告別VPN:Windows 7/2008 R2的Direct Access概述

2009/2/5 10:47:39    編輯:Windows7之家 - Mary Jane     字體:【

Win7之家afsion.com.cn):告別VPN:Windows 7/2008 R2的Direct Access概述

Vista之家www.vista123.com):告別VPN:Windows 7/2008 R2的Direct Access概述

 是時(shí)候向VPN說(shuō)再見(jiàn)了!

Direct Access是Windos 7和Windows Server 2008 R2中的一項(xiàng)新功能。憑借這個(gè)功能,外網(wǎng)的用戶(hù)可以在不需要建立VPN連接的情況下,高速、安全的從Internet直接訪問(wèn)公司防火墻之后的資源!

僅僅這一句話(huà)的描述,是否已經(jīng)足夠以讓你熱血沸騰?是的,不需要VPN了,不需要Token了,不需要SmartCard了,不需要漫長(zhǎng)的VPN撥號(hào)等待了!內(nèi)網(wǎng)外網(wǎng)之間的穿越變得如此之簡(jiǎn)單!Bill Gates說(shuō)什么來(lái)著,information at your finger tip。

這是一個(gè)大家企盼了很久的功能,這是一個(gè)讓移動(dòng)辦公者手舞足蹈的功能。微軟這個(gè)月公布了Direct Access的技術(shù)白皮書(shū),讓我們先睹為快,看看Direct Access到底是何方神圣,我們從中是否能夠獲得實(shí)實(shí)在在的好處。

詳解Direct Access連接

Direct Access功能克服了VPN的很多局限性,它可以自動(dòng)地在外網(wǎng)客戶(hù)機(jī)和公司內(nèi)網(wǎng)服務(wù)器之間連接雙向的連接。Direct Access通過(guò)利用IP v6技術(shù)中的一些先進(jìn)特性做到了這一點(diǎn)。Direct Access使用IPsec進(jìn)行計(jì)算機(jī)之間的驗(yàn)證,這也允許了IT部門(mén)在用戶(hù)登錄之前進(jìn)行計(jì)算機(jī)的管理。

Direct Access工作時(shí),客戶(hù)機(jī)建立一個(gè)通向DirectAccess Server的IP v6隧道連接。這個(gè)IP v6的隧道連接,可以在普通的IP v4網(wǎng)絡(luò)上工作,如下圖所示。DirectAccess Server承擔(dān)了網(wǎng)關(guān)的角色,連接內(nèi)網(wǎng)和外網(wǎng)之間。

image

需要注意的是,DirectAcces對(duì)服務(wù)器建立了兩個(gè)連接IPSec隧道連接:

  • IPsec Encapsulating Security Payload (ESP) tunnel with IP-TLS (Transport Layer Security),這個(gè)連接使用計(jì)算機(jī)的證書(shū)加密。用來(lái)訪問(wèn)DNS服務(wù)器和域控制器,客戶(hù)機(jī)用這個(gè)連接來(lái)下載組策略對(duì)象并進(jìn)行安全認(rèn)證。
  • IPsec ESP tunnel with IP-TLS,這個(gè)連接同時(shí)采用計(jì)算機(jī)和用戶(hù)證書(shū)加密。用來(lái)驗(yàn)證用戶(hù)身份并提供對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)。

建立連接后的內(nèi)網(wǎng)資源訪問(wèn)方式

從安全的角度來(lái)考慮,DirectAccess訪問(wèn)的內(nèi)網(wǎng)資源是可受控制的。有兩種資源訪問(wèn)方式:

Selected Server Access

Selected server access, 顧名思義,就是有選擇性的允許訪問(wèn)內(nèi)網(wǎng)特定的服務(wù)器。這樣做的優(yōu)點(diǎn)是可以在DirectAccess服務(wù)器上配置訪問(wèn)規(guī)則進(jìn)行安全控制,但是這種模式需要 被訪問(wèn)的服務(wù)器版本必須是Windows Server 2008或2008 R2,而且這些服務(wù)器需要同時(shí)支持IPv6和IPsec協(xié)議。

image

Full enterprise network access

Full enterprise network access,這種模式下,DirectAccess服務(wù)器把來(lái)自用戶(hù)的請(qǐng)求以非IPSec的方式向內(nèi)網(wǎng)的服務(wù)器轉(zhuǎn)發(fā)。這種模式對(duì)內(nèi)網(wǎng)的服務(wù)器要求不高, 而且內(nèi)網(wǎng)情況下的網(wǎng)絡(luò)安全也可以得到有效的控制。這類(lèi)似于Exchange的RPC over Http方式。

image

DirectAccess的連接建立過(guò)程

1. 運(yùn)行Windows 7的客戶(hù)端計(jì)算機(jī)首先檢測(cè)到它所連接的網(wǎng)絡(luò);

