告別VPN:Windows 7/2008 R2的Direct Access概述

2009/2/5 10:47:39    編輯:Windows7之家 - Mary Jane     字體:【

Win7之家www.airtaxifl.com):告別VPN:Windows 7/2008 R2的Direct Access概述

Vista之家www.vista123.com):告別VPN:Windows 7/2008 R2的Direct Access概述

 是時候向VPN說再見了!

Direct Access是Windos 7和Windows Server 2008 R2中的一項(xiàng)新功能。憑借這個功能,外網(wǎng)的用戶可以在不需要建立VPN連接的情況下,高速、安全的從Internet直接訪問公司防火墻之后的資源!

僅僅這一句話的描述,是否已經(jīng)足夠以讓你熱血沸騰?是的,不需要VPN了,不需要Token了,不需要SmartCard了,不需要漫長的VPN撥號等待了!內(nèi)網(wǎng)外網(wǎng)之間的穿越變得如此之簡單!Bill Gates說什么來著,information at your finger tip。

這是一個大家企盼了很久的功能,這是一個讓移動辦公者手舞足蹈的功能。微軟這個月公布了Direct Access的技術(shù)白皮書,讓我們先睹為快,看看Direct Access到底是何方神圣,我們從中是否能夠獲得實(shí)實(shí)在在的好處。

詳解Direct Access連接

Direct Access功能克服了VPN的很多局限性,它可以自動地在外網(wǎng)客戶機(jī)和公司內(nèi)網(wǎng)服務(wù)器之間連接雙向的連接。Direct Access通過利用IP v6技術(shù)中的一些先進(jìn)特性做到了這一點(diǎn)。Direct Access使用IPsec進(jìn)行計(jì)算機(jī)之間的驗(yàn)證,這也允許了IT部門在用戶登錄之前進(jìn)行計(jì)算機(jī)的管理。

Direct Access工作時,客戶機(jī)建立一個通向DirectAccess Server的IP v6隧道連接。這個IP v6的隧道連接,可以在普通的IP v4網(wǎng)絡(luò)上工作,如下圖所示。DirectAccess Server承擔(dān)了網(wǎng)關(guān)的角色,連接內(nèi)網(wǎng)和外網(wǎng)之間。

image

需要注意的是,DirectAcces對服務(wù)器建立了兩個連接IPSec隧道連接:

  • IPsec Encapsulating Security Payload (ESP) tunnel with IP-TLS (Transport Layer Security),這個連接使用計(jì)算機(jī)的證書加密。用來訪問DNS服務(wù)器和域控制器,客戶機(jī)用這個連接來下載組策略對象并進(jìn)行安全認(rèn)證。
  • IPsec ESP tunnel with IP-TLS,這個連接同時采用計(jì)算機(jī)和用戶證書加密。用來驗(yàn)證用戶身份并提供對內(nèi)部網(wǎng)絡(luò)資源的訪問。

建立連接后的內(nèi)網(wǎng)資源訪問方式

從安全的角度來考慮,DirectAccess訪問的內(nèi)網(wǎng)資源是可受控制的。有兩種資源訪問方式:

Selected Server Access

Selected server access, 顧名思義,就是有選擇性的允許訪問內(nèi)網(wǎng)特定的服務(wù)器。這樣做的優(yōu)點(diǎn)是可以在DirectAccess服務(wù)器上配置訪問規(guī)則進(jìn)行安全控制,但是這種模式需要 被訪問的服務(wù)器版本必須是Windows Server 2008或2008 R2,而且這些服務(wù)器需要同時支持IPv6和IPsec協(xié)議。

image

Full enterprise network access

Full enterprise network access,這種模式下,DirectAccess服務(wù)器把來自用戶的請求以非IPSec的方式向內(nèi)網(wǎng)的服務(wù)器轉(zhuǎn)發(fā)。這種模式對內(nèi)網(wǎng)的服務(wù)器要求不高, 而且內(nèi)網(wǎng)情況下的網(wǎng)絡(luò)安全也可以得到有效的控制。這類似于Exchange的RPC over Http方式。

image

DirectAccess的連接建立過程

1. 運(yùn)行Windows 7的客戶端計(jì)算機(jī)首先檢測到它所連接的網(wǎng)絡(luò);

