【正文】 ：Win2K中的VPN包含在路由和遠(yuǎn)程訪問服務(wù)中。當(dāng)Win2K服務(wù)器安裝好之后，它也就隨之自動(dòng)存在了！不過此時(shí)當(dāng)打開管理工具中的路由和遠(yuǎn)程訪問項(xiàng)進(jìn)入其主窗口后，在左邊的樹欄中選中服務(wù)器準(zhǔn)狀態(tài)，即可從右邊看到其狀態(tài)正處于已停止（未配置）的情況下。（2）開始配置：要想讓計(jì)算機(jī)能接受客戶機(jī)的VPN撥入，必須對(duì)VPN服務(wù)器進(jìn)行配置。在左邊窗口中選中SERVER（服務(wù)器名），在其上單擊右鍵，選配置并啟用路由和遠(yuǎn)程訪問。配置并啟用路由和遠(yuǎn)程訪問，如圖31所示。圖31 設(shè)置路由和遠(yuǎn)程訪問（3）如果以前已經(jīng)配置過這臺(tái)服務(wù)器，現(xiàn)在需要重新開始，則在SERVER（服務(wù)器名）上單擊右鍵，選禁用路由和遠(yuǎn)程訪問，即可停止此服務(wù)，以便重新配置！（4）當(dāng)進(jìn)入配置向?qū)е?，在公共設(shè)置中，點(diǎn)選中虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器，以便讓用戶能通過公共網(wǎng)絡(luò)（比如Internet）來訪問此服務(wù)器。虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器，如圖32所示。圖32 設(shè)置虛擬專用網(wǎng)（5）在遠(yuǎn)程客戶協(xié)議的對(duì)話框中，一般來說，這里面至少應(yīng)該已經(jīng)有了TCP/IP協(xié)議，則只需直接點(diǎn)選是，所有可用的協(xié)議都在列表上再下一步即可。（6）之后系統(tǒng)會(huì)要求你再選擇一個(gè)此服務(wù)器所使用的Internet連接，在其下的列表中選擇所用的連接方式（比如已建立好的撥號(hào)連接或通過指定的網(wǎng)卡進(jìn)行連接等）再下一步。（7）接著在回答您想如何對(duì)遠(yuǎn)程客戶機(jī)分配IP地址的詢問時(shí)，除非你已在服務(wù)器端安裝好了DHCP服務(wù)器，否則請(qǐng)?jiān)诖颂庍x來自一個(gè)指定的IP地址范圍（推薦）。（8）然后再根據(jù)提示輸入你要分配給客戶端使用的起始IP地址，添加進(jìn)列表中，比如此處為~。（請(qǐng)注意，此IP地址范圍要同服務(wù)器本身的IP地址處在同一個(gè)網(wǎng)段中，即前面的部分一定要相同！）（9）最后再選不，現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS即可完成最后的設(shè)置。此時(shí)屏幕上將自動(dòng)出現(xiàn)一個(gè)正在開戶路由和遠(yuǎn)程訪問服務(wù)的小窗口，當(dāng)它消失之后，打開管理工具中的服務(wù)，即可以看到RoutingandRemoteAccess（路由和遠(yuǎn)程訪問）項(xiàng)自動(dòng)處于已啟動(dòng)狀態(tài)了！已啟動(dòng)狀態(tài),如圖33所示。圖33 啟動(dòng)狀態(tài) 操作系統(tǒng)的安全配置操作系統(tǒng)安全策略利用Windows 2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺(tái)的安全配置和分析工具，可以配置服務(wù)器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如圖34所示。圖34 本地安全設(shè)置主界面可配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。默認(rèn)的情況下，這些策略都沒有開啟。關(guān)閉不必要的服務(wù)Windows 2000的Terminal Services（終端服務(wù)）和IIS（Internet 信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。為了能夠遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。方法一：程序運(yùn)行方法二：我的電腦鼠標(biāo)右鍵下拉菜單管理方法三：控制面板性能和維護(hù)管理工具服務(wù)圖35 計(jì)算機(jī)管理關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少一些，但不可認(rèn)為高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對(duì)照表可供參考。該文件用記事本打開如圖36所示。圖36 端口掃描表設(shè)置本機(jī)開放的端口和服務(wù)，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級(jí)”，在出現(xiàn)的對(duì)話框中選擇選項(xiàng)卡“選項(xiàng)”，選中“TCP/IP篩選”，點(diǎn)擊按鈕“屬性”，設(shè)置端口界面如圖圖37所示。