国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　似乎是昨天Windows Server 2008才面市，而現(xiàn)在，在2009年，我們已經(jīng)開(kāi)始需要考慮下一版本的客戶端和了，如和Windows Server 2008 R2。雖然新的客戶端和服務(wù)器總是給我們帶來(lái)新功能，但是這些新功能并不是革命性的改變，讓我們覺(jué)得升級(jí)系統(tǒng)似乎意義不大。

　　很多決定暫不升級(jí)到Windows Vista，且大部分機(jī)器都在使用Windows XP系統(tǒng)。在了解Windows 7的先進(jìn)功能后，這些公司意識(shí)到他們不可能永遠(yuǎn)運(yùn)行這些舊系統(tǒng)。Windows 7先進(jìn)的性能，更低的硬件要求以及增強(qiáng)的安全性能，讓企業(yè)們很難找出不升級(jí)的理由。而Windows Server 2008 R2情況則略有不同，并未帶來(lái)像Windows 7那樣的革命性改進(jìn)。

　　Windows Server 2008 R2有怎樣的改進(jìn)呢?那就是本文將探討的DirectAccess。

　　DirectAccess是一種全新的微軟解決，該功能旨在改進(jìn)VPN連接的工作方式。事實(shí)上，公司甚至不希望用戶將DirectAccess看作是VPN解決方案，因?yàn)檫^(guò)去幾年用戶對(duì)于VPN的評(píng)價(jià)很低，如果他們聽(tīng)說(shuō)DirectAccess是VPN技術(shù)，可能并不會(huì)感興趣，其實(shí)，DirectAccess完全改變了VPN的運(yùn)作方式。

　　VPN使用戶可以通過(guò)提供到企業(yè)網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)層(layer 2)連接來(lái)連接到企業(yè)網(wǎng)絡(luò)上的資源，這聽(tīng)起來(lái)似乎不錯(cuò)，理想的情況是，VPN能夠?yàn)橛脩籼峁┤缤谄髽I(yè)內(nèi)部使用資源一樣自如，無(wú)論是通過(guò)以太網(wǎng)或者網(wǎng)絡(luò)。

　　但是實(shí)際情況是怎樣呢?傳統(tǒng)網(wǎng)絡(luò)層的VPN究竟存在哪些問(wèn)題呢?

　　•和Web代理設(shè)備通常不允許為用于連接VPN服務(wù)器的協(xié)議提供出站連接

　　• NAT設(shè)備需要NAT編輯器提供一些VPN協(xié)議。而通常NAT編輯器根本沒(méi)有部署或者沒(méi)有得到很好的部署(如Linksys PPTP NAT編輯器)。此外，基于Ipsec的VPN需要面對(duì)這樣的事實(shí)，供應(yīng)商并不執(zhí)行RFC合規(guī)，如一些SonicWall VPN服務(wù)器中的Ipsec部署

　　• 由于大家使用類似的私有地址空間，根本沒(méi)有辦法確保源網(wǎng)絡(luò)和目的網(wǎng)絡(luò)出于不同的網(wǎng)絡(luò)ID，當(dāng)源網(wǎng)絡(luò)和目的網(wǎng)絡(luò)ID相同的時(shí)候，因?yàn)樽泳W(wǎng)碰撞，用戶不能連接到企業(yè)網(wǎng)絡(luò)、

　　• 用戶需要手動(dòng)啟動(dòng)VPN連接，這給用戶帶來(lái)操作復(fù)雜性并且增加服務(wù)臺(tái)電話量，因?yàn)橛脩艨赡軙?huì)遇到很多問(wèn)題

　　• 由于VPN連接需要由用戶手動(dòng)啟動(dòng)，只有當(dāng)用戶啟動(dòng)連接后IT部門(mén)才可以訪問(wèn)到用戶的機(jī)器，這使得未連接的機(jī)器不受IT的管理控制，這也使這些機(jī)器很難符合企業(yè)安全標(biāo)準(zhǔn)和管理政策

　　考慮到網(wǎng)絡(luò)層VPN存在的各種問(wèn)題，很驚訝我們竟然還在使用VPN。事實(shí)上，越來(lái)越少的人正在使用網(wǎng)絡(luò)層的VPN，取而代之的是其他遠(yuǎn)程訪問(wèn)解決方案。這些解決方案不僅更加容易操作，并且由于它們可以幫助執(zhí)行最小特權(quán)的安全原則，也使得安全性增強(qiáng)。因?yàn)橛辛俗钚√貦?quán)原則，用戶就只能訪問(wèn)他們所需要的服務(wù)和數(shù)據(jù)，而看不到其他資源。

　　例如，考慮使用以下技術(shù)：

　　• Outlook Web Access (OWA)：OWA可以讓用戶通過(guò)使用Web瀏覽器(通過(guò)HTTPS連接)來(lái)訪問(wèn)Exchange服務(wù)，用戶不需要網(wǎng)絡(luò)級(jí)的訪問(wèn)來(lái)連接到他們的郵件和日歷信息

