當 VPN 伺服器是在防火牆前面而且連接至網際網路時，您需要將封包篩選器新增至網際網路介面，讓它只允許 VPN 傳輸連至 (或從中傳來) VPN 伺服器的網際網路介面的 IP 位址。

對於輸入流量，當通道資料由 VPN 伺服器解密時，會將之轉送到防火牆。透過其篩選器的使用，防火牆允許流量被轉送到內部網路資源中。由於唯一跨 VPN 伺服器的流量是由已經驗證的 VPN 用戶端所產生，所以在此案例中，防火牆篩選可用以防止 VPN 使用者存取特定的內部網路資源。因為內部網路上唯一允許的網際網路流量必須通過 VPN 伺服器，因此此方法同樣可防止與非 VPN 網際網路使用者共用「檔案傳輸通訊協定 (FTP)」或內部網路資源。

下列圖例顯示 VPN 伺服器在防火牆前方。

對於 VPN 伺服器上的網際網路介面，請使用 [路由及遠端存取] 設定下列輸入及輸出篩選器：

將篩選器動作設定為「丟棄除了符合以下條件的封包之外的所有封包」以設定下列輸入篩選器：

• VPN 伺服器的網際網路介面目的地 IP 位址，網路遮罩為 255.255.255.255，TCP 目的地連接埠為 1723。
  此篩選器允許從 PPTP 用戶端到 PPTP 伺服器的 PPTP 通道維護傳輸。
  
• VPN 伺服器的網際網路介面目的地 IP 位址，網路遮罩為 255.255.255.255，IP 通訊協定識別碼為 47。
  此篩選器允許從 PPTP 用戶端到 PPTP 伺服器的 PPTP 通道資料。
  
• VPN 伺服器的網際網路介面目的地 IP 位址，網路遮罩為 255.255.255.255，TCP [established] 來源連接埠為 1723。
  僅當 VPN 伺服器在路由器至路由器的 VPN 連線中用作 VPN 用戶端 (呼叫路由器) 時，才需要此篩選器。只有當 VPN 伺服器起始 TPC 連線時才會接受 TCP [established] 傳輸。
  

將篩選器動作設定為「丟棄除了符合以下條件的封包之外的所有封包」以設定下列輸出篩選器：

• VPN 伺服器網際網路介面的來源 IP 位址，子網路遮罩為 255.255.255.255，TCP 來源連接埠為 1723。
  此篩選器允許從 VPN 伺服器到 VPN 用戶端的 PPTP 通道維護傳輸。
  
• VPN 伺服器的網際網路介面來源 IP 位址，子網路遮罩為 255.255.255.255，IP 通訊協定識別碼為 47。
  此篩選器允許從 VPN 伺服器到 VPN 用戶端的 PPTP 通道資料。
  
• VPN 伺服器網際網路介面的來源 IP 位址，子網路遮罩為 255.255.255.255，TCP 目的地連接埠為 1723。
  僅當 VPN 伺服器在路由器至路由器的 VPN 連線中用作 VPN 用戶端 (呼叫路由器) 時，才需要此篩選器。只有當 VPN 伺服器起始 TPC 連線時才會傳送 TCP [established] 傳輸。
  

如需相關資訊，請參閱 新增 PPTP 篩選器。

將篩選器動作設定為「丟棄除了符合以下條件的封包之外的所有封包」以設定下列輸入篩選器：

• VPN 伺服器的網際網路介面目的地 IP 位址，網路遮罩為 255.255.255.255，UDP 目的地連接埠為 500。
  此篩選器允許連至 VPN 伺服器的「網際網路金鑰交換 (IKE)」傳輸。
  
• VPN 伺服器的網際網路介面目的地 IP 位址，網路遮罩為 255.255.255.255，UDP 目的地連接埠為 1701。
  此篩選器允許從 VPN 用戶端至 VPN 伺服器的 L2TP 傳輸。
  
