遠(yuǎn)程訪問一直是個熱門話題，人們需要能夠隨時隨地通過任何設(shè)備登錄網(wǎng)絡(luò)獲取信息。過去利用特定設(shè)備或者特定位置訪問網(wǎng)絡(luò)的時代已經(jīng)過去了，特別是在企業(yè)內(nèi)，人們希望在任何時候都能獲取企業(yè)信息，可能使用筆記本、臺式機(jī)、智能手機(jī)或者甚至MP3播放器來獲取企業(yè)信息。

　　微軟公司就正在為此付出努力，希望能夠保證用戶隨時隨地使用各種技術(shù)來進(jìn)行安全遠(yuǎn)程訪問。注意這里所說的是“安全遠(yuǎn)程訪問”，實(shí)現(xiàn)遠(yuǎn)程訪問并不困難，任何簡單的NAT設(shè)備或者路由器都可以讓用戶對企業(yè)應(yīng)用程序和設(shè)備進(jìn)行遠(yuǎn)程訪問。這里的安全遠(yuǎn)程訪問就能夠保護(hù)用戶數(shù)據(jù)、企業(yè)服務(wù)器不受到安全威脅。

　　以下是幾個重要的微軟技術(shù)能夠幫助用戶實(shí)現(xiàn)對企業(yè)資源的安全遠(yuǎn)程訪問：

　　·Windows Server 2008 NPS路由和遠(yuǎn)程訪問VPN服務(wù)

　　·Windows Server 2008終端服務(wù)網(wǎng)關(guān)

　　·Microsoft ISA 2006和Forefront Threat Management Gateway (TMG，威脅管理網(wǎng)關(guān))

　　·Intelligent Application Gateway 2007和Unified Access Gateway (UAG，統(tǒng)一訪問網(wǎng)關(guān))

　　Windows Server 2008 NPS遠(yuǎn)程訪問VPN服務(wù)

　　Windows Servers從Windows NT開始就加入了一個VPN服務(wù)器組件，這樣用戶就能對VPN使用PPTP(Point to Point Tunneling Protocol)。目前來說，大多數(shù)安全專家認(rèn)為PPTP是一種過時的VPN協(xié)議，而不應(yīng)該用于生產(chǎn)網(wǎng)絡(luò)中，因?yàn)樵搮f(xié)議中存在很多安全問題。雖然現(xiàn)在有辦法能夠增強(qiáng)PPTP的安全級別(如雙條件登錄)，幾乎很少使用PPTP。

　　在Windows 2000 Server中引進(jìn)了L2TP/IPsec VPN協(xié)議，這也是Windows的重大進(jìn)步，因?yàn)镮psec渠道能夠保證在證書轉(zhuǎn)讓發(fā)生之前保護(hù)信息的安全性。L2TP被用于創(chuàng)建虛擬網(wǎng)絡(luò)，而Ipsec用于在虛擬網(wǎng)絡(luò)連接創(chuàng)建隱私。L2TP/Ipsec的另一個主要優(yōu)勢在于，用戶和設(shè)備認(rèn)證能夠同時進(jìn)行，因?yàn)槭褂玫氖荌psec。Windows 2000 Server中還允許用戶使用更先進(jìn)的EAP驗(yàn)證方法進(jìn)行用戶驗(yàn)證，這樣證書和智能卡就能夠用于用戶身份驗(yàn)證。

　　Windows Server 2008在用戶的VPN功能中加入了SSTP(Secure Socket Tunneling Protocol，安全套接字渠道協(xié)議)，這種協(xié)議的最大優(yōu)點(diǎn)就是在SSL上運(yùn)行，任何防火墻或者代理服務(wù)器能夠運(yùn)行外流的SSL。即使當(dāng)客戶位于防火墻或者代理服務(wù)器(甚至是基于代理服務(wù)器的防火墻，如ISA或者TMG防火墻)后也可以運(yùn)行SSTP，SSTP屬于Windows Server 2008 NPS路由和遠(yuǎn)程訪問VPN服務(wù)的一部分，它能夠利用L2TP/Ipsec使用的所有相同的用戶驗(yàn)證協(xié)議。SSTP的唯一缺點(diǎn)在于，配置步驟需要非常嚴(yán)謹(jǐn)，如果沒有嚴(yán)格按照順序執(zhí)行配置，管理將會變得非常復(fù)雜。可以說，對于Windows VPN管理員而言，SSTP仍然是一項(xiàng)巨大的工作。

　　Windows Server終端服務(wù)