　　• Outlook RPC/HTTP：RPC/HTTP協(xié)議可以在沒(méi)有網(wǎng)絡(luò)級(jí)VPN連接啟用的完全網(wǎng)絡(luò)訪問(wèn)級(jí)別的情況下，讓用戶受益于完整的豐富的Outlook客戶端。Outlook RPC/MAPI通信實(shí)在HTTP連接中并使用加密的

　　• Terminal Services Gateway(終端服務(wù))： 不需要啟用完全網(wǎng)絡(luò)級(jí)訪問(wèn)來(lái)允許遠(yuǎn)程桌面連接到終端服務(wù)器或者企業(yè)網(wǎng)絡(luò)中的桌面操作系統(tǒng)，你可以利用TSG來(lái)封裝HTTP通道的RDP連接，然后使用SSL加密。同樣的，并不需要完全的網(wǎng)絡(luò)級(jí)連接來(lái)為用戶提供他們需要的終端服務(wù)連接

　　當(dāng)然將這些設(shè)備放在上會(huì)降低的安全性，因?yàn)檫@會(huì)允許互聯(lián)網(wǎng)無(wú)限制的訪問(wèn)你的應(yīng)用程序前端服務(wù)器，這時(shí)候就需要一個(gè)解決方案來(lái)保護(hù)前端服務(wù)器。最常見(jiàn)的兩個(gè)解決方案就是混合了網(wǎng)絡(luò)和代理防火墻功能包以及SSL VPN網(wǎng)關(guān)的高級(jí)防火墻。

　　這兩個(gè)解決方案如下：

　　• Forefront Threat Management Gateway 2010： Forefront TMG (TMG)是整合了代理/網(wǎng)絡(luò)級(jí)防火墻與全面防護(hù)、web惡意軟件防護(hù)以及高級(jí)/功能的網(wǎng)關(guān)。除了其Web代理和網(wǎng)絡(luò)級(jí)防火墻功能外，同樣還提供了先進(jìn)的入站SSL橋接功能，這樣TMG防火墻就可以用來(lái)預(yù)先驗(yàn)證和檢測(cè)對(duì)應(yīng)用程序服務(wù)器前端的入站連接。這極大的降低了這些器前端暴露給互聯(lián)網(wǎng)攻擊者的安全風(fēng)險(xiǎn)。

　　• Intelligent Application Gateway 2007 (IAG)以及即將推出的Unified Access Gateway (UAG): IAG和UAG是綜合SSL VPN解決方案，可以幫助你保護(hù)前端應(yīng)用服務(wù)器免受互聯(lián)網(wǎng)攻擊者的攻擊。IAG 2007和UAG提供了多種SSL VPN技術(shù)來(lái)保護(hù)對(duì)企業(yè)網(wǎng)絡(luò)信息的遠(yuǎn)程訪問(wèn)。IAG 2007和UAG提供的防火墻技術(shù)(如Forefront TMG加強(qiáng)正面和負(fù)面的邏輯過(guò)濾器來(lái)阻止已知的不良連接以及潛在的零日攻擊)來(lái)提高安全性，并且引入了驗(yàn)證功能以及SSL VPN網(wǎng)關(guān)解決方案所能提供的功能。

　　雖然與傳統(tǒng)網(wǎng)絡(luò)級(jí)VPN解決方案相比，應(yīng)用服務(wù)器前端技術(shù)和安全網(wǎng)關(guān)確實(shí)能夠降低安全風(fēng)險(xiǎn)以及操作復(fù)雜性，但是在這個(gè)領(lǐng)域確實(shí)還有很多工作要做。你還需要安裝應(yīng)用服務(wù)器，然后需要安裝應(yīng)用服務(wù)器前端服務(wù)器(這需要放在DMZ中，因?yàn)槭敲嫦蚧ヂ?lián)網(wǎng)的主機(jī))，接著需要在前端服務(wù)器的前面配置防火墻或者SSL VPN網(wǎng)關(guān)。你需要在所有的安全區(qū)間設(shè)置適當(dāng)?shù)脑L問(wèn)控制，并需要監(jiān)控所有不同安全區(qū)間的連接。這些一系列操作中只要出現(xiàn)一個(gè)錯(cuò)誤就會(huì)導(dǎo)致全盤(pán)皆輸。

　　因此我們需要找出更好的方法。

　　DirectAccess

　　是否存在更好的方法取決于企業(yè)正在使用的客戶端極其類型。對(duì)于未知安全配置和狀態(tài)的無(wú)管理的客戶端，你最好使用前端連接到應(yīng)用服務(wù)器(受到高級(jí)防火墻或者SSL VPN網(wǎng)關(guān)保護(hù))。對(duì)于無(wú)管理的主機(jī)的最安全的做法就是部署最小訪問(wèn)特權(quán)，而防火墻和網(wǎng)關(guān)解決方案就是部署這些最小特權(quán)的最佳方式。

