 1701 上的 L2TP 通讯不需要任何筛选器。防火墙的所有 L2TP 通讯，包括隧道维护和隧道数据，都作为 IPSec ESP 负载进行加密。

要点
不建议实施包含了位于网络地址转换器后面的 VPN 服务器的针对 Windows 的 IPSec NAT-T 部署。当一个服务器位于网络地址转换器后面而且该服务器使用 IPSec NAT-T 时，可能会由于网络地址转换器转换网络通讯的方式而出现意外行为。