• VPN 伺服器的網際網路介面目的地 IP 位址，網路遮罩為 255.255.255.255，UDP 目的地連接埠為 4500。
  此篩選器允許 IPSec 網路位址轉譯器周遊 (NAT-T) 傳輸。
  

將篩選器動作設定為「丟棄除了符合以下條件的封包之外的所有封包」以設定下列輸出篩選器：

• VPN 伺服器網際網路介面的來源 IP 位址，網路遮罩為 255.255.255.255，UDP 來源連接埠為 500。
  此篩選器允許來自 VPN 伺服器的 IKE 傳輸。
  
• VPN 伺服器網際網路介面的來源 IP 位址，網路遮罩為 255.255.255.255，UDP 來源連接埠為 1701。
  此篩選器允許從 VPN 伺服器至 VPN 用戶端的 L2TP 傳輸。
  
• VPN 伺服器網際網路介面的來源 IP 位址，網路遮罩為 255.255.255.255，UDP 來源連接埠為 4500。
  此篩選器允許 IPSec NAT-T 傳輸。
  

如需相關資訊，請參閱 新增 L2TP over IPSec 篩選器。

在 IP 通訊協定為 50 的「壓縮安全性內容 (ESP)」傳輸並不需要篩選器。在 L2TP 封包傳遞至「路由及遠端存取」之前 IPSec 元件會移除 ESP 標頭。

重要事項

• 不建議 Windows 的 IPSec NAT-T 調配 (包括位在網路位址轉譯器後的 VPN 伺服器)。伺服器位於網路位址轉譯器後面，且伺服器使用 IPSec NAT-T 時，可能會因為網路位址轉譯器轉譯網路流量的方法，而發生意外行為。
  

在較常見的設定中，防火牆會連接到網際網路，而 VPN 伺服器是連接到周邊網路的另一個內部網路資源。VPN 伺服器在周邊網路和內部網路上都有介面。在這種案例下，必須使用其網際網路介面上的輸入及輸出篩選器來設定防火牆，讓通道維護流量及通道資料得以傳入 VPN 伺服器。其他篩選器可允許在周邊網路上的 Web、FTP 及其他類型伺服器傳遞流量。如需多一層安全性，也可以使用其周邊網路介面上的 PPTP 或 L2TP/IPSec 封包篩選器來設定 VPN 伺服器。

由於防火牆並沒有每個 VPN 連線的加密金鑰，所以它只能在通道資料的純文字標頭上篩選。換句話說，所有通道資料都會透過防火牆傳遞。不過這跟安全性沒有關係，因為 VPN 連線會要求驗證程序，這可防止超過 VPN 伺服器範圍以外的未驗證存取。

下列圖例顯示在周邊網路的防火牆之後的 VPN 伺服器。

針對防火牆上的網際網路和周邊網路介面，使用防火牆的設定軟體設定下列輸入和輸出篩選器：

可在網際網路介面與周邊網路介面上設定獨立的輸入及輸出封裝篩選器。

在防火牆的網際網路介面上設定下列輸入封裝篩選器以允許特定類型的傳輸：

• VPN 伺服器周邊網路介面的目的地 IP 位址及 TCP 目的地連接埠：1723 (0x6BB)。
  此篩選器允許從 PPTP 用戶端到 PPTP 伺服器的 PPTP 通道維護傳輸。
  
• VPN 伺服器周邊網路介面的目的地 IP 位址及 IP 通訊協定識別碼：47 (0x2F)
  此篩選器允許從 PPTP 用戶端到 PPTP 伺服器的 PPTP 通道資料。
  
• VPN 伺服器周邊網路介面的目的地 IP 位址及 TCP 來源連接埠：1723 (0x6BB)
  僅當 VPN 伺服器在路由器至路由器的 VPN 連線中用作 VPN 用戶端 (呼叫路由器) 時，才需要此篩選器。此篩選器應該只與在防火牆前面的 VPN 伺服器描述中的 PPTP 封包篩選器一起使用，並在 VPN 伺服器周邊網路介面上設定。允許從 TCP 連接埠 1723 至 VPN 伺服器的所有流量，有可能受到使用此連接埠之網際網路上來源的網路攻擊。
  

