告别VPN:Windows 7/2008 R2的Direct Access功能概述

vpn r2 direct ipv6 access 2008

来自:http://struggle.blog.51cto.com/333093/217906

VPN说再见了!
Direct Access是Windos 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源!
仅仅这一句话的描述,是否已经足够以让你热血沸腾?是的,不需要VPN了,不需要Token了,不需要SmartCard了,不需要漫长的VPN拨号等待了!内网外网之间的穿越变得如此之简单!Bill Gates说什么来着,
information at your finger tip
这是一个大家企盼了很久的功能,这是一个让移动办公者手舞足蹈的功能。微软这个月公布了Direct Access的技术白皮书,让我们先睹为快,看看Direct Access到底是何方神圣,我们从中是否能够获得实实在在的好处。
Direct Access功能克服了VPN的很多局限性,它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IP v6技术中的一些先进特性做到了这一点。Direct Access使用IPsec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理
Direct Access工作时,客户机建立一个通向DirectAccess Server的IP v6隧道连接。这个IP v6的隧道连接,可以在普通的IP v4网络上工作,如下图所示。DirectAccess Server承担了网关的角色,连接内网和外网之间。

服务器建立了两个连接IPSec隧道连接:
  • IPsec Encapsulating Security Payload (ESP) tunnel with IP-TLS (Transport Layer Security),这个连接使用计算机的证书加密。用来访问DNS服务器和域控制器,客户机用这个连接来下载组策略对象并进行安全认证
  • IPsec ESP tunnel with IP-TLS,这个连接同时采用计算机和用户证书加密。用来验证用户身份并提供对内部网络资源的访问。
建立连接后的内网资源访问方式从安全的角度来考虑,DirectAccess访问的内网资源是可受控制的。有两种资源访问方式:
Selected Server Access
Selected server access, 顾名思义,就是有选择性的允许访问内网特定的服务器。这样做的优点是可以在DirectAccess服务器上配置访问规则进行安全控制,但是这种模式需要 被访问的服务器版本必须是Windows Server 2008或2008 R2,而且这些服务器需要同时支持IPv6和IPsec协议。

Full enterprise network access
Full enterprise network access,这种模式下,DirectAccess服务器把来自用户的请求以非IPSec的方式向内网的服务器转发。这种模式对内网的服务器要求不高,而且内网情况下的网络安全也可以得到有效的控制。这类似于Exchange的RPC over Http方式。

DirectAccess的连接建立过程1. 运行Windows 7的客户端计算机首先检测到它所连接的网络;
2. DirectAccess服务尝试连接管理员所指定的一个内网资源,如果连接成功,则DirectAccess默认计算机已经处在内网的环境中,计算机会把DirectAccess服务关闭以节省系统资源;如果访问不到,DirectAccess服务继续工作;
3. 客户端计算机接下来使用IPv6和IPsec连接预先指定的DirectAccess服务器。如果计算机所处的不是IPv6网络,计算机建立一个 IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ,ISATAP)。这些都是Windows 7在后台完成的,不需要用户的登陆和干预;
4. 如果防火墙不允许连接IPv6 6to4隧道,计算机使用HTTPS协议与DirectAccess服务器通讯(性能会有影响);
5. Windows 7客户机和DirectAccess服务器完成互相的身份验证(采用计算机证书实现);
6. DirectAccess服务器根据客户机在AD中的身份和当前登陆用户,决定是否允许访问。为了避免可能的DDOS攻击,这里微软采用了DSCPs技术(Differentiated Services Code Points);
7. 如果计算机启用了NAP检测,DirectAcces服务器转向NAP服务器完成客户机的安全检测。这也可以有效地避免客户机从外网联接带来的安全隐患和病毒;
8. 一切都完成后,DirectAccess服务器开始担当内外网信息传递的角色。
以上这些过程都是自动完成的,不需要用户的干预。
路由的处理方式我们还有必要聊一下DirectAccess情况下的路由处理。Windows 7的DirectAccess可以把对内网的请求转发给DirectAccess服务器,而把普通的internet访问数据流直接路由到internet上。这个路由的具体方式,也可以通过管理员的配置和策略来调整。

软件需求
  • 一台或多台运行Windows Server 2008 R2的DirectAccess服务器,这些服务器需要两块网卡,分别连接内网和外网。
  • 至少一台域控制器和DNS服务器运行在Windows Server 2008或Windows Server 2008 R2之上。一些高级的认证协议(two-factor authentication)需要R2的AD DS支持。
  • A Public Key Infrastructure (PKI)以提供证书。
  • IPsec。
  • DirectAccess服务器支持:ISATAP, Teredo, and 6to4。
这些仅仅是关于DirectAccess一些非常初步和概念性的介绍,随着微软文档的进一步公开,我们将看到更多的DirectAccess应用和配置资料。下面是具体资源的链接:
  • Windows 7 and Windows Server 2008 R2 DirectAccess Executive Overview (这份是给老板看的)
  • http://www.microsoft.com/downloads/details.aspx?familyid=d8eb248b-8bf7-4798-a1d1-04d37f2e013c&displaylang=en&tm
  • Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2 (这份你自己留着慢慢品味吧)
  • http://www.microsoft.com/downloads/details.aspx?familyid=64966e88-1377-4d1a-be86-ab77014495f4&displaylang=en&tm
 
