■江蘇 孫秀洪

編者按：虛擬專用網(wǎng)絡(luò)相比普通網(wǎng)絡(luò)擁有極高的安全性而被企業(yè)廣泛應(yīng)用，本文列舉了虛擬專用網(wǎng)絡(luò)使用過程中可能出現(xiàn)的一些問題，希望對大家有所幫助。

在進(jìn)行虛擬專用連接時，有時會彈出遠(yuǎn)程計算機沒有反應(yīng)的錯誤提示，請問為什么會出現(xiàn)這種錯誤，遇到這種錯誤時該如何解決？

答：這種問題多半是網(wǎng)絡(luò)延遲引起的，只要多連接幾次，就能解決問題了。

如果還是不能解決問題，可 以 依 次 單 擊“開 始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“regedit”命令并回車，切換到系統(tǒng)注冊表編輯窗口，將鼠標(biāo)定位到“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CEBFC1-08002bE10318}/<000x>”節(jié)點上，這里的“<000x>”其實是WAN 微型端口驅(qū)動程序的網(wǎng)絡(luò)適配器。

用鼠標(biāo)右鍵單擊目標(biāo)節(jié)點，從右鍵菜單中依次選擇“新 建”、“DWORD 值” 命令，手工創(chuàng)建一個新的雙字節(jié)鍵值，將其名稱設(shè)置為“ValidateAddress”，再將其數(shù)值設(shè)置為“0”，之后重新啟動計算機系統(tǒng)，讓上述設(shè)置正式生效。

以前，筆者在Windows XP客戶端系統(tǒng)中，可以使用虛擬專用連接登錄單位虛擬專用服務(wù)器，而且在登錄成功的狀態(tài)下，筆者既能訪問到單位內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)信息，又能訪問Internet 網(wǎng)絡(luò)中的站點頁面。然而，筆者將計算機的操作系統(tǒng)升級為了Windows 7 系統(tǒng)后，發(fā)現(xiàn)使用相同的登錄賬號與密碼，登錄連接虛擬專用服務(wù)器后，發(fā)現(xiàn)可以登錄到單位內(nèi)部網(wǎng)絡(luò)，但不能打開網(wǎng)頁內(nèi)容。請問如何解決這種問題？

答：這種問題很可能是Windows 7 系統(tǒng)下的虛擬專用網(wǎng)絡(luò)連接沒有自動獲得DNS 參數(shù)造成的，我們可以為Windows 7 客戶端系統(tǒng)手工配置好正確的DNS 服務(wù)器地址參數(shù)，其IP地址參數(shù)仍然采用動態(tài)分配方式上網(wǎng)。

在進(jìn)行該操作時，依次單擊“開始”、“控制面板”命令，雙擊控制面板中的“網(wǎng)絡(luò)和共享中心”圖標(biāo)，展開網(wǎng)絡(luò)和共享中心管理窗口，單擊左側(cè)區(qū)域的“更改適配器設(shè)置”按鈕，彈出網(wǎng)絡(luò)連接列表界面；用鼠標(biāo)右鍵單擊虛擬專用連接圖標(biāo)，點選右鍵菜單中的“屬性”命令，打開虛擬專用連接屬性對話框，點選“網(wǎng)絡(luò)”標(biāo)簽，在對應(yīng)標(biāo)簽設(shè)置頁面中，選中“Internet 協(xié) 議版本4（TCP/IPv4）”選項，單擊該選項下面的“屬性”按鈕，切換到TCP/IPv4 屬性對話框。選中“自動獲得IP 地址”選項，讓W(xué)indows 7 系統(tǒng)自動獲得IP 地址，再選中“使用下面的DNS 服務(wù)器地址”選項，在首選DNS 服務(wù)器位置處輸入自己經(jīng)常使用的DNS服務(wù)器地址，最后按“確定”按鈕保存設(shè)置操作。

有時，嘗試以虛擬專用連接方式與遠(yuǎn)程服務(wù)器建立通信，遠(yuǎn)程服務(wù)器卻出現(xiàn)了不支持加密的提示，請問如何消除該提示？

答：很簡單！在Windows XP 系統(tǒng)環(huán)境下，用鼠標(biāo)右鍵單擊系統(tǒng)桌面上的“網(wǎng)上鄰居”圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，彈出網(wǎng)絡(luò)連接列表窗口，找到目標(biāo)虛擬專用連接，打開它的快捷菜單，選擇“屬性”命令，進(jìn)入目標(biāo)連接屬性對話框，點擊“安全”標(biāo)簽，在對應(yīng)標(biāo)簽設(shè)置頁面的“數(shù)據(jù)加密”位置處，選中“沒有加密也可以連接”選項，確認(rèn)后保存設(shè)置操作即可。