在防火牆的網際網路介面上設定下列輸出篩選器以允許下列類型的傳輸：

• VPN 伺服器周邊網路介面的來源 IP 位址及 TCP 來源連接埠：1723 (0x6BB)。
  此篩選器允許從 VPN 伺服器到 VPN 用戶端的 PPTP 通道維護傳輸。
  
• VPN 伺服器周邊網路介面的來源 IP 位址及 IP 通訊協定識別碼 47 (0x2F)。
  此篩選器允許從 VPN 伺服器到 VPN 用戶端的 PPTP 通道資料。
  
• VPN 伺服器周邊網路介面的來源 IP 位址及 TCP 目的地連接埠 1723 (0x6BB)。
  僅當 VPN 伺服器在路由器至路由器的 VPN 連線中用作 VPN 用戶端 (呼叫路由器) 時，才需要此篩選器。此篩選器應該只與在防火牆前面的 VPN 伺服器中所述的 PPTP 封包篩選器一起使用，並在 VPN 伺服器周邊網路介面上進行設定。允許從 VPN 伺服器至 TCP 連接埠 1723 的所有傳輸，有可能受到使用此連接埠之網際網路上來源的網路攻擊。
  

在防火牆的周邊網路介面上設定下列輸入篩選器以允許下列類型的傳輸：

• VPN 伺服器周邊網路介面的來源 IP 位址及 TCP 來源連接埠：1723 (0x6BB)。
  此篩選器允許從 VPN 伺服器到 VPN 用戶端的 PPTP 通道維護傳輸。
  
• VPN 伺服器周邊網路介面的來源 IP 位址及 IP 通訊協定識別碼 47 (0x2F)。
  此篩選器允許從 VPN 伺服器到 VPN 用戶端的 PPTP 通道資料。
  
• VPN 伺服器周邊網路介面的來源 IP 位址及 TCP 目的地連接埠 1723 (0x6BB)。
  僅當 VPN 伺服器在路由器至路由器的 VPN 連線中用作 VPN 用戶端 (呼叫路由器) 時，才需要此篩選器。此篩選器應該只與在防火牆前面的 VPN 伺服器中所述的 PPTP 封包篩選器一起使用，並在 VPN 伺服器周邊網路介面上進行設定。允許從 VPN 伺服器至 TCP 連接埠 1723 的所有傳輸，有可能受到使用此連接埠之網際網路上來源的網路攻擊。
  

在防火牆的週邊網路介面上設定下列輸出封裝篩選器以允許下列類型的傳輸：

• VPN 伺服器周邊網路介面的目的地 IP 位址及 TCP 目的地連接埠：1723 (0x6BB)。
  此篩選器允許從 PPTP 用戶端到 PPTP 伺服器的 PPTP 通道維護傳輸。
  
• VPN 伺服器周邊網路介面的目的地 IP 位址及 IP 通訊協定識別碼：47 (0x2F)
  此篩選器允許從 PPTP 用戶端到 PPTP 伺服器的 PPTP 通道資料。
  
• VPN 伺服器周邊網路介面的目的地 IP 位址及 TCP 來源連接埠：1723 (0x6BB)
  僅當 VPN 伺服器在路由器至路由器的 VPN 連線中用作 VPN 用戶端 (呼叫路由器) 時，才需要此篩選器。此篩選器應該只與在防火牆前面的 VPN 伺服器描述中的 PPTP 封包篩選器一起使用，並在 VPN 伺服器周邊網路介面上設定。允許從 TCP 連接埠 1723 至 VPN 伺服器的所有流量，有可能受到使用此連接埠之網際網路上來源的網路攻擊。
  

