VPN的解决方案就是在Internet上虚拟出一个局域网，方便客户端（企业员工）与服务器（公司）或者相互之间信息共享、传递、交流的需要。VPN 客户端可以使用“点对点隧道协议”（PPTP）、 “第二层隧道协议”（L2TP） 和“IP 安全”（IPSec）来创建一个通往基于 Windows Server 2003 的“路由和远程访问”服务VPN服务器的安全隧道，这样，客户端就变成了专用网络上的一个远程节点。

　　VPN的安全威胁就来自这条线路之外，即Internet。那如何来加固VPN，使它免受来自外部的攻击呢?为VPN服务器配置PPTP数据包筛选器，是个比较有效的办法。其原则是，赋予接入VPN的客户端最少特权，并且丢弃除明确允许的数据包以外的其它所有数据包。

　　一、配置PPTP输入筛选器

　　配置PPTP输入筛选器，其目的是只允许来自PPTP VPN客户端的入站通信，操作如下：

　　第一步：依次执行“开始→程序→管理工具”，打开“路由和远程访问”窗口。在其控制台的左侧窗口依次展开“服务器名(本地)→IP路由选择”，然后单击“常规”在右侧窗格中双击“本地连接”，打开“本地连接属性”对话框。(图1)

　　第二步：在“常规”选项卡中单击“入站筛选器”，然在打开的“入站筛选器”对话框中点击“新建”按钮，打开“添加IP筛选器”对话框。勾选“目标网络”复选框，在“IP地址”编辑框中键入该外部接口的IP地址，在“子网掩码”编辑框中键入“255.255.255.255”，在“协议”框下拉菜单中选中“TCP”协议，在弹出的“目标端口”框中键入端口号“1723”，然后单击“确定”按钮。(图2)

　　第三步：回到“入站筛选器”对话框，点选“丢弃所有的包，满足下列条件的除外”单选框，如图3。然后反单击“新建”按钮，勾选“目标网络”复选框。在“IP地址”编辑框中键入该外部接口的IP地址，在“子网掩码”编辑框中键入“255.255.255.255”，在“协议”框下拉菜单中选中“其他”，在“在协议号”框中键入“47”，如图4，最后依次单击“确定”按钮完成设置。(图3)(图4)

　　二、配置PPTP输出筛选器

　　配置PPTP输出筛选器，其目的是只允许到达PPTP VPN客户端的出站通信，操作如下：

　　第一步：在“路由和远程访问”窗口打开外部接口属性对话框，然后在“常规”选项卡中单击“出站筛选器”按钮，在打开的“出站筛选器”窗口中单击“新建”按钮，打开“添加IP筛选器”对话框。勾选 “源网络”复选框，在“IP地址”编辑框中键入该外部接口的IP地址，子网掩码为“255.255.255.255”，指定协议为“TCP”，并指定“源端口”号为“1723”，单击“确定”按钮。(图5)

　　第二步：回到“出站筛选器”对话框，点选“丢弃所有的包，满足下列条件的除外”单选框。然后单击“新建”按钮，勾选“源网络”复选框。在“IP地址”编辑框中键入该外部接口的IP地址，“子网掩码”为“255.255.255.255”，在“协议”框下拉菜单中选中“其他”，指定“协议号”为“47”，最后依次单击“确定”按钮完成设置，如图6。(图6)

　　提示：“1723”端口是VPN服务器默认使用的端口，而“47”则代表TCP协议。

　　完成上述设置后，就只有那些基于PPTP的VPN客户端可以访问VPN服务器的外部接口了，这样就极大地加固了VPN的安全性。