　　在Windows Server的前幾個版本中加入了路由和遠(yuǎn)程訪問VPN解決方案，Windows Server同時還加入了終端服務(wù)組件(Terminal Services)，雖然在Windows NT的RTM版中沒有此組件，不過在NT產(chǎn)品后序版本中也加入了該組件。終端服務(wù)隨后在Windows Server 2000發(fā)布時被納入了操作系統(tǒng)中。在Windows Server 2003的終端服務(wù)中作出了些許改進(jìn)，Windows Server 2008才讓我們看到終端服務(wù)組件的重要改進(jìn)。

　　在Windows Server 2008和即將發(fā)布的Windows Server 2008 R2中，我們將看到終端服務(wù)產(chǎn)品的重大改進(jìn)。在基本的終端服務(wù)器中的終端服務(wù)，能夠允許用戶通過使用RDP協(xié)議連接到終端服務(wù)器。實(shí)際上，RDP協(xié)議已經(jīng)大大改善，不過并不是RDP協(xié)議的改進(jìn)讓W(xué)indows Server 2008 Terminal Services產(chǎn)品如此引人注目。主要改進(jìn)功能包括：

　　·Terminal Services Web Access(網(wǎng)絡(luò)訪問)

　　·Terminal Services Gateway(網(wǎng)關(guān))

　　·Terminal Service RemoteApp(遠(yuǎn)程應(yīng)用程序)

　　雖然windows Server以前的版本也有Terminal Services Web Access功能，而Windows Server 2008功能明顯增強(qiáng)，因?yàn)?008版向網(wǎng)站加入了幾項(xiàng)Terminal Services的新功能，另外，通過終端服務(wù)網(wǎng)站訪問計算機(jī)和應(yīng)用程序可以通過基于政策的訪問規(guī)則來控制。

　　終端服務(wù)網(wǎng)關(guān)(TSG，Terminal Services Gateway)可以在世界的任何位置啟用基于政策的終端服務(wù)訪問，過去對終端服務(wù)的遠(yuǎn)程訪問的主要問題在于，很多訪問權(quán)不能允許對默認(rèn)RDP端口(即TCP 3389)的對外訪問。由于代理服務(wù)器通常只處理HTTP協(xié)議，當(dāng)客戶位于Web代理服務(wù)器后時，終端服務(wù)客戶就不能通過網(wǎng)絡(luò)到達(dá)終端服務(wù)。TSG是通過允許終端服務(wù)客戶與RPC內(nèi)的RDP建立渠道來解決這個問題的，然后將在HTTP內(nèi)部建立渠道，并由SSL安全保護(hù)，因此只需要允許對TSG的對外SSL連接即可。當(dāng)客戶連接到TSG后，基于政策的訪問規(guī)則就允許客戶控制用戶可以連接到的終端服務(wù)器或者應(yīng)用程序。

　　在新的Windows Server 2008 Terminal Server中，我們能夠選擇發(fā)布終端服務(wù)器和/或應(yīng)用程序。終端服務(wù)RemoteApp允許你通過終端服務(wù)發(fā)布應(yīng)用程序。因此，如果你想要你的用戶訪問Word或者PPT，你可以通過終端服務(wù)網(wǎng)關(guān)發(fā)布這些應(yīng)用程序，這樣用戶就只能訪問這些應(yīng)用程序，而不是整個桌面。這對于安全而言是個很大的進(jìn)步，因?yàn)槭褂玫氖亲钚��?quán)限原則，用戶只能訪問他們需要的內(nèi)容，而不是其他多余的東西。這種訪問是通過TSG來實(shí)現(xiàn)的，TSG能夠啟用對這些應(yīng)用程序的基于政策的訪問。

Internet安全和Acceleration Server 2006以及Forefront Threat Management Gateway (TMG)

　　前面討論了包括Windows Server在內(nèi)的平臺服務(wù)，現(xiàn)在讓我們看看微軟公司為安全遠(yuǎn)程訪問提供的其他網(wǎng)絡(luò)安全應(yīng)用程序，微軟最早引入網(wǎng)絡(luò)安全設(shè)備實(shí)在90年代后半期，他們發(fā)布了Proxy Server產(chǎn)品。這也使他們催生出第一個成熟的產(chǎn)品，Proxy Server 2.0，雖然Proxy Server 2.0是個很不錯的代理服務(wù)器，雖然并沒有設(shè)計為能夠進(jìn)行安全遠(yuǎn)程訪問的網(wǎng)絡(luò)安全設(shè)備。

　　微軟公司在2000年底發(fā)布的Microsoft Internet Security和Acceleration Server (ISA) 2000是保證安全遠(yuǎn)程訪問的網(wǎng)絡(luò)邊緣安全設(shè)備的先鋒產(chǎn)品，該產(chǎn)品是一個多功能設(shè)備，能夠進(jìn)行安全出站訪問，安全服務(wù)器發(fā)布和安全Web發(fā)布。另外，ISA 2000能夠支持遠(yuǎn)程訪問VPN用戶以及站到站VPN。最重要的是，ISA2000被設(shè)計為邊緣網(wǎng)絡(luò)防火墻，這樣用戶就不再需要在ISA2000防火墻前面放置基于路由器的防火墻(第三層防火墻)。