　　那么對(duì)于被管理的主機(jī)呢?對(duì)于使用企業(yè)筆記本的用戶呢?企業(yè)無(wú)法保證每臺(tái)筆記本的安全性，只要用戶連接到企業(yè)網(wǎng)絡(luò)，他們只有進(jìn)行政策更新以及通過(guò)最新安全和應(yīng)用更新檢查才能接入企業(yè)網(wǎng)絡(luò)，這得益于微軟的Network Access Protection(NAP)。

　　現(xiàn)在的問(wèn)題是，這些用戶可能永遠(yuǎn)不會(huì)連接到企業(yè)網(wǎng)絡(luò)，這時(shí)可能需要?jiǎng)?chuàng)建新的筆記本機(jī)制，并將筆記本云送給不同國(guó)家不同洲的用戶。從這點(diǎn)來(lái)看，這些計(jì)算機(jī)基本不受企業(yè)控制了，無(wú)法知道發(fā)生的事情，這也很難保證合規(guī)的進(jìn)行。

　　DirectAccess改變了這一切。當(dāng)你使用Windows 7客戶端和Windows Server 2008 R2 DirectAccess服務(wù)器時(shí)，當(dāng)計(jì)算機(jī)啟動(dòng)的時(shí)候Windows 7客戶端會(huì)自動(dòng)調(diào)用DirectAccess，客戶端使用Ipsec來(lái)保護(hù)連接并使用來(lái)連接到企業(yè)網(wǎng)絡(luò)的服務(wù)器。由于客戶端都位于NAT設(shè)備后面，且他們使用的是Ipv4互聯(lián)網(wǎng)，Windows 7客戶端可以使用NAT Traversal和Ipv6過(guò)渡技術(shù)來(lái)允許對(duì)DirectAccess服務(wù)器的連接，以及企業(yè)的連接。

　　請(qǐng)注意，用戶不需要登錄來(lái)建立DirectAccess連接，這意味著只要這些機(jī)器是打開(kāi)的，你都可以對(duì)他們進(jìn)行管理。DirectAccess連接是雙向的，你可以連接到這些機(jī)器，將這些機(jī)器編錄，并部署安全和管理政策，正如連接到企業(yè)網(wǎng)絡(luò)一樣。

　　當(dāng)用戶登錄的時(shí)候，將建立第二個(gè)VPN連接。然而，與典型的PPTP、L2TP/IPsec 或者SSTP VPN不同的是，用戶將自動(dòng)登陸到DirectAccess VPN。用戶不需要勾選復(fù)選框中的選項(xiàng)，用戶不需要點(diǎn)擊“連接到企業(yè)網(wǎng)絡(luò)”的按鈕。用戶也不需要擔(dān)心是否位于防火墻或者代理服務(wù)器后面，因?yàn)槲ㄒ坏囊缶褪牵阑饓蛘叽矸?wù)器允許出站HTTPS訪問(wèn)，由于SSL是普遍的防火墻端口，用戶必然可以連接到DirectAccess服務(wù)器。

　　現(xiàn)在需要考慮以下幾點(diǎn)：

　　• 用戶打開(kāi)Outlook，且正好可以使用，因?yàn)榭蛻舳藱C(jī)器有連接到網(wǎng)絡(luò)中啟用Ipv6機(jī)器的虛擬網(wǎng)絡(luò)連接

　　• 用戶不需要使用OWA，因?yàn)楸緛?lái)到Exchange的MAPI連接可以簡(jiǎn)單的通過(guò)DirectAccess VPN啟用

　　• 當(dāng)用戶收到一封電子郵件，郵件中保護(hù)到文件服務(wù)器或者內(nèi)網(wǎng)sharepoint站點(diǎn)的鏈接，用戶只需要點(diǎn)擊鏈接就能訪問(wèn)。根本不需要考慮將這些資源放在互聯(lián)網(wǎng)中以及處理與轉(zhuǎn)譯內(nèi)網(wǎng)到互聯(lián)網(wǎng)名稱的DNS問(wèn)題。

　　• NAP將自動(dòng)對(duì)計(jì)算機(jī)進(jìn)行評(píng)估，并且根據(jù)企業(yè)政策進(jìn)行修復(fù)。只要當(dāng)計(jì)算機(jī)啟動(dòng)或者自動(dòng)連接到DirectAccess VPN的時(shí)候就會(huì)進(jìn)行評(píng)估，這意味著被管理的機(jī)器將始終符合合規(guī)要求。

　　這只是部署DirectAccess的好處的幾個(gè)例子，很顯然，DirectAccess不僅僅是一個(gè)很實(shí)用的遠(yuǎn)程訪問(wèn)VPN解決方案，并且能夠改變整個(gè)VPN的概念。

　　結(jié)語(yǔ)

　　請(qǐng)記住，我們這里討論的是被管理計(jì)算機(jī)，也就是受到企業(yè)管理和控制的域成員計(jì)算機(jī)。對(duì)于這些機(jī)器要比無(wú)管理機(jī)器有更高的要求。正如你所知，DirectAccess可以在機(jī)器啟動(dòng)的任何時(shí)候，即使用戶沒(méi)有登錄到機(jī)器，都可以對(duì)這些機(jī)器進(jìn)行管理和執(zhí)行安全政策。