如果你在公司里是一位经常出差在外的移动办公员工,相信你在外访问公司内部资源时,经常会使用到VPN来连接。这一传统的技术正在受到了其他新技术的挑战,其中之一就是微软伴随Windows 7和Windows Server 2008推出的DirectAccess功能。
在11月6日上午的一场Tech Ed培训中,微软产品经理Ward Ralston介绍了最新Windows Server 2008 R2和Windows 7中提供的Direct Access功能。Direct Access 称为直接访问,凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源。
Ward Ralston谈到,VPN技术不仅使用起来有一点难度,而且对于企业的IT人员来说也不易于管理,比如当那些移动电脑没有连接到公司网络时,你很难对他们进行统一管理、升级更新。而使用DirectAccess几乎将内外网的这种差别摸平了,移动员工只要有互联网连接便可以访问内部网络资源,无论是他在旅行、在咖啡厅还是在家,这无疑会增加员工的工作效率,比如你不用担心VPN用户名密码的丢失,不用担心连不上VPN,而且更加方便IT部门对那些移动电脑提供服务或设置统一的管理策略。
如果没有DirectAccess,只有当用户连接到VPN或进入办公室,才能对移动计算机进行管理。通过DirectAccess,只要移动计算机有互联网连接就可以进行管理,即使用户没有登录。这允许对移动计算机进行定期管理,有助于确保移动用户保持最新的安全性和系统健康策略。DirectAccess 有助于企业对漫游在企业网络外的财产进行安全监督和数据保护。
“VPN是把用户连接到网络上,而DirectAccess则是把网络拓展到了任何一个公司用户的电脑上,这是两种不同的视角。”Direct Access功能克服了VPN的很多局限性,它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IPv6技术的一些特性做到这点。Direct Access使用IPSec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。
Direct Access工作时,客户机建立一个通向DirectAccess 服务器的IPv6隧道连接。这个IPv6的隧道连接,可以在普通的IPv4网络上工作。DirectAccess 服务器承担了网关的角色,连接内网和外网之间。
从安全的角度来考虑,DirectAccess访问的内网资源是可控制的。有两种资源访问方式: 选择性服务服务器访问(Selected Server Access)和完全企业网络访问(Full enterprise network access)。前者,顾名思义,就是有选择性的允许访问内网特定的服务器。这样做的优点是可以在DirectAccess服务器上配置访问规则进行安全控制,但是这种模式需要 被访问的服务器版本必须是Windows Server 2008或2008 R2,而且这些服务器需要同时支持IPv6和IPsec协议。而完全企业网络访问模式下,DirectAccess服务器把来自用户的请求以非IPSec的方式向内网的服务器转发。这种模式对内网的服务器要求不高,而且内网情况下的网络安全也可以得到有效的控制。这类似于Exchange的RPC over Http方式。
DirectAccess的连接建立过程
1. 运行Windows 7的客户端计算机首先检测到它所连接的网络;
2. DirectAccess服务尝试连接管理员所指定的一个内网资源,如果连接成功,则DirectAccess默认计算机已经处在内网的环境中,计算机会把DirectAccess服务关闭以节省系统资源;如果访问不到,DirectAccess服务继续工作;
3.客户端计算机接下来使用IPv6和IPSec连接预先指定的DirectAccess服务器。如果计算机所处的不是IPv6网络,计算机建立一个IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel AddressingProtocol ,ISATAP)。这些都是Windows 7在后台完成的,不需要用户的登陆和干预;
4. 如果防火墙不允许连接IPv6 6to4隧道,计算机使用HTTPS协议与DirectAccess服务器进行通讯(性能会有影响);
5. Windows 7客户端和DirectAccess服务器完成互相的身份验证(采用计算机证书实现);
6. DirectAccess服务器根据客户端在AD中的身份和当前登陆用户,决定是否允许访问。为了避免可能的DDOS攻击,这里微软采用了DSCPs技术(Differentiated Services Code Points);
7. 如果计算机启用了NAP检测,DirectAcces服务器转向NAP服务器完成客户机的安全检测。这也可以有效地避免客户机从外网联接带来的安全隐患和病毒;
8. 一切都完成后,DirectAccess服务器开始担当内外网信息传递的角色。
以上这些过程都是自动完成的,不需要用户的干预。
DirectAccess的软件需求
一台或多台运行Windows Server 2008 R2的DirectAccess服务器,这些服务器需要两块网卡,分别连接内网和外网。 至少一台域控制器和DNS服务器运行在Windows Server 2008或Windows Server 2008 R2之上。一些高级的认证协议(two-factor authentication)需要R2的AD DS支持。 Public Key Infrastructure (PKI)以提供证书。 IPSec。 DirectAccess服务器支持:ISATAP,Teredo,和 6to4 。
不过,Ward Ralston也表示,DirectAccess在部署时不象BranchCache设置起来那么简单。毕竟DirectAccess对企业的基础架构有一定的要求,包括客户端要安装Windows 7,数据中心要安装Windows Server 2008 R2 DirectAccess Server,当使用Windows防火墙认证策略时,要求应用服务器必须是Windows Server 2008 R2,最后支持IPv6协议,如果是用IPv4,需要有NAT-PT Server等等。