可在網際網路介面與周邊網路介面上設定獨立的輸入及輸出封裝篩選器。

在防火牆的網際網路介面上設定下列輸入封裝篩選器以允許特定類型的傳輸：

• VPN 伺服器周邊網路介面的目的地 IP 位址及 UDP 目的地連接埠：500 (0x1F4)。
  此篩選器允許至 VPN 伺服器的 IKE 傳輸。
  
• VPN 伺服器周邊網路介面的目的地 IP 位址及 UDP 目的地連接埠：4500 (0x1194)。
  此篩選器允許至 VPN 伺服器的 IPSec NAT-T 傳輸。
  
• VPN 伺服器周邊網路介面的目的地 IP 位址及 IP 通訊協定識別碼：50 (0x32)
  此伺服器允許從 VPN 用戶端至 VPN 伺服器的 IPSec ESP傳輸。
  

在防火牆的網際網路介面上設定下列輸出封包篩選器以允許下列類型的傳輸：

• VPN 伺服器周邊網路介面的來源 IP 位址及 UDP 來源連接埠 500 (0x1F4)。
  此篩選器允許來自 VPN 伺服器的 IKE 傳輸。
  
• VPN 伺服器周邊網路介面的來源 IP 位址及 UDP 來源連接埠：4500。
  此篩選器允許從 VPN 伺服器的 IPSec NAT-T 傳輸。
  
• VPN 伺服器周邊網路介面的來源 IP 位址及 IP 通訊協定識別碼：50 (0x32)
  此伺服器允許從 VPN 伺服器至 VPN 用戶端 的 IPSec ESP傳輸。
  

在 UDP 連接埠 1701 上沒有 L2TP 傳輸所必需的篩選器。所有防火牆上的 L2TP 傳輸，包括通道維護和通道資料，都加密為 IPSec ESP 裝載。

重要事項

• 不建議 Windows 的 IPSec NAT-T 調配 (包括位在網路位址轉譯器後的 VPN 伺服器)。伺服器位於網路位址轉譯器後面，且伺服器使用 IPSec NAT-T 時，可能會因為網路位址轉譯器轉譯網路流量的方法，而發生意外行為。
  

在防火牆的周邊網路介面上設定下列輸入封包篩選器以允許下列類型的傳輸：

• VPN 伺服器周邊網路介面的來源 IP 位址及 UDP 來源連接埠 500 (0x1F4)。
  此篩選器允許來自 VPN 伺服器的 IKE 傳輸。
  
• VPN 伺服器周邊網路介面的來源 IP 位址及 UDP 來源連接埠：4500。
  此篩選器允許從 VPN 伺服器的 IPSec NAT-T 傳輸。
  
• VPN 伺服器周邊網路介面的來源 IP 位址及 IP 通訊協定識別碼：50 (0x32)
  此伺服器允許從 VPN 伺服器至 VPN 用戶端 的 IPSec ESP傳輸。
  

在防火牆的週邊網路介面上設定下列輸出封裝篩選器以允許下列類型的傳輸：

• VPN 伺服器周邊網路介面的目的地 IP 位址及 UDP 目的地連接埠：500 (0x1F4)。
  此篩選器允許至 VPN 伺服器的 IKE 傳輸。
  
• VPN 伺服器周邊網路介面的目的地 IP 位址及 UDP 目的地連接埠：4500 (0x1194)。
  此篩選器允許至 VPN 伺服器的 IPSec NAT-T 傳輸。
  
• VPN 伺服器周邊網路介面的目的地 IP 位址及 IP 通訊協定識別碼：50 (0x32)
  此伺服器允許從 VPN 用戶端至 VPN 伺服器的 IPSec ESP傳輸。
  

在 UDP 連接埠 1701 上沒有 L2TP 傳輸所必需的篩選器。所有防火牆上的 L2TP 傳輸，包括通道維護和通道資料，都加密為 IPSec ESP 裝載。

重要事項

• 不建議 Windows 的 IPSec NAT-T 調配 (包括位在網路位址轉譯器後的 VPN 伺服器)。伺服器位於網路位址轉譯器後面，且伺服器使用 IPSec NAT-T 時，可能會因為網路位址轉譯器轉譯網路流量的方法，而發生意外行為。