在Windows 7 系統(tǒng)環(huán)境下，依次點擊“開始”、“控制面板”命令，雙擊系統(tǒng)控制面板窗口中的“網(wǎng)絡(luò)共享中心”圖標(biāo)，在其后界面中點擊“更改適配器”按鈕，再選中目標(biāo)虛擬專用連接圖標(biāo)，打開它的右鍵菜單，點擊“屬性”命令，在其后彈出的虛擬專用連接屬性對話框中，將“數(shù)據(jù)加密”位置處的“沒有加密也可以連接”選項選中，確認(rèn)后保存設(shè)置操作即可。

如果虛擬專用服務(wù)器禁止用戶借助網(wǎng)絡(luò)訪問這臺計算機時，虛擬專用客戶端用戶也不能正常與虛擬專用服務(wù)器建立連接，請問如何檢查虛擬專用服務(wù)器有沒有對網(wǎng)絡(luò)訪問進(jìn)行限制？

答：首先依次單擊虛擬專用服務(wù)器系統(tǒng)中的“開始”、“運行”命令，打開系統(tǒng)運行對話框，執(zhí)行“gpedit.msc”命令，切換到系統(tǒng)組策略控制臺窗口。在該控制臺窗口左側(cè)列表中，將鼠標(biāo)定位到“計算機配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”、“用戶權(quán)限分配”節(jié)點上，找到目標(biāo)節(jié)點下的“從網(wǎng)絡(luò)訪問此計算機”組策略選項，用鼠標(biāo)雙擊該選項，彈出對應(yīng)組策略屬性對話框。

在“本地安全設(shè)置”頁面中，看看虛擬專用客戶端用戶的帳號名稱是否出現(xiàn)在其中，倘若沒有看到的話，不妨及時按下“添加用戶和組”按鈕，從其后出現(xiàn)的帳號選擇對話框中，導(dǎo)入添加虛擬專用客戶端用戶帳號名稱，確認(rèn)后返回，這樣目標(biāo)虛擬專用客戶端用戶就可以借助網(wǎng)絡(luò)訪問虛擬專用服務(wù)器系統(tǒng)了。

請問有哪些用戶適合使用虛擬專用網(wǎng)絡(luò)？哪些用戶不適合使用虛擬專用網(wǎng)絡(luò)？

答：一般來說，有三類用戶非常適合使用虛擬專用網(wǎng)絡(luò)：一是對線路可用性和保密性有特殊要求的用戶；二是用戶、站點分布范圍廣，彼此之間的距離遠(yuǎn)，遍布全球各地，需要通過長途方式聯(lián)系的用戶；三是位置眾多，特別是遠(yuǎn)程辦公室站點多的企業(yè)用戶和遠(yuǎn)程教育用戶。

相對而言，下面三類用戶或許并不適于采用虛擬專用網(wǎng)絡(luò)：一是注重網(wǎng)絡(luò)性能而不是組網(wǎng)成本的用戶；二是對數(shù)據(jù)傳輸安全性高度重視的用戶；三是網(wǎng)絡(luò)系統(tǒng)采用不常見的協(xié)議或特殊應(yīng)用，無法在IP隧道中傳送數(shù)據(jù)的用戶。

筆者計算機安裝的是Windows 7 系統(tǒng)，多次嘗試在該系統(tǒng)中進(jìn)行虛擬專用連接時，連接總不成功，重新啟動Windows 7 系統(tǒng)也不行，連接過程中總提示：由于Modem 或網(wǎng)絡(luò)適配器存在問題，請問這是怎么回事？

答：這多半是Windows 7系統(tǒng)中的Telephony 服務(wù)沒有啟動運行。只要依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“services.msc”命令，切換到系統(tǒng)服務(wù)列表界面，從中找到目標(biāo)系統(tǒng)服務(wù)Telephony，用鼠標(biāo)雙擊之，打開對應(yīng)服務(wù)屬性對話框，點擊“啟動”按鈕，同時將啟動類型選擇為“自動”，確認(rèn)后保存設(shè)置操作即可。

