DirectAccess

Windows系統中的直接訪問功能

Direct Access 稱為直接訪問，它是Windows 7(企業版或者更高級版本)和Windows Server 2008 R2中的一項新功能。憑藉這個功能，外網的用戶可以在不需要建立VPN連接的情況下，高速、安全的從Internet直接訪問公司防火牆之後的資源。

1基本信息 2帶來的好處 3訪問方式

基本信息

Direct Access功能克服了VPN的很多局限性，它可以自動地在外網客戶機和公司內網伺服器之間連接雙向的連接。Direct Access通過利用IPv6技術的一些特性做到這點。Direct Access使用IPSec進行計算機之間的驗證，這也允許了IT部門在用戶登錄之前進行計算機的管理。

Direct Access工作時，客戶機建立一個通向DirectAccess 伺服器的IPv6隧道連接。這個IPv6的隧道連接，可以在普通的IPv4網路上工作，如圖所示。DirectAccess 伺服器承擔了網關的角色，連接內網和外網之間。

帶來的好處

提高移動員工生產力通過提供內部和外部辦公同樣的連接體驗，DirectAccess 可以提高移動工作人員生產力。為用戶提供了只要有網際網路連接便可以訪問內部網路資源的能力，無論是他在旅行、在咖啡廳還是在家。

遠程用戶更易於管理如果沒有DirectAccess，只有當用戶連接到VPN或進入辦公室，才能對移動計算機進行管理。通過DirectAccess，只要移動計算機有網際網路連接就可以進行管理，即使用戶沒有登錄。這允許對移動計算機進行定期管理，有助於確保移動用戶保持最新的安全性和系統健康策略。DirectAccess 有助於企業對漫遊在企業網路外的財產進行安全監督和數據保護。

改進的安全性直接訪問使用IPSec進行認證和加密。您可以選擇用智能卡(Smart Card)進行用戶身份驗證。DirectAccess集成NAP，規定DirectAccess客戶端必須符合系統健康要求才能允許連接到DirectAccess伺服器。 IT管理員可以配置DirectAccess伺服器，限制用戶和應用程序可以訪問的伺服器。

訪問方式

從安全的角度來考慮，DirectAccess訪問的內網資源是可控制的。有兩種資源訪問方式：

選擇性服務伺服器訪問（Selected Server Access）

顧名思義，就是有選擇性的允許訪問內網特定的伺服器。這樣做的優點是可以在DirectAccess伺服器上配置訪問規則進行安全控制，但是這種模式需要被訪問的伺服器版本必須是Windows Server 2008或2008 R2，而且這些伺服器需要同時支持IPv6和IPsec協議。

完全企業網路訪問（Full enterprise network access)

這種模式下，DirectAccess伺服器把來自用戶的請求以非IPSec的方式向內網的伺服器轉發。這種模式對內網的伺服器要求不高，而且內網情況下的網路安全也可以得到有效的控制。這類似於Exchange的RPC over Http方式。

DirectAccess的連接建立過程

1. 運行Windows 7的客戶端計算機首先檢測到它所連接的網路；

2. DirectAccess服務嘗試連接管理員所指定的一個內網資源，如果連接成功，則DirectAccess默認計算機已經處在內網的環境中，計算機會把DirectAccess服務關閉以節省系統資源；如果訪問不到，DirectAccess服務繼續工作；

3.客戶端計算機接下來使用IPv6和IPSec連接預先指定的DirectAccess伺服器。如果計算機所處的不是IPv6網路，計算機建立一個IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel AddressingProtocol ，ISATAP)。這些都是Windows 7在後台完成的，不需要用戶的登陸和干預；

4. 如果防火牆不允許連接IPv6 6to4隧道，計算機使用HTTPS協議與DirectAccess伺服器進行通訊(性能會有影響)；

5. Windows 7客戶端和DirectAccess伺服器完成互相的身份驗證(採用計算機證書實現)；

6. DirectAccess伺服器根據客戶端在AD中的身份和當前登陸用戶，決定是否允許訪問。為了避免可能的DDOS攻擊，這裡微軟採用了DSCPs技術(Differentiated Services Code Points)；

7. 如果計算機啟用了NAP檢測，DirectAcces伺服器轉向NAP伺服器完成客戶機的安全檢測。這也可以有效地避免客戶機從外網聯接帶來的安全隱患和病毒；

8. 一切都完成後，DirectAccess伺服器開始擔當內外網信息傳遞的角色。

以上這些過程都是自動完成的，不需要用戶的干預。

DirectAccess的軟體需求

* 一台或多台運行Windows Server 2008 R2的DirectAccess伺服器，這些伺服器需要兩塊網卡，分別連接內網和外網。

* 至少一台域控制器和DNS伺服器運行在Windows Server 2008或Windows Server 2008 R2之上。一些高級的認證協議(two-factor authentication)需要R2的AD DS支持。

* Public Key Infrastructure (PKI)以提供證書。

* IPSec。

* DirectAccess伺服器支持：ISATAP，Teredo，和 6to4。