Windows 2000 Server提供了“路由与远程访问”服务,但是默认情况下是没有启动的,因此首先要启动它:点击“管理工具”中的“路由与远程访问”,启动设置向导。在其中选择“手动配置服务器”项,点击[下一步]按钮。稍等片刻后,系统会提示“路由和远程访问服务现在已被安装。要开始服务吗?”,点击[是]按钮启动服务。
在访问控制中应用的较多的是基于ACL的IP包过滤技术,这种技术简单可靠,但缺乏一定的灵活性。对于类似于应用FTP协议进行通信的多通道协议来说,配置防火墙则是困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的防火墙来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口。“基于流的访问控制”技术则可以解决这一问题,它检测IP层之上的应用层报文信息,并动态地根据报文的内容创建和删除临时的ACL允许表项,以允许相关的报文通过。
基于流的访问控制技术,可以实现你要求的“单通”需求。CISCO在路由器上,叫CBAC。PIX等防火墙都支持这种技术。但是,这个技术的一个缺陷是:只能支持TCP/UDP协议。对于类似GRE等 RAW socket的协议则很难支持了。
可以添置一个防火墙,将上网的ADSL设定在安全级别最低的那个接口,把财务部放在安全级别最高的那个区域,把其他部门放在介于两者之间的安全区域(DMZ区域)。