大家知道，現(xiàn)在市場上大部分虛擬專用都采用L2TP 協(xié)議和IPSec 協(xié)議，請問這兩種協(xié)議有什么特點？

答：L2TP 協(xié)議是國際標(biāo)準(zhǔn)隧道協(xié)議，能以隧道方式使PPP包通過各種網(wǎng)絡(luò)協(xié)議，只是該協(xié)議不支持任何加密措施，適合普通遠(yuǎn)程撥號用戶。IPSec協(xié)議是一個標(biāo)準(zhǔn)的第三層安全協(xié)議，它是在隧道外面再封裝，保證了在傳輸過程中的安全，這種協(xié)議的主要特征在于它可以對所有IP 級的通信進(jìn)行加密。

單位有一臺安裝了Windows XP 系統(tǒng)的計算機，可以訪問Internet 網(wǎng)絡(luò)，但在其中進(jìn)行虛擬專用連接時，系統(tǒng)彈出錯誤691 提示，請問為什么會出現(xiàn)這種提示？

答：這種錯誤很可能是由于虛擬專用連接時，使用的登錄賬戶或密碼不正確，也有可能是沒有使用虛擬專用服務(wù)的操作權(quán)限。默認(rèn)狀態(tài)下，虛擬專用服務(wù)要求一個賬號只能在一臺計算機中使用，所以我們務(wù)必要查看自己的連接用戶名是否出現(xiàn)了重復(fù)。倘若在虛擬專用連接過程中出現(xiàn)了掉線，建議大家不要急著重復(fù)連接，盡量等待幾分鐘。要是仍然提示錯誤，建議大家將自己的用戶名提供給管理員，請他們幫忙解決。

在使用虛擬專用網(wǎng)絡(luò)的過程中，頻繁會發(fā)生“不能建立虛擬專用連接，虛擬專用服務(wù)器不能到達(dá)”的錯誤，請問怎么解決這類錯誤？

答：可以按照如下步驟來解決：倘若Windows 系統(tǒng)中啟動運行了系統(tǒng)防火墻，不妨先關(guān)閉防火墻的運行狀態(tài)，并進(jìn)行重新連接測試。在使用了路由器的網(wǎng)絡(luò)環(huán)境中，遇到上述錯誤提示時，建議重新啟動一下路由器后臺系統(tǒng)。

除此之外，還要檢查終端系統(tǒng)的IPsec Policy Agent服務(wù)運行狀態(tài)是否正常，一旦發(fā)現(xiàn)其被禁止運行時，必須要將其啟動起來。要做到這一點，可以在系統(tǒng)桌面上，用鼠標(biāo)右鍵單擊“我的電腦”或“計算機”圖標(biāo)，執(zhí)行快捷菜單中的“管理”命令，在計算機管理窗口中，將鼠標(biāo)定位到“服務(wù)和應(yīng)用程序”、“服務(wù)”節(jié)點上，找到IPsec Policy Agent 服務(wù)，并打開該服務(wù)的屬性對話框，點擊“啟動”按鈕，同時將啟動類型選擇為“自動”，確認(rèn)后保存設(shè)置操作。

為便于單位員工訪問內(nèi)網(wǎng)資源，不少單位都部署了虛擬專用服務(wù)器，員工通過虛擬專用連接就能遠(yuǎn)程訪問內(nèi)網(wǎng)資源。不過，虛擬專用連接需要通過外網(wǎng)才能完成，這容易給單位內(nèi)網(wǎng)帶來安全威脅，請問怎樣保護(hù)虛擬專用連接安全？

答：首先對虛擬專用連接加強密碼認(rèn)證，因為密碼是一種十分有效的認(rèn)證形式，只有知道密碼的用戶，才能正常通過虛擬專用連接進(jìn)行遠(yuǎn)程訪問。

目前虛擬專用連接可以采用身份認(rèn)證技術(shù)、加解密技術(shù)、隧道技術(shù)、密鑰管理技術(shù)等來確保網(wǎng)絡(luò)連接安全，其中在用戶身份驗證安全技術(shù)方面，虛擬專用連接主要是通過PPP 協(xié)議用戶級身份驗證的方法來進(jìn)行驗證，這些驗證方法包括質(zhì)詢握手身份驗證、密碼身份驗證、可擴展身份驗證、Shiva 密碼身份驗證等。在數(shù)據(jù)加密和密鑰管理方面，虛擬專用連接采用MPPE 加密算法和IPSec機制加密上網(wǎng)數(shù)據(jù)，同時采用公、私密鑰對的方法管理密鑰內(nèi)容。

