微软DirectAccess及主流远程访问方案深度对比

似乎是昨天Windows Server 2008才面市,而现在,在2009年,我们已经开始需要考虑下一版本的客户端和服务器操作系统了,如Windows 7和Windows Server 2008 R2。虽然新的客户端和服务器总是给我们带来新功能,但是这些新功能并不是革命性的改变,让我们觉得升级系统似乎意义不大。

很多企业决定暂不升级到Windows Vista,且大部分机器都在使用Windows XP系统。在了解Windows 7的先进功能后,这些公司意识到他们不可能永远运行这些旧系统。Windows 7先进的性能,更低的硬件要求以及增强的安全性能,让企业们很难找出不升级的理由。而Windows Server 2008 R2情况则略有不同,并未带来像Windows 7那样的革命性改进。

Windows Server 2008 R2有怎样的改进呢?那就是本文将探讨的DirectAccess。

DirectAccess是一种全新的微软VPN解决方案,该功能旨在改进VPN连接的工作方式。事实上,微软公司甚至不希望用户将 DirectAccess看作是VPN解决方案,因为过去几年用户对于VPN的评价很低,如果他们听说DirectAccess是VPN技术,可能并不会感兴趣,其实,DirectAccess完全改变了VPN的运作方式。

VPN使用户可以通过提供到企业网络的虚拟网络层(layer 2)连接来连接到企业网络上的资源,这听起来似乎不错,理想的情况是,VPN能够为用户提供如同在企业内部使用资源一样自如,无论是通过以太网或者无线网络。

但是实际情况是怎样呢?传统网络层的VPN究竟存在哪些问题呢?

• 防火墙和Web代理设备通常不允许为用于连接VPN服务器的协议提供出站连接

• NAT设备需要NAT编辑器提供一些VPN协议。而通常NAT编辑器根本没有部署或者没有得到很好的部署(如Linksys PPTP NAT编辑器)。此外,基于Ipsec的VPN需要面对这样的事实,供应商并不执行RFC合规,如一些SonicWall VPN服务器中的Ipsec部署

• 由于大家使用类似的私有地址空间,根本没有办法确保源网络和目的网络出于不同的网络ID,当源网络和目的网络ID相同的时候,因为子网碰撞,用户不能连接到企业网络、

• 用户需要手动启动VPN连接,这给用户带来操作复杂性并且增加服务台电话量,因为用户可能会遇到很多问题

• 由于VPN连接需要由用户手动启动,只有当用户启动连接后IT部门才可以访问到用户的机器,这使得未连接的机器不受IT的管理控制,这也使这些机器很难符合企业安全标准和管理政策

考虑到网络层VPN存在的各种问题,很惊讶我们竟然还在使用VPN。事实上,越来越少的人正在使用网络层的VPN,取而代之的是其他远程访问解决方案。这些解决方案不仅更加容易操作,并且由于它们可以帮助执行最小特权的安全原则,也使得安全性增强。因为有了最小特权原则,用户就只能访问他们所需要的服务和数据,而看不到其他资源。

例如,考虑使用以下技术:

• Outlook Web Access (OWA):OWA可以让用户通过使用Web浏览器(通过HTTPS连接)来访问Exchange服务,用户不需要网络级的访问来连接到他们的邮件和日历信息

• Outlook RPC/HTTP:RPC/HTTP协议可以在没有网络级VPN连接启用的完全网络访问级别的情况下,让用户受益于完整的丰富的Outlook客户端。Outlook RPC/MAPI通信实在HTTP连接中封装并使用SSL加密的

• Terminal Services Gateway(终端服务网关):不需要启用完全网络级访问来允许远程桌面连接到终端服务器或者企业网络中的桌面操作系统,你可以利用TSG来封装HTTP通道的RDP连接,然后使用 SSL加密。同样的,并不需要完全的网络级连接来为用户提供他们需要的终端服务连接

当然将这些设备放在互联网上会降低的安全性,因为这会允许互联网无限制的访问你的应用程序前端服务器,这时候就需要一个解决方案来保护前端服务器。最常见的两个解决方案就是混合了网络和代理防火墙功能包以及SSL VPN网关的高级防火墙。

这两个解决方案如下:

• Forefront Threat Management Gateway 2010: Forefront TMG (TMG)是整合了代理/网络级防火墙与全面垃圾邮件防护、web恶意软件防护以及高级IDS/IPS功能的网关。除了其Web代理和网络级防火墙功能外,同样还提供了先进的入站SSL桥接功能,这样TMG防火墙就可以用来预先验证和检测对应用程序服务器前端的入站连接。这极大的降低了这些应用服务器前端暴露给互联网攻击者的安全风险。

