遠(yuǎn)程訪問(wèn)一直是個(gè)熱門(mén)話題，人們需要能夠隨時(shí)隨地通過(guò)任何設(shè)備登錄網(wǎng)絡(luò)獲取信息。過(guò)去利用特定設(shè)備或者特定位置訪問(wèn)網(wǎng)絡(luò)的時(shí)代已經(jīng)過(guò)去了，特別是在企業(yè)內(nèi)，人們希望在任何時(shí)候都能獲取企業(yè)信息，可能使用筆記本、臺(tái)式機(jī)、智能手機(jī)或者甚至MP3播放器來(lái)獲取企業(yè)信息。

　　微軟公司就正在為此付出努力，希望能夠保證用戶(hù)隨時(shí)隨地使用各種技術(shù)來(lái)進(jìn)行安全遠(yuǎn)程訪問(wèn)。注意這里所說(shuō)的是“安全遠(yuǎn)程訪問(wèn)”，實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)并不困難，任何簡(jiǎn)單的NAT設(shè)備或者路由器都可以讓用戶(hù)對(duì)企業(yè)應(yīng)用程序和設(shè)備進(jìn)行遠(yuǎn)程訪問(wèn)。這里的安全遠(yuǎn)程訪問(wèn)就能夠保護(hù)用戶(hù)數(shù)據(jù)、企業(yè)服務(wù)器不受到安全威脅。

　　以下是幾個(gè)重要的微軟技術(shù)能夠幫助用戶(hù)實(shí)現(xiàn)對(duì)企業(yè)資源的安全遠(yuǎn)程訪問(wèn)：

　　·Windows Server 2008 NPS路由和遠(yuǎn)程訪問(wèn)VPN服務(wù)

　　·Windows Server 2008終端服務(wù)網(wǎng)關(guān)

　　·Microsoft ISA 2006和Forefront Threat Management Gateway (TMG，威脅管理網(wǎng)關(guān))

　　·Intelligent Application Gateway 2007和Unified Access Gateway (UAG，統(tǒng)一訪問(wèn)網(wǎng)關(guān))

　　Windows Server 2008 NPS遠(yuǎn)程訪問(wèn)VPN服務(wù)

　　Windows Servers從Windows NT開(kāi)始就加入了一個(gè)VPN服務(wù)器組件，這樣用戶(hù)就能對(duì)VPN使用PPTP(Point to Point Tunneling Protocol)。目前來(lái)說(shuō)，大多數(shù)安全專(zhuān)家認(rèn)為PPTP是一種過(guò)時(shí)的VPN協(xié)議，而不應(yīng)該用于生產(chǎn)網(wǎng)絡(luò)中，因?yàn)樵搮f(xié)議中存在很多安全問(wèn)題。雖然現(xiàn)在有辦法能夠增強(qiáng)PPTP的安全級(jí)別(如雙條件登錄)，幾乎很少使用PPTP。

　　在Windows 2000 Server中引進(jìn)了L2TP/IPsec VPN協(xié)議，這也是Windows的重大進(jìn)步，因?yàn)镮psec渠道能夠保證在證書(shū)轉(zhuǎn)讓發(fā)生之前保護(hù)信息的安全性。L2TP被用于創(chuàng)建虛擬網(wǎng)絡(luò)，而Ipsec用于在虛擬網(wǎng)絡(luò)連接創(chuàng)建隱私。L2TP/Ipsec的另一個(gè)主要優(yōu)勢(shì)在于，用戶(hù)和設(shè)備認(rèn)證能夠同時(shí)進(jìn)行，因?yàn)槭褂玫氖荌psec。Windows 2000 Server中還允許用戶(hù)使用更先進(jìn)的EAP驗(yàn)證方法進(jìn)行用戶(hù)驗(yàn)證，這樣證書(shū)和智能卡就能夠用于用戶(hù)身份驗(yàn)證。