2. DirectAccess服務(wù)嘗試連接管理員所指定的一個(gè)內(nèi)網(wǎng)資源,如果連接成功,則DirectAccess默認(rèn)計(jì)算機(jī)已經(jīng)處在內(nèi)網(wǎng)的環(huán)境中,計(jì)算機(jī)會(huì)把DirectAccess服務(wù)關(guān)閉以節(jié)省系統(tǒng)資源;如果訪問(wèn)不到,DirectAccess服務(wù)繼續(xù)工作;

3. 客戶(hù)端計(jì)算機(jī)接下來(lái)使用IPv6和IPsec連接預(yù)先指定的DirectAccess服務(wù)器。如果計(jì)算機(jī)所處的不是IPv6網(wǎng)絡(luò),計(jì)算機(jī)建立一個(gè) IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ,ISATAP)。這些都是Windows 7在后臺(tái)完成的,不需要用戶(hù)的登陸和干預(yù);

4. 如果防火墻不允許連接IPv6 6to4隧道,計(jì)算機(jī)使用HTTPS協(xié)議與DirectAccess服務(wù)器通訊(性能會(huì)有影響);

5. Windows 7客戶(hù)機(jī)和DirectAccess服務(wù)器完成互相的身份驗(yàn)證(采用計(jì)算機(jī)證書(shū)實(shí)現(xiàn));

6. DirectAccess服務(wù)器根據(jù)客戶(hù)機(jī)在AD中的身份和當(dāng)前登陸用戶(hù),決定是否允許訪問(wèn)。為了避免可能的DDOS攻擊,這里微軟采用了DSCPs技術(shù)(Differentiated Services Code Points);

7. 如果計(jì)算機(jī)啟用了NAP檢測(cè),DirectAcces服務(wù)器轉(zhuǎn)向NAP服務(wù)器完成客戶(hù)機(jī)的安全檢測(cè)。這也可以有效地避免客戶(hù)機(jī)從外網(wǎng)聯(lián)接帶來(lái)的安全隱患和病毒;

8. 一切都完成后,DirectAccess服務(wù)器開(kāi)始擔(dān)當(dāng)內(nèi)外網(wǎng)信息傳遞的角色。

以上這些過(guò)程都是自動(dòng)完成的,不需要用戶(hù)的干預(yù)。

Direct Access對(duì)路由的處理方式

我 們還有必要聊一下DirectAccess情況下的路由處理。Windows 7的DirectAccess可以把對(duì)內(nèi)網(wǎng)的請(qǐng)求轉(zhuǎn)發(fā)給DirectAccess服務(wù)器,而把普通的internet訪問(wèn)數(shù)據(jù)流直接路由到 internet上。這個(gè)路由的具體方式,也可以通過(guò)管理員的配置和策略來(lái)調(diào)整。

image

DirectAccess的軟件需求

  • 一臺(tái)或多臺(tái)運(yùn)行Windows Server 2008 R2的DirectAccess服務(wù)器,這些服務(wù)器需要兩塊網(wǎng)卡,分別連接內(nèi)網(wǎng)和外網(wǎng)。
  • 至少一臺(tái)域控制器和DNS服務(wù)器運(yùn)行在Windows Server 2008或Windows Server 2008 R2之上。一些高級(jí)的認(rèn)證協(xié)議(two-factor authentication)需要R2的AD DS支持。
  • A Public Key Infrastructure (PKI)以提供證書(shū)。
  • IPsec
  • DirectAccess服務(wù)器支持:ISATAP, Teredo, and 6to4。

這些僅僅是關(guān)于DirectAccess一些非常初步和概念性的介紹,隨著微軟文檔的進(jìn)一步公開(kāi),我們將看到更多的DirectAccess應(yīng)用和配置資料。下面是具體資源的鏈接:

 

本文作者:喻勇(Frank Yu)

Vista之家www.vista123.com),愛(ài)上網(wǎng),愛(ài)上Vista123.com