顺便做个预告,DA实验已经完成,内容包括环境准备,DA服务器搭建,测试3个环节,有可能在研究出NAP后继续推出NAP+DA系列文章,敬请期待。
顺便在爆一张DA原理图
7/2008 R2的Direct Access功能概述" />


相关推荐

  • Space Case智能旅行箱不仅好看 而且功能强大   这款智能旅行箱不仅好看而且功能强大  现在人们出门总是感觉不方便,虽然说有了行李箱,但是总会觉得这个行李箱背后缺了点什么。可要是真要说缺了什么,还真不好说。最近这款SpaceCase智能旅行箱,则将最新的科技与旅行箱相结合,打造了世界上
  • AutoCAD 2009 中文精简 完全功能版【精简138M、保留所有功能】 AutoCAD2009中文精简完全功能版【精简138M、保留所有功能】1.精简AutoCAD2009简体中文完全是出自爱好,根据网上最流行的AutoCAD2009简体中文2G完全版精简而成,保留所有功能。经过反复试验去除1/帮助文件2/材质
  • 超市购物花295元付款时没用密码 闪付功能令人堪忧 近日,长春市民曹女士向本报反映,上周她在长春某超市购物结账时,银行卡与POS机接触一下,还没等她输完密码,就完成了支付。这让曹女士感到十分惊讶,超市的收银员告诉曹女士,她的银行卡开通了“闪付”功能,不用输入密码也不用签字就可以完成支付。曹女
  • ERP de 核心功能 ERP具备的功能标准  美国著名的计算机技术咨询和评估集团GartnerGroup提出ERP具备的功能标准应包括四个方面:  1.超越MRPⅡ范围的集成功能  包括质量管理;试验室管;流程作业管理;配方管理;产品数据管理;维护管
  • 三洋录音笔 ICR-PS285RM 2G专业高清 PCM原声录制 加密功能 四川成都三洋录音笔专卖 成都录音笔实体店 三洋录音笔ICR-PS285RM2G专业高清PCM原声录制加密功能四川成都三洋录音笔专卖成都录音笔实体店四川成都三洋录音笔总代理录音笔批发团购采购四川成都在什么地方购买录音笔录音笔什么牌子好三洋录音笔价格三洋录音笔评测品牌录音笔推荐三洋录音
  • Adobe推出Adobe Analytics新功能 辅助精准营销   11月1日比特网讯Adobe公司(纳斯达克股票代码:ADBE)昨天宣布推出AdobeAnalytics新特性和功能,包括预测分析能力、先进的实时报告和数据可视化、增强的视频分析功能,以及强大的移动应用程序分析功能等。此次升级旨在显著提高
  • 其他功能 其他功能 备忘  定时器  待办事项  日历  其他功能其他功能生动自然的屏幕保护图案  动画壁纸  离线模式:所有与传输相关的功能都会关闭  预装5首音乐曲目  Sudoku  TowerBloxx  贪食蛇(三)  Music多普达官网报价htt
  • 锐仕箱包专营店-户外旅行背包 大容量背包 男旅游包双肩登山包 男多功能背包45升 锐仕箱包专营店-户外旅行背包大容量背包男旅游包双肩登山包男多功能背包45升商品【户外旅行背包大容量背包男旅游包双肩登山包男多功能背包45升】是来自于天猫店铺锐仕箱包专营店所经营的商品,其锐仕箱包专营店主要经营的商品有:力开力朗登山包,休闲背
  • 微软披露 Windows 8 存储空间(Storage Spaces)功能,存储池回归 今天,Windows8部门存储与文件系统功能组项目经理RajeevNagar赶在CES2012前介绍了Windows8中存储部分的改进,主要谈论了存储空间(StorageSpaces)功能。简而言之,存储空间包括允许:以存储池的形式组织物理
  • 破解软件微软详解Windows 8 File History新功能   用户还可在高级设置页面进行一些个性化设置。在这里用户可以设置留存文件副本的时间间隔、脱机缓存的大小(当保存位置为网络位置时)、保留保存的版本的几多等等这些详细的设置选项。微软详解Windows8FileHistory新功能7月11日消息
  • Navisworks 2016新功能汇总  BIM软件小技巧:Navisworks2016新功能汇总  AutodeskNavisworks2016包含许多新功能和增强功能。  BIM360集成  Navisworks和BIM360Glue之间更紧密的集成带来了更好的协作工具和连接
  • SQL Server 2012的功能和性能优化 微软已经发布了众所期待的SQLServer2012,让我们来看看这个新版给我们带来了什么激动人心的功能吧。1.AlwaysOn-这个功能将数据库的镜像提到了一个新的高度。用户可以针对一组数据库做灾难恢复而不是一个单独的数据库。2.Windo

你的评论

就没有什么想说的吗?

©2017传客网    琼ICP备15003173号-2    

本站部分文章来源于互联网,版权归属于原作者。
本站所有转载文章言论不代表本站观点,如是侵犯了原作者的权利请发邮件联系站长(weishubao@126.com),我们收到后立即删除。
站内所有资源仅供学习与参考,请勿用于商业用途,否则产生的一切后果将由您自己承担!

X