　　Windows Server 2008在用戶(hù)的VPN功能中加入了SSTP(Secure Socket Tunneling Protocol，安全套接字渠道協(xié)議)，這種協(xié)議的最大優(yōu)點(diǎn)就是在SSL上運(yùn)行，任何防火墻或者代理服務(wù)器能夠運(yùn)行外流的SSL。即使當(dāng)客戶(hù)位于防火墻或者代理服務(wù)器(甚至是基于代理服務(wù)器的防火墻，如ISA或者TMG防火墻)后也可以運(yùn)行SSTP，SSTP屬于Windows Server 2008 NPS路由和遠(yuǎn)程訪問(wèn)VPN服務(wù)的一部分，它能夠利用L2TP/Ipsec使用的所有相同的用戶(hù)驗(yàn)證協(xié)議。SSTP的唯一缺點(diǎn)在于，配置步驟需要非常嚴(yán)謹(jǐn)，如果沒(méi)有嚴(yán)格按照順序執(zhí)行配置，管理將會(huì)變得非常復(fù)雜。可以說(shuō)，對(duì)于Windows VPN管理員而言，SSTP仍然是一項(xiàng)巨大的工作。

　　Windows Server終端服務(wù)

　　在Windows Server的前幾個(gè)版本中加入了路由和遠(yuǎn)程訪問(wèn)VPN解決方案，Windows Server同時(shí)還加入了終端服務(wù)組件(Terminal Services)，雖然在Windows NT的RTM版中沒(méi)有此組件，不過(guò)在NT產(chǎn)品后序版本中也加入了該組件。終端服務(wù)隨后在Windows Server 2000發(fā)布時(shí)被納入了操作系統(tǒng)中。在Windows Server 2003的終端服務(wù)中作出了些許改進(jìn)，Windows Server 2008才讓我們看到終端服務(wù)組件的重要改進(jìn)。

　　在Windows Server 2008和即將發(fā)布的Windows Server 2008 R2中，我們將看到終端服務(wù)產(chǎn)品的重大改進(jìn)。在基本的終端服務(wù)器中的終端服務(wù)，能夠允許用戶(hù)通過(guò)使用RDP協(xié)議連接到終端服務(wù)器。實(shí)際上，RDP協(xié)議已經(jīng)大大改善，不過(guò)并不是RDP協(xié)議的改進(jìn)讓W(xué)indows Server 2008 Terminal Services產(chǎn)品如此引人注目。主要改進(jìn)功能包括：

　　·Terminal Services Web Access(網(wǎng)絡(luò)訪問(wèn))

　　·Terminal Services Gateway(網(wǎng)關(guān))

　　·Terminal Service RemoteApp(遠(yuǎn)程應(yīng)用程序)

　　雖然windows Server以前的版本也有Terminal Services Web Access功能，而Windows Server 2008功能明顯增強(qiáng)，因?yàn)?008版向網(wǎng)站加入了幾項(xiàng)Terminal Services的新功能，另外，通過(guò)終端服務(wù)網(wǎng)站訪問(wèn)計(jì)算機(jī)和應(yīng)用程序可以通過(guò)基于政策的訪問(wèn)規(guī)則來(lái)控制。

　　終端服務(wù)網(wǎng)關(guān)(TSG，Terminal Services Gateway)可以在世界的任何位置啟用基于政策的終端服務(wù)訪問(wèn)，過(guò)去對(duì)終端服務(wù)的遠(yuǎn)程訪問(wèn)的主要問(wèn)題在于，很多訪問(wèn)權(quán)不能允許對(duì)默認(rèn)RDP端口(即TCP 3389)的對(duì)外訪問(wèn)。由于代理服務(wù)器通常只處理HTTP協(xié)議，當(dāng)客戶(hù)位于Web代理服務(wù)器后時(shí)，終端服務(wù)客戶(hù)就不能通過(guò)網(wǎng)絡(luò)到達(dá)終端服務(wù)。TSG是通過(guò)允許終端服務(wù)客戶(hù)與RPC內(nèi)的RDP建立渠道來(lái)解決這個(gè)問(wèn)題的，然后將在HTTP內(nèi)部建立渠道，并由SSL安全保護(hù)，因此只需要允許對(duì)TSG的對(duì)外SSL連接即可。當(dāng)客戶(hù)連接到TSG后，基于政策的訪問(wèn)規(guī)則就允許客戶(hù)控制用戶(hù)可以連接到的終端服務(wù)器或者應(yīng)用程序。