　　然后，ISA2000防火墻是建立在威脅模式的，該威脅模式現(xiàn)在已經(jīng)不存在了。這就是說，對于在上個世紀(jì)流行的威脅模式而言，任何防火墻外部的東西都是不可信的，任何防火墻內(nèi)部的東西都是值得信賴。而新一代ISA防火墻，ISA2004防火墻就被設(shè)計為，沒有網(wǎng)絡(luò)是可信的，所有通過ISA防火墻進(jìn)行的連接都需要對狀態(tài)數(shù)據(jù)包和應(yīng)用程序?qū)舆M(jìn)行檢查。

　　ISA2004中，遠(yuǎn)程訪問的安全性明顯改善。對于Web發(fā)布(與Web代理服務(wù)器相反)而言，HTTP安全過濾主要用于保護(hù)網(wǎng)站免受攻擊，還添加了很多應(yīng)用程序來保護(hù)對SMTP、DNS和其他應(yīng)用程序服務(wù)器的攻擊。最重要的是，遠(yuǎn)程訪問和站對站VPN服務(wù)器組件現(xiàn)在可以讓用戶創(chuàng)建強(qiáng)大的基于用戶/組訪問控制，并采用與通過ISA防火墻的所有連接的數(shù)據(jù)包和應(yīng)用程序?qū)舆M(jìn)行的相同的檢查。

　　ISA2004被認(rèn)為是微軟公司防火墻產(chǎn)品中第一個可以供企業(yè)使用的邊緣網(wǎng)絡(luò)防火墻，與Check Point、ASA以及Netscreen一樣。

　　兩年后發(fā)布了ISA2006，其中包含了所有2004ISA防火墻中的所有遠(yuǎn)程訪問安全功能，另外還包含對遠(yuǎn)程訪問安全功能的幾個改進(jìn)功能：

　　·支持Kerberos Constrained Delegation (KCD)，這樣就可以發(fā)布要求用戶在防火墻使用雙條件證書驗(yàn)證的網(wǎng)站。

　　·對其基于窗體驗(yàn)證功能的一些改進(jìn)，這樣用戶就可以在獲準(zhǔn)訪問網(wǎng)站前使用更加靈活的形式通過防火墻的驗(yàn)證。

　　·擴(kuò)大對一些新的雙因素驗(yàn)證方法的支持，例如RADIUS一次性密碼驗(yàn)證。

　　·針對發(fā)布網(wǎng)站的LDAP服務(wù)器驗(yàn)證，這樣當(dāng)防火墻不是域成員時可以使用Active Directory存儲區(qū)。

　　·Web Farm Load Balancing可以使ISA2006管理員避免承受價格高昂的外部硬件負(fù)載均衡器和在ISA防火墻后發(fā)布大量Web服務(wù)器

　　ISA2006也可以配置為啟用對所有Windows Server 2008 Terminal Services功能的安全遠(yuǎn)程訪問，允許對遠(yuǎn)程服務(wù)訪問的另一層保護(hù)。

　　Forefront Threat Management Gateway (TMG，威脅管理網(wǎng)關(guān))是新版本的ISA防火墻，TMG保護(hù)前一個版本防護(hù)墻的所有安全遠(yuǎn)程訪問技術(shù)，但是對于出站訪問安全，還加入了惡意軟件保護(hù)和獨(dú)特的功能強(qiáng)大的IDS入侵檢測功能。此外，TMG還能啟用web內(nèi)容過濾功能，這也是ISA防火墻管理員期盼很久的功能。

　　Intelligent Application Gateway 2007和UAG

　　Intelligent Application Gateway 2007 (IAG 2007)主要是針對企業(yè)的產(chǎn)品，能夠幫助企業(yè)實(shí)現(xiàn)遠(yuǎn)程訪問連接的最高級別安全水平，與ISA或者TMG防火墻相比，IAG 2007 SSL VPN網(wǎng)關(guān)是一種單一目的的裝置：提供對網(wǎng)絡(luò)設(shè)備入站連接的遠(yuǎn)程訪問網(wǎng)關(guān)。ISA和TMG防火墻可以提供與目前市場上防火墻相同級別或者更高級別的網(wǎng)絡(luò)設(shè)備入站連接安全，IAG2007能夠?yàn)閣eb和非web服務(wù)的入站連接提供最高級別的安全性。

