win 7新技术:DirectAccess 利用这个功能,外网的用户可以在不需要建立×××连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源!这项功能集成在win7 , win ser 2008 R2 里面.能否在某些应用上替代×××呢?需要好好研究该技术,以及win 7正式发布后进一步测试.
Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2 (英文)
附: DirectAccess白皮书翻译及概要 (转自http://blogs.technet.com/fyu/archive/2009/02/04/***-windows-7-2008-r2-direct-access.aspx)
告别×××:Windows 7/2008 R2的Direct Access功能概述
是时候向×××说再见了!
Direct Access是Windos 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立×××连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源!
仅仅这一句话的描述,是否已经足够以让你热血沸腾?是的,不需要×××了,不需要Token了,不需要SmartCard了,不需要漫长的×××拨号等待了!内网外网之间的穿越变得如此之简单!Bill Gates说什么来着,information at your finger tip。
这是一个大家企盼了很久的功能,这是一个让移动办公者手舞足蹈的功能。微软这个月公布了Direct Access的技术白皮书,让我们先睹为快,看看Direct Access到底是何方神圣,我们从中是否能够获得实实在在的好处。
详解Direct Access连接
Direct Access功能克服了×××的很多局限性,它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IP v6技术中的一些先进特性做到了这一点。Direct Access使用IPsec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。
Direct Access工作时,客户机建立一个通向DirectAccess Server的IP v6隧道连接。这个IP v6的隧道连接,可以在普通的IP v4网络上工作,如下图所示。DirectAccess Server承担了网关的角色,连接内网和外网之间。
需要注意的是,DirectAcces对服务器建立了两个连接IPSec隧道连接:
- IPsec Encapsulating Security Payload (ESP) tunnel with IP-TLS (Transport Layer Security),这个连接使用计算机的证书加密。用来访问DNS服务器和域控制器,客户机用这个连接来下载组策略对象并进行安全认证。
- IPsec ESP tunnel with IP-TLS,这个连接同时采用计算机和用户证书加密。用来验证用户身份并提供对内部网络资源的访问。
建立连接后的内网资源访问方式
从安全的角度来考虑,DirectAccess访问的内网资源是可受控制的。有两种资源访问方式:
Selected Server Access
Selected server access, 顾名思义,就是有选择性的允许访问内网特定的服务器。这样做的优点是可以在DirectAccess服务器上配置访问规则进行安全控制,但是这种模式需要被访问的服务器版本必须是Windows Server 2008或2008 R2,而且这些服务器需要同时支持IPv6和IPsec协议。
Full enterprise network access
Full enterprise network access,这种模式下,DirectAccess服务器把来自用户的请求以非IPSec的方式向内网的服务器转发。这种模式对内网的服务器要求不高,而且内网情况下的网络安全也可以得到有效的控制。这类似于Exchange的RPC over Http方式。
DirectAccess的软件需求
- 一台或多台运行Windows Server 2008 R2的DirectAccess服务器,这些服务器需要两块网卡,分别连接内网和外网。
- 至少一台域控制器和DNS服务器运行在Windows Server 2008或Windows Server 2008 R2之上。一些高级的认证协议(two-factor authentication)需要R2的AD DS支持。
- A Public Key Infrastructure (PKI)以提供证书。
- IPsec。
- DirectAccess服务器支持:ISATAP, Teredo, and 6to4。
这些仅仅是关于DirectAccess一些非常初步和概念性的介绍,随着微软文档的进一步公开,我们将看到更多的DirectAccess应用和配置资料。下面是具体资源的链接:
- Windows 7 and Windows Server 2008 R2 DirectAccess Executive Overview (这份是给老板看的)
- http://www.microsoft.com/downloads/details.aspx?familyid=d8eb248b-8bf7-4798-a1d1-04d37f2e013c&displaylang=en&tm
- Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2 (这份你自己留着慢慢品味吧)
- http://www.microsoft.com/downloads/details.aspx?familyid=64966e88-1377-4d1a-be86-ab77014495f4&displaylang=en&tm
转载于:https://blog.51cto.com/keithlau/241969
1021
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