　　在新的Windows Server 2008 Terminal Server中，我們能夠選擇發(fā)布終端服務(wù)器和/或應(yīng)用程序。終端服務(wù)RemoteApp允許你通過(guò)終端服務(wù)發(fā)布應(yīng)用程序。因此，如果你想要你的用戶(hù)訪問(wèn)Word或者PPT，你可以通過(guò)終端服務(wù)網(wǎng)關(guān)發(fā)布這些應(yīng)用程序，這樣用戶(hù)就只能訪問(wèn)這些應(yīng)用程序，而不是整個(gè)桌面。這對(duì)于安全而言是個(gè)很大的進(jìn)步，因?yàn)槭褂玫氖亲钚��?quán)限原則，用戶(hù)只能訪問(wèn)他們需要的內(nèi)容，而不是其他多余的東西。這種訪問(wèn)是通過(guò)TSG來(lái)實(shí)現(xiàn)的，TSG能夠啟用對(duì)這些應(yīng)用程序的基于政策的訪問(wèn)。

Internet安全和Acceleration Server 2006以及Forefront Threat Management Gateway (TMG)

　　前面討論了包括Windows Server在內(nèi)的平臺(tái)服務(wù)，現(xiàn)在讓我們看看微軟公司為安全遠(yuǎn)程訪問(wèn)提供的其他網(wǎng)絡(luò)安全應(yīng)用程序，微軟最早引入網(wǎng)絡(luò)安全設(shè)備實(shí)在90年代后半期，他們發(fā)布了Proxy Server產(chǎn)品。這也使他們催生出第一個(gè)成熟的產(chǎn)品，Proxy Server 2.0，雖然Proxy Server 2.0是個(gè)很不錯(cuò)的代理服務(wù)器，雖然并沒(méi)有設(shè)計(jì)為能夠進(jìn)行安全遠(yuǎn)程訪問(wèn)的網(wǎng)絡(luò)安全設(shè)備。

　　微軟公司在2000年底發(fā)布的Microsoft Internet Security和Acceleration Server (ISA) 2000是保證安全遠(yuǎn)程訪問(wèn)的網(wǎng)絡(luò)邊緣安全設(shè)備的先鋒產(chǎn)品，該產(chǎn)品是一個(gè)多功能設(shè)備，能夠進(jìn)行安全出站訪問(wèn)，安全服務(wù)器發(fā)布和安全Web發(fā)布。另外，ISA 2000能夠支持遠(yuǎn)程訪問(wèn)VPN用戶(hù)以及站到站VPN。最重要的是，ISA2000被設(shè)計(jì)為邊緣網(wǎng)絡(luò)防火墻，這樣用戶(hù)就不再需要在ISA2000防火墻前面放置基于路由器的防火墻(第三層防火墻)。

　　然后，ISA2000防火墻是建立在威脅模式的，該威脅模式現(xiàn)在已經(jīng)不存在了。這就是說(shuō)，對(duì)于在上個(gè)世紀(jì)流行的威脅模式而言，任何防火墻外部的東西都是不可信的，任何防火墻內(nèi)部的東西都是值得信賴(lài)。而新一代ISA防火墻，ISA2004防火墻就被設(shè)計(jì)為，沒(méi)有網(wǎng)絡(luò)是可信的，所有通過(guò)ISA防火墻進(jìn)行的連接都需要對(duì)狀態(tài)數(shù)據(jù)包和應(yīng)用程序?qū)舆M(jìn)行檢查。

　　ISA2004中，遠(yuǎn)程訪問(wèn)的安全性明顯改善。對(duì)于Web發(fā)布(與Web代理服務(wù)器相反)而言，HTTP安全過(guò)濾主要用于保護(hù)網(wǎng)站免受攻擊，還添加了很多應(yīng)用程序來(lái)保護(hù)對(duì)SMTP、DNS和其他應(yīng)用程序服務(wù)器的攻擊。最重要的是，遠(yuǎn)程訪問(wèn)和站對(duì)站VPN服務(wù)器組件現(xiàn)在可以讓用戶(hù)創(chuàng)建強(qiáng)大的基于用戶(hù)/組訪問(wèn)控制，并采用與通過(guò)ISA防火墻的所有連接的數(shù)據(jù)包和應(yīng)用程序?qū)舆M(jìn)行的相同的檢查。

