大家常用Windows系統的“路由和遠程訪問”組件架設VPN服務器，但此方法配置較為復雜。如果能將網絡防火墻和VPN功能集成在一起，就可以簡化架設過程，并且還可以利用防火墻策略增強VPN服務的安全。Kerio Winroute Firewall（以下簡稱KWF）就是這樣一款工具，它內置了VPN服務器，并且還可以利用KWF的內置功能增強安全、方便VPN管理，如何利用KWF架設VPN服務器，下面就一起來看吧！

　　安裝VPN服務器

　　KWF內置了VPN服務，并且VPN服務的安裝過程非常簡單，不需要對它進行單獨配置，VPN服務的安裝和KWF防火墻的安裝是同步進行的。從http://www.cloudnet.com.cn/download/WinRoute-

　　Firewall-Antivirus.exe下載KWF軟件，它可以應用于Windows 2000/XP/2003系統中，運行KWF防火墻安裝程序，默認情況會安裝VPN服務，還要記得在“管理員賬號”對話框中為管理員賬號設置初始密碼，就能完成VPN服務的安裝。

　　小提示：在安裝VPN服務器過程中，會彈出“Kerio VPN Adapter驅動程序沒有通過Windows徽標測試……”的對話框，不必理會該錯誤提示，點擊“仍然繼續”按鈕即可。

　　配置VPN服務器

　　1． 啟動VPN服務

　　重新啟動Windows系統，完成VPN服務器的安裝，但這時VPN服務還沒啟動。雙擊系統托盤中的“KWF圖標”，彈出控制臺登錄對話框，在“Host”欄中選擇“Localhost”，接著在“Username”和“Password”欄中輸入管理員賬號和密碼，點擊“Connect”按鈕，即可登錄到KWF控制臺。

　　啟動VPN服務也是全自動的，第一次登錄KWF控制臺會彈出“Network rules Wizard”對話框，接著就一路點擊“下一步（Next）”，但要確保在第五頁中選擇“Yes,I want to use Kerio VPN”選項，最后點擊“Finish”按鈕，就完成VPN服務的啟動。

　　2． 配置VPN參數

　　完成了VPN服務的啟動后，接下來還要簡單配置下VPN參數。在KWF控制臺左側框體中依次點擊“Configuration→Interfaces”選項，接著在右側框體中雙擊“VPN Server”項目，彈出VPN Server屬性配置對話框，切換到“General”標簽頁。默認情況下，VPN服務會為VPN客戶隨機生成一個和你本地內部網絡不同的C類網絡地址，但這個網絡地址未必能滿足需要，你可以根據自己需要進行手工修改。

　　為了保證VPN網絡的安全，VPN服務還會使用“SSL Certificate”加密網絡中的信息，并且這個證書是VPN服務自動生成的。如果想修改“SSL Certificate”也很簡單，點擊“General”標簽頁下方的“Change SSL Certificate”按鈕，彈出“Server SSL Certificate”對話框（如圖1），點擊“Generate Certificate…”按鈕，然后輸入SSL證書信息，最后點擊“OK”按鈕，就生成了一個新的證書。

　　要修改VPN服務的監聽端口也很簡單，默認使用“4090”。切換到“Advanced”標簽頁，在“Listen on port”欄中輸入新的端口值即可。

　　完成以上VPN參數設置后，記得點擊VPN Server屬性配置對話框中的“OK”按鈕，保存修改設置。

　　3． 創建VPN賬號

　　雖然以上完成了VPN服務的啟動和參數配置，但這時VPN客戶還是不能登錄VPN網絡，需要合法的用戶賬號。

　　在KWF控制臺窗口中，依次點擊“Users and Groups→ Users”后，就可以在右側框體中創建VPN賬號。點擊“Add”按鈕，彈出賬號創建向導對話框，在“Name”欄中輸入VPN賬號，如“CCE1VPN”，接著在“Authentication”下拉列表框中選擇“Internal user database”項，然后還要兩次輸入VPN賬號密碼。

　　兩次點擊“Next”按鈕后，進入到用戶權限設置對話框，這里要根據實際需要指定用戶的權限，但必須要選中“User can connect using VPN”項，否則VPN用戶就無法連接VPN服務器。

　　點擊“Next”后，進入“限額”對話框，在這里可以對VPN用戶的網絡流量進行限制，如限制“CCE1VPN”賬號每天的總流量為100MB，這里一定要選中“Enable daily limit”選項，然后在“Direction”下拉列表中選擇“all traffic”，在“Quota”欄中輸入“100”，單位選擇“MB”，這樣就完成該用戶的流量限制。點擊“Next”后，對內容策略進行設置，對于VPN用戶來說，KWF防火墻默認是不允許通過KWF上網的，這里使用默認值即可。

　　點擊“Next”按鈕后，進入到“自動登錄”設置對話框，如果對“CCE1VPN”賬號使用的IP地址沒有特殊限制，可以不進行任何限制，最后點擊“Finish”按鈕，完成VPN賬號的創建。

　　4． 自動生成VPN流量策略

　　當KWF啟動了VPN服務后，就會發現在控制臺的“Traffic policy”框體中多出兩條關于VPN服務的策略，它的作用就是允許外部的VPN用戶訪問VPN服務，以及允許VPN 客戶和內部網絡相互訪問。無需要手工配置，就自動完成了VPN服務的公網發布。

　　登錄VPN網絡

　　以上完成了VPN服務器的所有設置。接下來的遠程客戶機就可以連接到這個VPN服務器了，從“http://www.cloudnet.com.cn/download/WinRoute-

　　vpnclient.exe”下載Kerio VPN客戶程序，安裝后運行。在VPN客戶程序對話框中點擊“Add”按鈕，彈出編輯VPN服務器對話框（如圖2），在“Server”欄輸入VPN服務器的IP地址，“Username”和“Password”欄中輸入VPN賬號和密碼，最后點擊“OK”按鈕。

　　下面在VPN客戶程序對話框中選中剛才新建的選項，然后點擊下方的“Connect”按鈕，稍等一會，VPN客戶機即可連入VPN網絡。

　　Kerio VPN客戶程序和一般的VPN客戶程序稍有不同，它登錄到VPN服務器后，只會自動更新本地的路由表，不會對其它內容做任何修改。因此Kerio VPN客戶程序可以同時連接到多個VPN 服務器中，也不會產生任何沖突問題，這點是其它VPN客戶程序很難做到的。

圖1 修改SSL加密

圖2 登錄KWF VPN