圖37 TCP/IP篩選一臺(tái)Web服務(wù)器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強(qiáng)大，可以替代防火墻的部分功能。開啟審核策略安全審核是Windows 2000最基本的入侵檢測方法。當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來。審核策略在默認(rèn)的情況下都是沒有開啟的。如圖38所示。圖38 審核策略雙擊審核列表的某一項(xiàng)，出現(xiàn)設(shè)置對(duì)話框，將復(fù)選框“成功”和“失敗”都選中，如圖39所示。圖39 本地安全策略設(shè)置開啟密碼策略密碼對(duì)系統(tǒng)安全非常重要。本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟。設(shè)置選項(xiàng)如圖310所示。圖310 密碼策略設(shè)置開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊。設(shè)置選項(xiàng)如圖311所示。圖311 賬戶策略設(shè)置備份敏感文件把敏感文件存放在另外的文件服務(wù)器中，雖然服務(wù)器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項(xiàng)目文件等）存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。不顯示上次登錄名默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶名，本地的登陸對(duì)話框也是一樣。黑客們可以得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測。修改注冊(cè)表，在HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\Winlogon\。將DontDisplayLastUserName鍵值改成1，如圖312所示。圖312 注冊(cè)表編輯器打開管理工具本地安全策略本地策略安全選項(xiàng)，在打開窗口右側(cè)列表中選擇“登錄屏幕上不要顯示上次登錄的用戶名”選項(xiàng)，在彈出對(duì)話框選擇“已啟用”，如圖313所示。圖313 安全選項(xiàng)備份注冊(cè)表注冊(cè)表是不能隨便改動(dòng)的，除非特別有把握。注冊(cè)表更改處理不好的話，可能會(huì)導(dǎo)致計(jì)算機(jī)不能正常啟動(dòng)或計(jì)算機(jī)某些功能不能用，甚至當(dāng)將原來的更改還原回去也一樣不能用。所以在更改注冊(cè)表的任何一項(xiàng)之前，最好將注冊(cè)表備份。當(dāng)系統(tǒng)因?yàn)楦淖?cè)表而出問題時(shí)，可以采用恢復(fù)注冊(cè)表的方式來恢復(fù)系統(tǒng)。禁止建立空連接默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進(jìn)而可以枚舉出帳號(hào)，猜測密碼。修改注冊(cè)表，在HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\LSA\，將RestrictAnonymous鍵值改成“1”即可。如圖314所示。圖314 修改注冊(cè)表下載最新的補(bǔ)丁很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久，還放著服務(wù)器的漏洞未打補(bǔ)丁。誰也不敢保證數(shù)百萬行以上代碼的Windows 2000不出一 點(diǎn)安全漏洞。經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的Service Pack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法。可以使用一些常用的漏洞掃描軟件！先掃描出漏洞。 防火墻的安裝與管理防火墻是計(jì)算機(jī)網(wǎng)絡(luò)上一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻簡單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的則可以用主機(jī)甚至一個(gè)子網(wǎng)來實(shí)現(xiàn)，設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道來自簡化網(wǎng)絡(luò)的安全管理。防火墻的功能主要是過濾掉不安全服務(wù)和非法用戶與控制對(duì)特殊站點(diǎn)的訪問以及提供監(jiān)視 Internet安全和預(yù)警的方便端點(diǎn)。實(shí)現(xiàn)防火墻技術(shù)從層次上大概可以分為報(bào)文過濾和應(yīng)用層網(wǎng)關(guān)。報(bào)文過濾是在IP層實(shí)現(xiàn)的，它的原理是根據(jù)報(bào)文的源IP地址、目的IP地址、源端口、目的端口報(bào)文信息來判斷是否允許報(bào)文通過，因此它可以只用路由器完成。