Windows Server 2003建立VPN

   虛擬專網(VPN-Virtual Private Network)指的是在公用網絡上建立專用網絡的技術。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路， 而是架構在公用網絡服務商所提供的網絡平臺(如Inte.net, ATM, Frame Relay等)之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。 

　　由于通過公用網來建立VPN，就可以節省大量的通信費用，而不必投入大量的人力和物力去安裝和維護WAN設備和遠程訪問設備； VPN產品均采用加密及身份驗證等安全技術，保證連接用戶的可靠性及傳輸數據的安全/保密性；連接方便靈活；并且VPN使用戶可以利用ISP的設施和服務，同時又完全掌握著自己網絡的控制權。用戶只利用ISP提供的網絡資源，對于其他的安全設置、網絡管理變化可由自己管理。在企業內部也可以自己建立VPN。因此，VPN廣泛地應用在政府、企事業單位與分支機構內部聯網(Intranet-VPN)和商業合作伙伴之間的網絡互聯（Extranet-VPN）。 

　　由于登錄到VPN服務器上的用戶可以直接訪問內部網絡資源，因此，許多VPN系統不僅對用戶的權限進行嚴格設定，而且都對登陸的用戶進行強制身份驗證，以防止不法人員侵入系統而盜取資料。傳統的"用戶名+密碼"的認證方式，由于易擴散性、容易遺忘等諸多缺點，正在被人們所淘汰，各種認證方式相續出現。EPass身份認證鎖就是其中的一種。其不僅可以實現強雙因子認證，以達到服務器認證用戶端的單向身份認證，而且與基于PKI體系的數字證書結合，可以完成服務器端與用戶端之間的雙向身份認證。通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊??；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對于自己的信息不能抵賴。 

　　數字證書采用公鑰體制（PKI），即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前采用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，證書擁有者可以公開其公開密鑰，而保留其私有密鑰。發送者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以證書擁有者，然后由證書擁有者用自己的私有密鑰進行解密。 

　　用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。采用數字簽名，能夠確認以下兩點： 

　　(1) 保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認； 

　　(2) 保證信息自簽發后到收到為止未曾作過任何修改，簽發的文件是真實文件。數字簽名具體做法是： 

　　(A) 將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要。在數學上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。 

　　(B) 將該報文摘要值用發送者的私人密鑰加密,然后連同原報文一起發送給接收者,而產生的報文即稱數字簽名。 

　　(C) 接收方收到數字簽名后，用同樣的HASH算法對報文計算摘要值，然后與用發送者的公開密鑰進行解密解開的報文摘要值相比較，如相等則說明報文確實來自所稱的發送者。 

　　利用數字證書確認雙方的身份。大大增強了系統的安全性。而作為登陸認證的核心：數字證書以及私鑰是存放在ePass當中，不會在電腦中留有備份。不會因為電腦系統的故障或者使用者的誤操作而丟失。并且，因為硬件本身有PIN碼保護，防止硬件遺失而被他人假冒身份。

　　北京飛天誠信公司在Windows 平臺上開發了基于ePass的CSP（cryptographic service provider），在windows 平臺上實現了PKI。 

　　Windows Server2000/2003 均提供遠程撥入/VPN服務。并且提供用智能卡證書登錄VPN服務器選擇。因此本文結合Windows Server2003向讀者介紹如何在VPN系統上面配置、使用ePass。 

　　應用拓撲圖如下： 


配置VPN服務器

　　從管理您的服務器界面上選擇"添加或刪除角色"選項,后進入配置服務器角色的界面（上圖） 


　　選擇"遠程訪問/VPN服務器"，選擇"下一步（N）>"按鈕，出現路由和遠程訪問服務器配置

選擇"遠程訪問（拔號或VPN）（R），選擇"下一步（N）>"按鈕，出現遠程訪問的配置（上圖） 

　　選擇"VPN（V）"，選擇"下一步（N）>"按鈕， 根據系統提示完成網卡選擇，IP指定及是否使用RADIUS等設置，完成VPN服務器的配置。 

　　配置VPN客戶端
     選擇"新建連接"，出現網絡連接類型選擇（下圖）

選擇（連接到我的工作場所的網絡（O）"，選擇"下一步（N）>"按鈕，出現網絡連接方式（上圖）

　　選擇"虛擬專用網絡連接（V）", 選擇"下一步（N）>"按鈕，根據系統提示完成連接名及VPN服務器地址的配置，出現智能卡配置（連接名稱和VPN服務器地址）。配置之后進入"選擇使用智能卡用于此連接"（下圖）。 

　　選擇"使用我的智能卡（U）"，選擇"下一步（N）>"按鈕，根據系統提示配置使用權限等，完成VPN客戶端的配置。 

　　注：下圖中"使用我的智能卡"為使用的是通過智能卡證書的方式來驗證用戶端身份；"不使用我的智能卡"為"用戶名+密碼"的方式來驗證用戶端身份。由于"用戶名+密碼"認證方式有諸多安全隱患，因此建議不要采用。

登錄到VPN服務器

　　將含有智能卡證書的ePass插入計算機的USB接口(關于如何申請智能卡證書及配置服務器參見《ePass應用Windows Server 2003 智能卡登錄》)，啟動VPN客戶端，出現VPN連接（上圖） 

　　選擇"連接（C）"，VPN客戶端從ePass中的證書中，查到用戶的用戶名，出現輸入用戶PIN(下圖) 

輸入用戶PIN后，選擇"確定"按鈕，登錄到遠程服務器上（上圖）

　　選擇"確定"按鈕后，VPN連接完成。 

　　這時在服務器上可以看到登錄上來的用戶（下圖）

這時我們就可以象內部網一樣訪問遠程計算機了，但所有的通訊都是基于加密的方式來進行的

原文轉自：http://www.kjueaiud.com