基本信息
Direct Access功能克服了VPN的很多局限性,它可以自動地在外網客戶機和公司區域網路伺服器之間連線雙向的連線。Direct Access通過利用IPv6技術的一些特性做到這點。Direct Access使用IPSec進行計算機之間的驗證,這也允許了IT部門在用戶登錄之前進行計算機的管理。
Direct Access工作時,客戶機建立一個通向DirectAccess 伺服器的IPv6隧道連線。這個IPv6的隧道連線,可以在普通的IPv4網路上工作,如圖所示。DirectAccess 伺服器承擔了網關的角色,連線區域網路和外網之間。
帶來的好處
提高移動員工生產力 通過提供內部和外部辦公同樣的連線體驗,DirectAccess 可以提高移動工作人員生產力。為用戶提供了只要有網際網路連線便可以訪問內部網路資源的能力,無論是他在旅行、在咖啡廳還是在家。
遠程用戶更易於管理 如果沒有DirectAccess,只有當用戶連線到VPN或進入辦公室,才能對移動計算機進行管理。通過DirectAccess,只要移動計算機有網際網路連線就可以進行管理,即使用戶沒有登錄。這允許對移動計算機進行定期管理,有助於確保移動用戶保持最新的安全性和系統健康策略。DirectAccess 有助於企業對漫遊在企業網路外的財產進行安全監督和數據保護。
改進的安全性 直接訪問使用IPSec進行認證和加密。您可以選擇用智慧卡(Smart Card)進行用戶身份驗證。DirectAccess集成NAP,規定DirectAccess客戶端 必須符合系統健康要求才能允許連線到DirectAccess伺服器。 IT管理員可以配置DirectAccess伺服器,限制用戶和應用程式可以訪問的伺服器。
訪問方式
從安全的角度來考慮,DirectAccess訪問的區域網路資源是可控制的。有兩種資源訪問方式:
選擇性服務伺服器訪問(Selected Server Access)
顧名思義,就是有選擇性的允許訪問區域網路特定的伺服器。這樣做的優點是可以在DirectAccess伺服器上配置訪問規則進行安全控制,但是這種模式需要 被訪問的伺服器版本必須是Windows Server 2008或2008 R2,而且這些伺服器需要同時支持IPv6和IPsec協定。
完全企業網路訪問(Full enterprise network access)
這種模式下,DirectAccess伺服器把來自用戶的請求以非IPSec的方式向區域網路的伺服器轉發。這種模式對區域網路的伺服器要求不高,而且區域網路情況下的網路安全也可以得到有效的控制。這類似於Exchange的RPC over Http方式。
DirectAccess的連線建立過程
1. 運行Windows 7的客戶端計算機首先檢測到它所連線的網路;
2. DirectAccess服務嘗試連線管理員所指定的一個區域網路資源,如果連線成功,則DirectAccess默認計算機已經處在區域網路的環境中,計算機會把DirectAccess服務關閉以節省系統資源;如果訪問不到,DirectAccess服務繼續工作;
3.客戶端計算機接下來使用IPv6和IPSec連線預先指定的DirectAccess伺服器。如果計算機所處的不是IPv6網路,計算機建立一個IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel AddressingProtocol ,ISATAP)。這些都是Windows 7在後台完成的,不需要用戶的登入和干預;
4. 如果防火牆不允許連線IPv6 6to4隧道,計算機使用HTTPS協定與DirectAccess伺服器進行通訊(性能會有影響);
5. Windows 7客戶端和DirectAccess伺服器完成互相的身份驗證(採用計算機證書實現);
6. DirectAccess伺服器根據客戶端在AD中的身份和當前登入用戶,決定是否允許訪問。為了避免可能的DDOS攻擊,這裡微軟採用了DSCPs技術(Differentiated Services Code Points);
7. 如果計算機啟用了NAP檢測,DirectAcces伺服器轉向NAP伺服器完成客戶機的安全檢測。這也可以有效地避免客戶機從外網聯接帶來的安全隱患和病毒;
8. 一切都完成後,DirectAccess伺服器開始擔當內外網信息傳遞的角色。
以上這些過程都是自動完成的,不需要用戶的干預。
DirectAccess的軟體需求
* 一台或多台運行Windows Server 2008 R2的DirectAccess伺服器,這些伺服器需要兩塊網卡,分別連線區域網路和外網。
* 至少一台域控制器和DNS伺服器運行在Windows Server 2008或Windows Server 2008 R2之上。一些高級的認證協定(two-factor authentication)需要R2的AD DS支持。
* Public Key Infrastructure (PKI)以提供證書。
* IPSec。
* DirectAccess伺服器支持:ISATAP,Teredo,和 6to4 。