其次啟用安全策略。通常來說，要是單位內(nèi)網(wǎng)允許用戶進(jìn)行遠(yuǎn)程訪問操作，常常會對這些訪問用戶應(yīng)用事先定義好的安全策略，確保遠(yuǎn)程訪問操作不會威脅內(nèi)網(wǎng)安全。要是單位內(nèi)網(wǎng)使用了一些標(biāo)準(zhǔn)的操作系統(tǒng)，那么也必須要求遠(yuǎn)程訪問用戶使用同樣的安全標(biāo)準(zhǔn)。例如，單位內(nèi)網(wǎng)要求每位員工都要安裝殺毒軟件，并且定期下載更新病毒數(shù)據(jù)庫，那么我們也要強制遠(yuǎn)程訪問用戶滿足這些運行要求。

第三進(jìn)行日志跟蹤。為了及時發(fā)現(xiàn)虛擬專用連接中的異常問題，我們必須加強對這種連接操作進(jìn)行日志跟蹤記錄。一旦遇到不正?，F(xiàn)象時，只要打開系統(tǒng)事件查看器，找到相關(guān)日志記錄，快速定位虛擬專用連接的時間日期、目的地址、源地址，通過這些信息找到具體的故障原因。除了要對網(wǎng)絡(luò)登錄行為進(jìn)行監(jiān)控記錄外，還應(yīng)該盡可能地監(jiān)控連接會話信息。要是意外遇到安全事故時，那么可以利用的信息源就比較多，找到具體原因的速度就比較快。而且更為重要的是，倘若網(wǎng)絡(luò)中事先部署了預(yù)防監(jiān)控措施，那么日志記錄中的任何異常現(xiàn)象，都能被網(wǎng)管員及時發(fā)現(xiàn)，這樣安全威脅程度將會始終處于可控狀態(tài)。

以前，筆者在自己的筆記本中，使用虛擬專用客戶端軟件，可以輕松訪問單位虛擬專用服務(wù)器中的數(shù)據(jù)信息。近日，筆者下載安裝了360 安全衛(wèi)士，一次偶然的重新啟動后，看到虛擬專用客戶端軟件無法與單位內(nèi)網(wǎng)中的虛擬專用服務(wù)器建立連接了。不知道是什么原因？請問如何解決該故障？

答：由于問題是在安裝360安全衛(wèi)士后出現(xiàn)的，這說明問題多少與該軟件有關(guān)，很可能是360 安全衛(wèi)士自動優(yōu)化惹的禍。進(jìn)入360 安全衛(wèi)士主操作窗口，切換到阻止列表，檢查虛擬專用 Service 選項是否被優(yōu)化禁用了，只要取消這項禁用設(shè)置，就能解決上述問題！

為什么與國外虛擬專用服務(wù)器建立連接后，訪問國內(nèi)網(wǎng)頁速度會變得很慢？

答：因為與國外虛擬專用服務(wù)器建立連接后，本地網(wǎng)絡(luò)出口就相當(dāng)于自動變成了國家?guī)挸隹?，所以我們在連接國外虛擬專用服務(wù)器的狀態(tài)下，訪問國內(nèi)網(wǎng)站頁面的速度自然是十分緩慢的，整個訪問過程需要先從國內(nèi)連接到國外，再從國外返回到國內(nèi)。倘若是訪問國外網(wǎng)頁時，此時線路方式從國內(nèi)直接傳輸?shù)絿馐窍鄬ψ羁斓?。此外，還取決于我們所選的線路距離，倘若我們使用的是外國的通信線路，那么瀏覽自己國內(nèi)的網(wǎng)頁肯定很慢。

很多時候，需要記憶的登錄賬號與密碼比較多，例如進(jìn)行虛擬專用連接時，需要輸入賬號與密碼，請問如何高效記憶它們呢？

答：在Vista 以上版本系統(tǒng)中，利用系統(tǒng)新增加的“憑據(jù)管理器”功能，可以高效記憶各類賬號與密碼。

在使用該功能記憶賬號與密碼時，依次單擊“開始”、“控制面板”命令，雙擊“憑據(jù)管理器”圖標(biāo)，點擊其后界面中的“添加Windows 憑據(jù)”按鈕，彈出添加憑據(jù)對話框，在“目標(biāo)地址”位置處輸入需要訪問的主機或站點地址，之后輸入登錄賬號與密碼，再按“確定”按鈕即可，如此一來日后在共享訪問或虛擬專用連接時，不用再次輸入登錄賬號與密碼，就能快速進(jìn)行訪問了。

請問為什么Windows 2008系統(tǒng)會選用遠(yuǎn)程服務(wù)網(wǎng)關(guān)功能，來對服務(wù)器進(jìn)行網(wǎng)絡(luò)啟動或管理，而不選用傳統(tǒng)的遠(yuǎn)程桌面連接或虛擬專用連接方式？