　　ISA2004被認(rèn)為是微軟公司防火墻產(chǎn)品中第一個(gè)可以供企業(yè)使用的邊緣網(wǎng)絡(luò)防火墻，與Check Point、ASA以及Netscreen一樣。

　　兩年后發(fā)布了ISA2006，其中包含了所有2004ISA防火墻中的所有遠(yuǎn)程訪問(wèn)安全功能，另外還包含對(duì)遠(yuǎn)程訪問(wèn)安全功能的幾個(gè)改進(jìn)功能：

　　·支持Kerberos Constrained Delegation (KCD)，這樣就可以發(fā)布要求用戶(hù)在防火墻使用雙條件證書(shū)驗(yàn)證的網(wǎng)站。

　　·對(duì)其基于窗體驗(yàn)證功能的一些改進(jìn)，這樣用戶(hù)就可以在獲準(zhǔn)訪問(wèn)網(wǎng)站前使用更加靈活的形式通過(guò)防火墻的驗(yàn)證。

　　·擴(kuò)大對(duì)一些新的雙因素驗(yàn)證方法的支持，例如RADIUS一次性密碼驗(yàn)證。

　　·針對(duì)發(fā)布網(wǎng)站的LDAP服務(wù)器驗(yàn)證，這樣當(dāng)防火墻不是域成員時(shí)可以使用Active Directory存儲(chǔ)區(qū)。

　　·Web Farm Load Balancing可以使ISA2006管理員避免承受價(jià)格高昂的外部硬件負(fù)載均衡器和在ISA防火墻后發(fā)布大量Web服務(wù)器

　　ISA2006也可以配置為啟用對(duì)所有Windows Server 2008 Terminal Services功能的安全遠(yuǎn)程訪問(wèn)，允許對(duì)遠(yuǎn)程服務(wù)訪問(wèn)的另一層保護(hù)。

　　Forefront Threat Management Gateway (TMG，威脅管理網(wǎng)關(guān))是新版本的ISA防火墻，TMG保護(hù)前一個(gè)版本防護(hù)墻的所有安全遠(yuǎn)程訪問(wèn)技術(shù)，但是對(duì)于出站訪問(wèn)安全，還加入了惡意軟件保護(hù)和獨(dú)特的功能強(qiáng)大的IDS入侵檢測(cè)功能。此外，TMG還能啟用web內(nèi)容過(guò)濾功能，這也是ISA防火墻管理員期盼很久的功能。

　　Intelligent Application Gateway 2007和UAG

　　Intelligent Application Gateway 2007 (IAG 2007)主要是針對(duì)企業(yè)的產(chǎn)品，能夠幫助企業(yè)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)連接的最高級(jí)別安全水平，與ISA或者TMG防火墻相比，IAG 2007 SSL VPN網(wǎng)關(guān)是一種單一目的的裝置：提供對(duì)網(wǎng)絡(luò)設(shè)備入站連接的遠(yuǎn)程訪問(wèn)網(wǎng)關(guān)。ISA和TMG防火墻可以提供與目前市場(chǎng)上防火墻相同級(jí)別或者更高級(jí)別的網(wǎng)絡(luò)設(shè)備入站連接安全，IAG2007能夠?yàn)閣eb和非web服務(wù)的入站連接提供最高級(jí)別的安全性。

　　IAG包括一些軟件模塊，被稱(chēng)為應(yīng)用程序優(yōu)化(Application Optimizers)，能夠?yàn)閷?duì)web服務(wù)的遠(yuǎn)程訪問(wèn)提供非常高的安全保護(hù)。應(yīng)用程序優(yōu)化能夠使IAG為其發(fā)布的web服務(wù)執(zhí)行深層次的應(yīng)用程序?qū)訖z查。IAG的深層應(yīng)用程序?qū)訖z查同時(shí)進(jìn)行正面和反面的邏輯過(guò)濾，正面邏輯過(guò)濾使IAG只允許對(duì)發(fā)布的web服務(wù)進(jìn)行可信的通信，而反面過(guò)濾能夠阻止不可信的連接。

　　IAG 2007 SSL VPN能夠支持以下四種連接：

　　·反向Web代理服務(wù)，IAG可以通過(guò)對(duì)Web服務(wù)進(jìn)行遠(yuǎn)程連接部署智能應(yīng)用程序來(lái)充當(dāng)高安全性的反向web代理。