在建材公司內(nèi)部網(wǎng)絡(luò)的出口處，放置防火墻，通過包過濾安全設(shè)置，保護(hù)建材公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)免遭來自國際互聯(lián)網(wǎng)的黑客攻擊、病毒侵?jǐn)_。 防火墻的安裝安裝防火墻的WEB管理終端遠(yuǎn)東網(wǎng)安防火墻的管理操作主要在WEB管理終端提供。安裝WEB管理終端不需要特殊的附加軟件，只要具有管理權(quán)限并安裝了WEB瀏覽器，任何一臺(tái)內(nèi)部主機(jī)都可以作為WEB管理終端來使用。安裝遠(yuǎn)東網(wǎng)安防火墻WEB管理終端：① 使用一臺(tái)基于Windows XP平臺(tái)或Linux平臺(tái)的計(jì)算機(jī) A 。② 在計(jì)算機(jī) A上安裝WEB瀏覽器——可以是任何標(biāo)準(zhǔn)的客戶端軟件，如： Internet Explorer ( Windows )；Netscape ( Windows, UNIX )；Mozilla ( UNIX )。③ 配置計(jì)算機(jī) A的網(wǎng)絡(luò)地址，使其與遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的某個(gè)網(wǎng)口E的網(wǎng)址在同個(gè)網(wǎng)段（如果計(jì)算機(jī) A的網(wǎng)絡(luò)接口與遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的網(wǎng)口E（eth0）連接，）。防火墻初始網(wǎng)址為：eth0: eth1: eth2: eth3: ④ 將計(jì)算機(jī) A的網(wǎng)絡(luò)接口與遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的網(wǎng)口E（eth0）連接起來，如果是直接相連則必須使用反接的雙絞線(背對(duì)背線)。⑤ 在計(jì)算機(jī) A上打開WEB瀏覽器，在地址欄輸入E的網(wǎng)址：。 (或者另外三個(gè)防火墻的初始網(wǎng)址) 注意WEB瀏覽器的地址欄中是以開頭而不是，表示加密的通信。如果網(wǎng)絡(luò)連接配置無誤，就可以在計(jì)算機(jī) A上訪問遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的WEB管理界面了，如圖315所示。圖315 WEB管理界面 防火墻的管理管理權(quán)限：通過WEB管理終端對(duì)遠(yuǎn)東網(wǎng)安防火墻進(jìn)行管理操作需要有管理權(quán)限。防火墻的出廠缺省配置給予內(nèi)部網(wǎng)保留地址的主機(jī)所有管理權(quán)限。防火墻的管理權(quán)限是按功能范圍劃分的。獲得管理權(quán)限可以在客戶端運(yùn)行用戶認(rèn)證客戶端SecureKey,，然后輸入用戶名/口令，驗(yàn)證成功后即獲得該用戶的管理權(quán)限。用戶認(rèn)證客戶端SecureKey用戶登錄遠(yuǎn)東網(wǎng)安防火墻使用用戶認(rèn)證客戶端SecureKey。SecureKey是隨遠(yuǎn)東網(wǎng)安防火墻附帶的登錄認(rèn)證軟件。使用SecureKey登錄到防火墻后，就可以訪問防火墻的WEB管理終端并利用登錄用戶的管理權(quán)限范圍執(zhí)行若干功能模塊的管理操作。安裝了SecureKey之后，就可以在程序菜單中點(diǎn)擊SecureKey或者直接執(zhí)行桌面的快捷方式打開SecureKey，如圖316所示。圖316 一次性口令認(rèn)證輸入遠(yuǎn)東網(wǎng)安防火墻的IP信息、登錄用戶名、用戶密碼，然后點(diǎn)擊“連接”按鈕，SecureKey就會(huì)與防火墻建立加密的SSL通道，進(jìn)行用戶名和口令驗(yàn)證。如果用戶登錄有錯(cuò)誤，比如防火墻IP無法連接、用戶不存在、用戶密碼錯(cuò)誤、超過最大用戶登錄人數(shù)、該用戶已登錄、本主機(jī)已由其他用戶登錄等等錯(cuò)誤時(shí)，SecureKey會(huì)彈出提示框顯示相應(yīng)的錯(cuò)誤信息。如果各參數(shù)無誤，成功登錄后SecureKey窗口會(huì)自動(dòng)最小化并在系統(tǒng)任務(wù)欄中顯示圖標(biāo)，雙擊該圖標(biāo)可以重新打開SecureKey窗口，此時(shí)顯示已登錄狀態(tài)，如圖317所示。圖317 一次性口令認(rèn)證使用SecureKey登錄，有幾點(diǎn)注意事項(xiàng)：① 如果指定了綁定的 IP和MASK，則該只能在綁定的IP范圍內(nèi)使用SecureKey登錄。② 一臺(tái)主機(jī)同一時(shí)刻只能由一個(gè)用戶登錄。③ 一個(gè)用戶同一時(shí)刻只能在一臺(tái)主機(jī)上登錄，也就是說，已登錄的用戶無法在任一主機(jī)上再次登錄。④ 如果已經(jīng)登錄的用戶數(shù)達(dá)到了最大限制數(shù)，其它用戶也無法再登錄。⑤ 用戶登錄可以由用戶主動(dòng)注銷，也可以由管理員在WEB管理終端強(qiáng)行切斷。⑥ 已登錄的用戶如果其主機(jī)與防火墻中心系統(tǒng)斷開網(wǎng)絡(luò)連接超過定義的時(shí)間，防火墻也會(huì)主動(dòng)將該登錄