2. DirectAccess服務(wù)嘗試連接管理員所指定的一個內(nèi)網(wǎng)資源,如果連接成功,則DirectAccess默認(rèn)計(jì)算機(jī)已經(jīng)處在內(nèi)網(wǎng)的環(huán)境中,計(jì)算機(jī)會把DirectAccess服務(wù)關(guān)閉以節(jié)省系統(tǒng)資源;如果訪問不到,DirectAccess服務(wù)繼續(xù)工作;

3. 客戶端計(jì)算機(jī)接下來使用IPv6和IPsec連接預(yù)先指定的DirectAccess服務(wù)器。如果計(jì)算機(jī)所處的不是IPv6網(wǎng)絡(luò),計(jì)算機(jī)建立一個 IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ,ISATAP)。這些都是Windows 7在后臺完成的,不需要用戶的登陸和干預(yù);

4. 如果防火墻不允許連接IPv6 6to4隧道,計(jì)算機(jī)使用HTTPS協(xié)議與DirectAccess服務(wù)器通訊(性能會有影響);

5. Windows 7客戶機(jī)和DirectAccess服務(wù)器完成互相的身份驗(yàn)證(采用計(jì)算機(jī)證書實(shí)現(xiàn));

6. DirectAccess服務(wù)器根據(jù)客戶機(jī)在AD中的身份和當(dāng)前登陸用戶,決定是否允許訪問。為了避免可能的DDOS攻擊,這里微軟采用了DSCPs技術(shù)(Differentiated Services Code Points);

7. 如果計(jì)算機(jī)啟用了NAP檢測,DirectAcces服務(wù)器轉(zhuǎn)向NAP服務(wù)器完成客戶機(jī)的安全檢測。這也可以有效地避免客戶機(jī)從外網(wǎng)聯(lián)接帶來的安全隱患和病毒;

8. 一切都完成后,DirectAccess服務(wù)器開始擔(dān)當(dāng)內(nèi)外網(wǎng)信息傳遞的角色。

以上這些過程都是自動完成的,不需要用戶的干預(yù)。

Direct Access對路由的處理方式

我 們還有必要聊一下DirectAccess情況下的路由處理。Windows 7的DirectAccess可以把對內(nèi)網(wǎng)的請求轉(zhuǎn)發(fā)給DirectAccess服務(wù)器,而把普通的internet訪問數(shù)據(jù)流直接路由到 internet上。這個路由的具體方式,也可以通過管理員的配置和策略來調(diào)整。

image

DirectAccess的軟件需求

  • 一臺或多臺運(yùn)行Windows Server 2008 R2的DirectAccess服務(wù)器,這些服務(wù)器需要兩塊網(wǎng)卡,分別連接內(nèi)網(wǎng)和外網(wǎng)。
  • 至少一臺域控制器和DNS服務(wù)器運(yùn)行在Windows Server 2008或Windows Server 2008 R2之上。一些高級的認(rèn)證協(xié)議(two-factor authentication)需要R2的AD DS支持。
  • A Public Key Infrastructure (PKI)以提供證書。
  • IPsec
  • DirectAccess服務(wù)器支持:ISATAP, Teredo, and 6to4。

這些僅僅是關(guān)于DirectAccess一些非常初步和概念性的介紹,隨著微軟文檔的進(jìn)一步公開,我們將看到更多的DirectAccess應(yīng)用和配置資料。下面是具體資源的鏈接:

 

本文作者:喻勇(Frank Yu)

Vista之家www.vista123.com),愛上網(wǎng),愛上Vista123.com