• Intelligent Application Gateway 2007 (IAG)以及即将推出的Unified Access Gateway (UAG): IAG和UAG是综合SSL VPN解决方案,可以帮助你保护前端应用服务器免受互联网攻击者的攻击。IAG 2007和UAG提供了多种SSL VPN技术来保护对企业网络信息的远程访问。IAG 2007和UAG提供的防火墙技术(如Forefront TMG加强正面和负面的逻辑过滤器来阻止已知的不良连接以及潜在的零日攻击)来提高安全性,并且引入了验证功能以及SSL VPN网关解决方案所能提供的功能。

虽然与传统网络级VPN解决方案相比,应用服务器前端技术和安全网关确实能够降低安全风险以及操作复杂性,但是在这个领域确实还有很多工作要做。你还需要安装应用服务器,然后需要安装应用服务器前端服务器(这需要放在DMZ中,因为是面向互联网的主机),接着需要在前端服务器的前面配置防火墙或者SSL VPN网关。你需要在所有的安全区间设置适当的访问控制,并需要监控所有不同安全区间的连接。这些一系列操作中只要出现一个错误就会导致全盘皆输。

因此我们需要找出更好的方法。

DirectAccess

是否存在更好的方法取决于企业正在使用的客户端极其类型。对于未知安全配置和状态的无管理的客户端,你最好使用前端连接到应用服务器(受到高级防火墙或者SSL VPN网关保护)。对于无管理的主机的最安全的做法就是部署最小访问特权,而防火墙和网关解决方案就是部署这些最小特权的最佳方式。

那么对于被管理的主机呢?对于使用企业笔记本的用户呢?企业无法保证每台笔记本的安全性,只要用户连接到企业网络,他们只有进行政策更新以及通过最新安全和应用更新检查才能接入企业网络,这得益于微软的Network Access Protection(NAP)。

现在的问题是,这些用户可能永远不会连接到企业网络,这时可能需要创建新的笔记本机制,并将笔记本云送给不同国家不同洲的用户。从这点来看,这些计算机基本不受企业控制了,无法知道发生的事情,这也很难保证合规的进行。

DirectAccess改变了这一切。当你使用Windows 7客户端和Windows Server 2008 R2 DirectAccess服务器时,当计算机启动的时候Windows 7客户端会自动调用DirectAccess,客户端使用Ipsec来保护连接并使用Ipv6来连接到企业网络的服务器。由于客户端都位于NAT设备后面,且他们使用的是Ipv4互联网,Windows 7客户端可以使用NAT Traversal和Ipv6过渡技术来允许对DirectAccess服务器的连接,以及企业网络服务器的连接。

请注意,用户不需要登录来建立DirectAccess连接,这意味着只要这些机器是打开的,你都可以对他们进行管理。DirectAccess连接是双向的,你可以连接到这些机器,将这些机器编录,并部署安全和管理政策,正如连接到企业网络一样。

当用户登录的时候,将建立第二个VPN连接。然而,与典型的PPTP、L2TP/IPsec 或者SSTP VPN不同的是,用户将自动登陆到DirectAccess VPN。用户不需要勾选复选框中的选项,用户不需要点击"连接到企业网络"的按钮。用户也不需要担心是否位于防火墙或者代理服务器后面,因为唯一的要求就是,防火墙或者代理服务器允许出站HTTPS访问,由于SSL是普遍的防火墙端口,用户必然可以连接到DirectAccess服务器。

现在需要考虑以下几点:

• 用户打开Outlook,且正好可以使用,因为客户端机器有连接到网络中启用Ipv6机器的虚拟网络连接

• 用户不需要使用OWA,因为本来到Exchange的MAPI连接可以简单的通过DirectAccess VPN启用

• 当用户收到一封电子邮件,邮件中保护到文件服务器或者内网sharepoint站点的链接,用户只需要点击链接就能访问。根本不需要考虑将这些资源放在互联网中以及处理与转译内网到互联网名称的DNS问题。

• NAP将自动对计算机进行评估,并且根据企业政策进行修复。只要当计算机启动或者自动连接到DirectAccess VPN的时候就会进行评估,这意味着被管理的机器将始终符合合规要求。

这只是部署DirectAccess的好处的几个例子,很显然,DirectAccess不仅仅是一个很实用的远程访问VPN解决方案,并且能够改变整个VPN的概念。

结语

请记住,我们这里讨论的是被管理计算机,也就是受到企业管理和控制的域成员计算机。对于这些机器要比无管理机器有更高的要求。正如你所知,DirectAccess可以在机器启动的任何时候,即使用户没有登录到机器,都可以对这些机器进行管理和执行安全政策。