答：大家知道，將服務(wù)器中的重要資源暴露在Internet網(wǎng)絡(luò)中，可能會存在很大的安全隱患。利用遠(yuǎn)程桌面連接方式，對服務(wù)器進(jìn)行網(wǎng)絡(luò)啟動或管理時，需要開放服務(wù)器3389的TCP 端口，使用虛擬專用連接方式進(jìn)行網(wǎng)絡(luò)啟動或管理時，實施起來并不太方便，因為不少公共Internet 無線上網(wǎng)節(jié)點并沒有開啟PPTP 或L2TP通信端口，同時有的公共網(wǎng)絡(luò)也不能正常初始化虛擬專用連接。

與之前的兩種遠(yuǎn)程連接方式相比，Windows 2008 系統(tǒng)的遠(yuǎn)程服務(wù)網(wǎng)關(guān)功能，既安全又通用，它將RDP 封裝在HTTPS中，網(wǎng)管員能利用HTTPS 的端口TCP 443 與遠(yuǎn)程服務(wù)網(wǎng)關(guān)服務(wù)器建立連接，遠(yuǎn)程服務(wù)網(wǎng)關(guān)對普通計算機系統(tǒng)進(jìn)行身份驗證，從HTTPS 中解壓RDP，之后在TCP 3389 端口上將連接轉(zhuǎn)發(fā)給目標(biāo)資源。通過遠(yuǎn)程服務(wù)網(wǎng)關(guān)，普通計算機系統(tǒng)只需要訪問TCP 443 端口，就能與遠(yuǎn)程服務(wù)器建立一個安全的RDP會話。此外，善于利用遠(yuǎn)程服務(wù)網(wǎng)關(guān)的身份驗證功能，可以有效提升網(wǎng)絡(luò)啟動或管理的安全性。

如果虛擬專用服務(wù)器沒有開通遠(yuǎn)程接入功能，那么虛擬專用客戶端用戶不管如何連接，都不能訪問虛擬專用服務(wù)器中的內(nèi)容。請問怎樣查看虛擬專用服務(wù)器有沒有開通遠(yuǎn)程接入功能？

答：首先以系統(tǒng)管理員權(quán)限登錄虛擬專用服務(wù)器系統(tǒng)，依次單擊“開始”、“程序”、“管理工具”、“路由和遠(yuǎn)程訪問”選項，切換到路由和遠(yuǎn)程訪問控制臺窗口，右擊該窗口左側(cè)列表中的虛擬專用服務(wù)器主機名稱，點擊右鍵菜單中的“屬性”命令，彈出目標(biāo)主機的屬性對話框。點選“常規(guī)”標(biāo)簽，在其后彈出的標(biāo)簽設(shè)置頁面中，看看“遠(yuǎn)程訪問服務(wù)器”選項有沒有被選中，一旦看到它沒有處于選中狀態(tài)時，那就說明虛擬專用服務(wù)器還沒有開通遠(yuǎn)程接入功能，此時只要及時將它重新選中，確認(rèn)后保存設(shè)置操作，這樣虛擬專用服務(wù)器就能支持普通用戶進(jìn)行虛擬專用連接了。

虛擬專用網(wǎng)絡(luò)在傳輸數(shù)據(jù)時，會通過加密技術(shù)將一臺計算機要發(fā)送的數(shù)據(jù)進(jìn)行編碼后，傳輸給另一臺計算機，而后者必須通過解碼才能訪問數(shù)據(jù)內(nèi)容。虛擬專用支持公鑰加密技術(shù)和對稱密鑰加密技術(shù)，請問這兩種技術(shù)有什么特點？

答：公鑰加密技術(shù)結(jié)合使用了公鑰和私鑰。公鑰由用戶自己的計算機提供給其他任何希望進(jìn)行安全通信的計算機，私鑰只有用戶自己的計算機知道，如果要解碼被加密的數(shù)據(jù)信息，計算機一定要使用發(fā)送方的計算機提供的公鑰以及它自己的私鑰。

對稱密鑰加密技術(shù)要求每臺計算機都有一個密鑰，用于對通過網(wǎng)絡(luò)發(fā)送到另一臺計算機的信息包進(jìn)行加密。對稱密鑰要求用戶知道將要進(jìn)行通信的計算機是哪一臺，以便在每臺計算機上安裝密鑰。對稱密鑰加密實際上與密碼相同，兩臺計算機都必須知道密碼才能對信息進(jìn)行解碼。