　　IAG包括一些軟件模塊，被稱為應(yīng)用程序優(yōu)化(Application Optimizers)，能夠?yàn)閷�web服務(wù)的遠(yuǎn)程訪問提供非常高的安全保護(hù)。應(yīng)用程序優(yōu)化能夠使IAG為其發(fā)布的web服務(wù)執(zhí)行深層次的應(yīng)用程序?qū)訖z查。IAG的深層應(yīng)用程序?qū)訖z查同時進(jìn)行正面和反面的邏輯過濾，正面邏輯過濾使IAG只允許對發(fā)布的web服務(wù)進(jìn)行可信的通信，而反面過濾能夠阻止不可信的連接。

　　IAG 2007 SSL VPN能夠支持以下四種連接：

　　·反向Web代理服務(wù)，IAG可以通過對Web服務(wù)進(jìn)行遠(yuǎn)程連接部署智能應(yīng)用程序來充當(dāng)高安全性的反向web代理。

　　·端口轉(zhuǎn)發(fā)器(Port Forwarder)，對于需要使用簡單協(xié)議(使用單個端口)非web應(yīng)用程序的遠(yuǎn)程訪問，IAG端口轉(zhuǎn)發(fā)器允許客戶端使用該轉(zhuǎn)發(fā)器通過SSL VPN渠道連接到網(wǎng)絡(luò)應(yīng)用程序。

　　·套接字轉(zhuǎn)發(fā)器(Socket Forwarder)，對于需要多個主要或者次要連接(如Outlook MAPI/RPC)的對復(fù)雜應(yīng)用程序的遠(yuǎn)程訪問，遠(yuǎn)程訪問客戶端可以使用IAG套接字轉(zhuǎn)發(fā)器，所有通過套接字轉(zhuǎn)發(fā)器通信的協(xié)議都受到SSL的保護(hù)。

　　·網(wǎng)絡(luò)鏈接器，網(wǎng)絡(luò)鏈接器允許通過SSL VPN連接的完全網(wǎng)絡(luò)層VPN訪問，這對于需要對網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程控制的管理員而言非常有用。

　　除了SSL VPN網(wǎng)關(guān)功能外，IAG 2007還允許PPTP和L2TP/Ipsec遠(yuǎn)程訪問VPN客戶端訪問，這可以讓你使用IAG 2007作為中央遠(yuǎn)程訪問網(wǎng)關(guān)，而不需要將幾種設(shè)備或者各種類型的設(shè)備間網(wǎng)絡(luò)的遠(yuǎn)程訪問連接的管理和檢測工作進(jìn)行分離。

　　新版本的IAG被稱為UAG(Unified Access Gateway，統(tǒng)一接入網(wǎng)關(guān))，將繼續(xù)加強(qiáng)IAG的應(yīng)用程序?qū)影踩�性，并將添加更多的安全遠(yuǎn)程訪問功能。其中最有趣的功能就是，能夠支持微軟的新的Direct Access遠(yuǎn)程連接功能，這使位于世界各地的用戶能夠完全連接到企業(yè)網(wǎng)絡(luò)，包括域連接等。

　　使用Direct Access的主要障礙在于它對Ipv6的依賴，雖然Ipv6有很多優(yōu)點(diǎn)，但是大多數(shù)網(wǎng)絡(luò)的架構(gòu)并不支持Ipv6， 另外，IPv6并沒有得到大家的普遍認(rèn)同，所以將其部署在網(wǎng)絡(luò)上將是很危險的事情，因?yàn)榇蠖鄶?shù)網(wǎng)絡(luò)管理員將無法理解Ipv6生成的通信。

　　為了緩解Direct Access和Ipv6帶來的連接性問題和安全挑戰(zhàn)，UAG部署了NAT-PT(Network Address Translation – Protocol Translation)，它能夠允許本地Ipv6主機(jī)和應(yīng)用程序與本地Ipv4主機(jī)和應(yīng)用程序的通信，反之亦然。該功能可以為即將發(fā)布的Windows 7和Windows Server2008 R2網(wǎng)絡(luò)部署Direct Access解決方案變得更加簡單更安全。

　　總結(jié)

　　本文中我們討論了現(xiàn)有微軟網(wǎng)絡(luò)中的安全遠(yuǎn)程訪問功能，有些功能在早期windows NT版本中就已經(jīng)存在，而有些功能只有在部署Windows 7和Windows Server 2008 R2后才能使用。這些功能都有自己的優(yōu)點(diǎn)和缺點(diǎn)，并且提供不同級別的安全性，不同類型的遠(yuǎn)程訪問。希望大家在閱讀完本文后，能夠更好的理解遠(yuǎn)程訪問功能并能夠根據(jù)自己所需選擇適合的遠(yuǎn)程訪問設(shè)備。