　　·端口轉(zhuǎn)發(fā)器(Port Forwarder)，對(duì)于需要使用簡(jiǎn)單協(xié)議(使用單個(gè)端口)非web應(yīng)用程序的遠(yuǎn)程訪問(wèn)，IAG端口轉(zhuǎn)發(fā)器允許客戶(hù)端使用該轉(zhuǎn)發(fā)器通過(guò)SSL VPN渠道連接到網(wǎng)絡(luò)應(yīng)用程序。

　　·套接字轉(zhuǎn)發(fā)器(Socket Forwarder)，對(duì)于需要多個(gè)主要或者次要連接(如Outlook MAPI/RPC)的對(duì)復(fù)雜應(yīng)用程序的遠(yuǎn)程訪問(wèn)，遠(yuǎn)程訪問(wèn)客戶(hù)端可以使用IAG套接字轉(zhuǎn)發(fā)器，所有通過(guò)套接字轉(zhuǎn)發(fā)器通信的協(xié)議都受到SSL的保護(hù)。

　　·網(wǎng)絡(luò)鏈接器，網(wǎng)絡(luò)鏈接器允許通過(guò)SSL VPN連接的完全網(wǎng)絡(luò)層VPN訪問(wèn)，這對(duì)于需要對(duì)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程控制的管理員而言非常有用。

　　除了SSL VPN網(wǎng)關(guān)功能外，IAG 2007還允許PPTP和L2TP/Ipsec遠(yuǎn)程訪問(wèn)VPN客戶(hù)端訪問(wèn)，這可以讓你使用IAG 2007作為中央遠(yuǎn)程訪問(wèn)網(wǎng)關(guān)，而不需要將幾種設(shè)備或者各種類(lèi)型的設(shè)備間網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)連接的管理和檢測(cè)工作進(jìn)行分離。

　　新版本的IAG被稱(chēng)為UAG(Unified Access Gateway，統(tǒng)一接入網(wǎng)關(guān))，將繼續(xù)加強(qiáng)IAG的應(yīng)用程序?qū)影踩�性，并將添加更多的安全遠(yuǎn)程訪問(wèn)功能。其中最有趣的功能就是，能夠支持微軟的新的Direct Access遠(yuǎn)程連接功能，這使位于世界各地的用戶(hù)能夠完全連接到企業(yè)網(wǎng)絡(luò)，包括域連接等。

　　使用Direct Access的主要障礙在于它對(duì)Ipv6的依賴(lài)，雖然Ipv6有很多優(yōu)點(diǎn)，但是大多數(shù)網(wǎng)絡(luò)的架構(gòu)并不支持Ipv6， 另外，IPv6并沒(méi)有得到大家的普遍認(rèn)同，所以將其部署在網(wǎng)絡(luò)上將是很危險(xiǎn)的事情，因?yàn)榇蠖鄶?shù)網(wǎng)絡(luò)管理員將無(wú)法理解Ipv6生成的通信。

　　為了緩解Direct Access和Ipv6帶來(lái)的連接性問(wèn)題和安全挑戰(zhàn)，UAG部署了NAT-PT(Network Address Translation – Protocol Translation)，它能夠允許本地Ipv6主機(jī)和應(yīng)用程序與本地Ipv4主機(jī)和應(yīng)用程序的通信，反之亦然。該功能可以為即將發(fā)布的Windows 7和Windows Server2008 R2網(wǎng)絡(luò)部署Direct Access解決方案變得更加簡(jiǎn)單更安全。

　　總結(jié)

　　本文中我們討論了現(xiàn)有微軟網(wǎng)絡(luò)中的安全遠(yuǎn)程訪問(wèn)功能，有些功能在早期windows NT版本中就已經(jīng)存在，而有些功能只有在部署Windows 7和Windows Server 2008 R2后才能使用。這些功能都有自己的優(yōu)點(diǎn)和缺點(diǎn)，并且提供不同級(jí)別的安全性，不同類(lèi)型的遠(yuǎn)程訪問(wèn)。希望大家在閱讀完本文后，能夠更好的理解遠(yuǎn)程訪問(wèn)功能并能夠根據(jù)自己所需選擇適合的遠(yuǎn)程訪問(wèn)設(shè)備。