DirectAccess

Windows系統中的直接訪問功能

Direct Access 稱為直接訪問,它是Windows 7(企業版或者更高級版本)和Windows Server 2008 R2中的一項新功能。憑藉這個功能,外網的用戶可以在不需要建立VPN連接的情況下,高速、安全的從Internet直接訪問公司防火牆之後的資源。

基本信息


Direct Access功能克服了VPN的很多局限性,它可以自動地在外網客戶機和公司內網伺服器之間連接雙向的連接。Direct Access通過利用IPv6技術的一些特性做到這點。Direct Access使用IPSec進行計算機之間的驗證,這也允許了IT部門在用戶登錄之前進行計算機的管理。
Direct Access工作時,客戶機建立一個通向DirectAccess 伺服器的IPv6隧道連接。這個IPv6的隧道連接,可以在普通的IPv4網路上工作,如圖所示。DirectAccess 伺服器承擔了網關的角色,連接內網和外網之間。

帶來的好處


提高移動員工生產力 通過提供內部和外部辦公同樣的連接體驗,DirectAccess 可以提高移動工作人員生產力。為用戶提供了只要有網際網路連接便可以訪問內部網路資源的能力,無論是他在旅行、在咖啡廳還是在家。
遠程用戶更易於管理 如果沒有DirectAccess,只有當用戶連接到VPN或進入辦公室,才能對移動計算機進行管理。通過DirectAccess,只要移動計算機有網際網路連接就可以進行管理,即使用戶沒有登錄。這允許對移動計算機進行定期管理,有助於確保移動用戶保持最新的安全性和系統健康策略。DirectAccess 有助於企業對漫遊在企業網路外的財產進行安全監督和數據保護。
改進的安全性 直接訪問使用IPSec進行認證和加密。您可以選擇用智能卡(Smart Card)進行用戶身份驗證。DirectAccess集成NAP,規定DirectAccess客戶端 必須符合系統健康要求才能允許連接到DirectAccess伺服器。 IT管理員可以配置DirectAccess伺服器,限制用戶和應用程序可以訪問的伺服器。

訪問方式


從安全的角度來考慮,DirectAccess訪問的內網資源是可控制的。有兩種資源訪問方式:
選擇性服務伺服器訪問(Selected Server Access)
顧名思義,就是有選擇性的允許訪問內網特定的伺服器。這樣做的優點是可以在DirectAccess伺服器上配置訪問規則進行安全控制,但是這種模式需要 被訪問的伺服器版本必須是Windows Server 2008或2008 R2,而且這些伺服器需要同時支持IPv6和IPsec協議。
完全企業網路訪問(Full enterprise network access)
這種模式下,DirectAccess伺服器把來自用戶的請求以非IPSec的方式向內網的伺服器轉發。這種模式對內網的伺服器要求不高,而且內網情況下的網路安全也可以得到有效的控制。這類似於ExchangeRPC over Http方式。
DirectAccess的連接建立過程
1. 運行Windows 7的客戶端計算機首先檢測到它所連接的網路;
2. DirectAccess服務嘗試連接管理員所指定的一個內網資源,如果連接成功,則DirectAccess默認計算機已經處在內網的環境中,計算機會把DirectAccess服務關閉以節省系統資源;如果訪問不到,DirectAccess服務繼續工作;
3.客戶端計算機接下來使用IPv6和IPSec連接預先指定的DirectAccess伺服器。如果計算機所處的不是IPv6網路,計算機建立一個IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel AddressingProtocol ,ISATAP)。這些都是Windows 7在後台完成的,不需要用戶的登陸和干預;
4. 如果防火牆不允許連接IPv6 6to4隧道,計算機使用HTTPS協議與DirectAccess伺服器進行通訊(性能會有影響);
5. Windows 7客戶端和DirectAccess伺服器完成互相的身份驗證(採用計算機證書實現);
6. DirectAccess伺服器根據客戶端在AD中的身份和當前登陸用戶,決定是否允許訪問。為了避免可能的DDOS攻擊,這裡微軟採用了DSCPs技術(Differentiated Services Code Points);
7. 如果計算機啟用了NAP檢測,DirectAcces伺服器轉向NAP伺服器完成客戶機的安全檢測。這也可以有效地避免客戶機從外網聯接帶來的安全隱患和病毒;
8. 一切都完成後,DirectAccess伺服器開始擔當內外網信息傳遞的角色。
以上這些過程都是自動完成的,不需要用戶的干預。
DirectAccess的軟體需求
* 一台或多台運行Windows Server 2008 R2的DirectAccess伺服器,這些伺服器需要兩塊網卡,分別連接內網和外網。
* 至少一台域控制器和DNS伺服器運行在Windows Server 2008或Windows Server 2008 R2之上。一些高級的認證協議(two-factor authentication)需要R2的AD DS支持。
* Public Key Infrastructure (PKI)以提供證書。
* IPSec。
* DirectAccess伺服器支持:ISATAP,Teredo,和 6to4。