美人为馅字母团:告别VPN：Windows 7/2008 R2的Direct Access功能概述

告别VPN：Windows 7/2008 R2的Direct Access功能概述

是时候向VPN说再见了！

Direct Access是Windos 7和Windows Server 2008 R2中的一项新功能。凭借这个功能，外网的用户可以在不需要建立VPN连接的情况下，高速、安全的从Internet直接访问公司防火墙之后的资源！

仅仅这一句话的描述，是否已经足够以让你热血沸腾？是的，不需要VPN了，不需要Token了，不需要SmartCard了，不需要漫长的VPN拨号等待了！内网外网之间的穿越变得如此之简单！Bill Gates说什么来着，information at your finger tip。

这是一个大家企盼了很久的功能，这是一个让移动办公者手舞足蹈的功能。微软这个月公布了Direct Access的技术白皮书，让我们先睹为快，看看Direct Access到底是何方神圣，我们从中是否能够获得实实在在的好处。

详解Direct Access连接

Direct Access功能克服了VPN的很多局限性，它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IP v6技术中的一些先进特性做到了这一点。Direct Access使用IPsec进行计算机之间的验证，这也允许了IT部门在用户登录之前进行计算机的管理。

Direct Access工作时，客户机建立一个通向DirectAccess Server的IP v6隧道连接。这个IP v6的隧道连接，可以在普通的IP v4网络上工作，如下图所示。DirectAccess Server承担了网关的角色，连接内网和外网之间。

需要注意的是，DirectAcces对服务器建立了两个连接IPSec隧道连接：

• IPsec Encapsulating Security Payload (ESP) tunnel with IP-TLS (Transport Layer Security)，这个连接使用计算机的证书加密。用来访问DNS服务器和域控制器，客户机用这个连接来下载组策略对象并进行安全认证。
• IPsec ESP tunnel with IP-TLS，这个连接同时采用计算机和用户证书加密。用来验证用户身份并提供对内部网络资源的访问。

建立连接后的内网资源访问方式

从安全的角度来考虑，DirectAccess访问的内网资源是可受控制的。有两种资源访问方式：

Selected Server Access

Selected server access, 顾名思义，就是有选择性的允许访问内网特定的服务器。这样做的优点是可以在DirectAccess服务器上配置访问规则进行安全控制，但是这种模式需要被访问的服务器版本必须是Windows Server 2008或2008 R2，而且这些服务器需要同时支持IPv6和IPsec协议。

Full enterprise network access

Full enterprise network access，这种模式下，DirectAccess服务器把来自用户的请求以非IPSec的方式向内网的服务器转发。这种模式对内网的服务器要求不高，而且内网情况下的网络安全也可以得到有效的控制。这类似于Exchange的RPC over Http方式。

DirectAccess的连接建立过程

1. 运行Windows 7的客户端计算机首先检测到它所连接的网络；

2. DirectAccess服务尝试连接管理员所指定的一个内网资源，如果连接成功，则DirectAccess默认计算机已经处在内网的环境中，计算机会把DirectAccess服务关闭以节省系统资源；如果访问不到，DirectAccess服务继续工作；

3. 客户端计算机接下来使用IPv6和IPsec连接预先指定的DirectAccess服务器。如果计算机所处的不是IPv6网络，计算机建立一个IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ，ISATAP)。这些都是Windows 7在后台完成的，不需要用户的登陆和干预；

4. 如果防火墙不允许连接IPv6 6to4隧道，计算机使用HTTPS协议与DirectAccess服务器通讯(性能会有影响)；

5. Windows 7客户机和DirectAccess服务器完成互相的身份验证(采用计算机证书实现)；

6. DirectAccess服务器根据客户机在AD中的身份和当前登陆用户，决定是否允许访问。为了避免可能的DDOS攻击，这里微软采用了DSCPs技术(Differentiated Services Code Points)；

7. 如果计算机启用了NAP检测，DirectAcces服务器转向NAP服务器完成客户机的安全检测。这也可以有效地避免客户机从外网联接带来的安全隐患和病毒；

8. 一切都完成后，DirectAccess服务器开始担当内外网信息传递的角色。

以上这些过程都是自动完成的，不需要用户的干预。

Direct Access对路由的处理方式

我们还有必要聊一下DirectAccess情况下的路由处理。Windows 7的DirectAccess可以把对内网的请求转发给DirectAccess服务器，而把普通的internet访问数据流直接路由到internet上。这个路由的具体方式，也可以通过管理员的配置和策略来调整。

DirectAccess的软件需求

• 一台或多台运行Windows Server 2008 R2的DirectAccess服务器，这些服务器需要两块网卡，分别连接内网和外网。
• 至少一台域控制器和DNS服务器运行在Windows Server 2008或Windows Server 2008 R2之上。一些高级的认证协议(two-factor authentication)需要R2的AD DS支持。
• A Public Key Infrastructure (PKI)以提供证书。
• IPsec。
• DirectAccess服务器支持：ISATAP, Teredo, and 6to4。

这些仅仅是关于DirectAccess一些非常初步和概念性的介绍，随着微软文档的进一步公开，我们将看到更多的DirectAccess应用和配置资料。下面是具体资源的链接：

• Windows 7 and Windows Server 2008 R2 DirectAccess Executive Overview (这份是给老板看的)
• http://www.microsoft.com/downloads/details.aspx?familyid=d8eb248b-8bf7-4798-a1d1-04d37f2e013c&displaylang=en&tm 
• Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2 (这份你自己留着慢慢品味吧)
• http://www.microsoft.com/downloads/details.aspx?familyid=64966e88-1377-4d1a-be86-ab77014495f4&displaylang=en&tm