随着企业信息化的发展，用户已经不再只满足在企业内部使用信息化系统。他们越来越期待在外面也可以正常访问企业内部的网络资源。如在出差的时候、如在家里调养的时候，他们仍然需要访问内部的系统。

　　如下图所示，现在某个企业有一个用户在家里休息年假。有一天其突然接到一个电话，有一件紧急的工作需要其完成。而这项工作的话，又需要访问企业内部的文件服务器。这个时候该怎么办呢?解决方案很多，其中VPN就是一个行之有效的方法。不过如果允许外部用户访问企业内部的资源，就好像是给一道牢不可破的围墙开了一扇门，会带来不少的安全隐患。为此在配制VPN的时候，安全问题一直困扰着网络管理人员。在这里笔者就结合自己在Forefront安全网关上的项目经验，对于VPN的安全，提一些小的建议。希望这些建议能够帮助各位读者改善VPN的安全现状。

　　一、配置EAP身份认证来提高VPN的安全

　　虽然允许VPN连接，就如同在一道牢不可破的围墙上开了一扇门。但是只要这扇门足够牢固、门卫足够严格、钥匙足够安全的话，这扇门就是安全的。简单的说，就是只允许合法的用户才能够通过这扇门。那么就可以保证这个通道的安全。

　　对于VPN连接也是如此。如上图所示，Forefront就好像是围墙上所开一扇门的保安。这个保安如果比较称职，能够辨别用户的身份是否合法，那么这个VPN连接就相对来说是安全的。相反，如果其老是在打瞌睡，对进出的人员不闻不问，显然就会造成很大的安全隐患。那么如何来让Forefront做一个称职的保安呢?笔者这里的建议是，可以通过配置EAP身份认证来提高VPN连接的安全。

　　在点对点隧道协议连接的虚拟专用网络中，可以支持EAP(可扩展身份验证协议)来验证用户身份的合法性。也就是说，在VPN连接中，Forefront可以支持第三方的身份验证服务器。这就好像现在的小区，如果有外来人员访问的话，保安需要先跟被访问者或者物业进行通话，以确认来访者身份的合法性。关于EAP可扩展身份验证协议的详细信息读者可以参考其他的相关资料。在这篇文章中不是笔者说明的重点。笔者在这里主要谈的是在Forefront安全网关中如何配置EPA身份验证机制。笔者总结了如下四个步骤，供各位读者参考。

　　第一步：打开管理控制台

　　微软操作系统中的管理控制台设计的确实不错，可以将日常管理中所需要用到的相关组件都集成到这个平台上，节省了管理员不少的精力。在这里，笔者仍然推荐通过管理控制台来进行EAP身份验证的配置。管理人员可以在开始、运行中输入“MMC”来打开管理控制台。然后在控制台中加入所需要的管理组件。

　　第二步：将“路由和远程访问”加入到管理控制台中。

　　如下图所示，在管理控制台中，选择“文件”、“添加、删除管理单元”，可以打开如下的对话框。然后点击“添加”，将“路由和远程访问”管理组件添加到管理控制台中。

　　虽然管理员还可以通过“管理工具”、“路由和远程访问”来直接打开这个管理工具，但是笔者并不建议这么做。因为在日常维护中，可能需要用到各种各样的系统工具。如IP安全策略、组策略、路由和远程访问等等。如果每次使用的时候，都按照这种方式打开，那么管理的效率会大打折扣。笔者认为管理员应该养成一个习惯，将相关的管理工具都集成到MMC管理控制台中。如此的话，后续要使用某个组件的时候，只需要直接打开这个管理控制台即可。所需要用到的组件都会在这个管理控制台中罗列出来。

　　第三步：创建请求拨号连接

　　管理人员在控制平台中，找到刚才添加的“路由和远程访问”组件，然后单击，打开这个组件，再选择“网络接口”节点。在这一步骤中主要是为VPN建立一个请求拨号接口。在这里需要提醒的一个问题是，有可能不同的用户有不同的安全需求。如对于一些管理员帐户，由于其权限比较大，对于其安全认证机制会严格许多。其次对于不同的人员优先级可能也有所不同。为此针对不同的需求，在这里管理员可以多建立几个连接，以满足不同用户的需要。

　　第四步：为拨号连接设置安全属性

　　在Forefront安全网关中，通常安全属性都是针对拨号连接来的。简单的说，就是不同的拨号连接可以有不同的安全认证机制。这么设计，主要是为了提高灵活性。管理员可以根据用户的需求，在安全与效率上取得一个均衡。

　　选择需要设置的拨号连接，然后单击“属性”。在打开的对话框上，选择“安全性”选项卡，选择“高级自定义设置”选项，并单击“设置”，打开“高级安全设置”对话框。在这个对话框中，选择使用的身份验证机制为“EAP”。最后单击“属性”，进行EAP的相关配置。

　　经过以上几个配置，就可以实现在Forefront中使用EAP来进行身份验证，以提高VPN连接的安全。