DirectAccess 設(shè)計(jì)評(píng)估示例完全 Intranet 訪問(wèn)示例通過(guò)完全訪問(wèn) Intranet ，DirectAccess 客戶端可連接到 Intranet 內(nèi)部可通過(guò) Internet 協(xié)議版

DirectAccess 設(shè)計(jì)評(píng)估示例

完全 Intranet 訪問(wèn)示例

通過(guò)完全訪問(wèn) Intranet ，DirectAccess 客戶端可連接到 Intranet 內(nèi)部可通過(guò) Internet 協(xié)議版本 6 (IPv6) 訪問(wèn)的所有資源。 DirectAccess 客戶端使用 Internet 協(xié)議安全 (IPsec) 創(chuàng)建兩個(gè)到 DirectAccess 服務(wù)器的 Internet 接口的加密隧道。第一個(gè)隧道（稱為基礎(chǔ)結(jié)構(gòu)隧道）使 DirectAccess 客戶端可以訪問(wèn)域名系統(tǒng) (DNS) 服務(wù)器、Active Directory 域服務(wù) (AD DS) 域控制器和其他基礎(chǔ)結(jié)構(gòu)和管理服務(wù)器。第二個(gè)隧道（稱為 Intranet 隧道）使 DirectAccess 客戶端可以訪問(wèn) Intranet 資源?；A(chǔ)結(jié)構(gòu)隧道使用計(jì)算機(jī)身份驗(yàn)證，Intranet 隧道使用計(jì)算機(jī)和用戶身份驗(yàn)證。

建立 Intranet 隧道之后，在此通信通過(guò) Internet DirectAccess 客戶端即可與 Intranet 應(yīng)用程序服務(wù)器交換通信。

的過(guò)程中，隧道將對(duì)此通信進(jìn)行加密。默認(rèn)情況下，并終止 DirectAccess 客DirectAccess 服務(wù)器充當(dāng) IPsec 網(wǎng)關(guān)，

戶端的 IPsec 隧道。

下圖顯示了完全訪問(wèn) Intranet 的示例。

當(dāng) DirectAccess 客戶端啟動(dòng)并確定其位于 Internet 上時(shí)，它會(huì)創(chuàng)建到 DirectAccess 服務(wù)器的隧道，并開(kāi)始與 AD

就像該客戶端直接連接到 Intranet 一樣。DS 域控制器和應(yīng)用程序服務(wù)器等 Intranet 基礎(chǔ)結(jié)構(gòu)服務(wù)器進(jìn)行正常通信，

此設(shè)計(jì)不需要為 Intranet 上的通信提供 IPsec 保護(hù)，從結(jié)構(gòu)上來(lái)說(shuō)，它與當(dāng)前遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)絡(luò) (VPN) 方案非常相似。

使用智能卡的完全 Intranet 訪問(wèn)示例

使用智能卡的完全 Intranet 訪問(wèn)采用了完全 Intranet 訪問(wèn)設(shè)計(jì)，并且使用智能卡為 Intranet 隧道提供附加的身份驗(yàn)證級(jí)別。DirectAccess 客戶端計(jì)算機(jī)嘗試訪問(wèn) Intranet 資源時(shí)，DirectAccess 服務(wù)器會(huì)強(qiáng)制使用智能卡憑據(jù)。 下圖顯示了使用智能卡的完全 Intranet 訪問(wèn)示例。

DirectAccess 客戶端上的用戶使用智能卡登錄到計(jì)算機(jī)時(shí)，將獲得對(duì) Intranet 資源的透明訪問(wèn)權(quán)限。如果使用域憑據(jù)（如用戶名和密碼組合）登錄到計(jì)算機(jī)，并嘗試訪問(wèn) Intranet ，則 Windows 在通知區(qū)域顯示一條消息，指示用戶輸入其智能卡憑據(jù)。然后用戶插入其智能卡并提供其智能卡個(gè)人標(biāo)識(shí)符 (PIN) 以訪問(wèn) Intranet 資源。

此通知消息將在五秒鐘內(nèi)逐漸消失或在非常短的時(shí)間內(nèi)被其他通知覆蓋，但一個(gè)顯示有一對(duì)密鑰的圖標(biāo)將保留在通知區(qū)域。如果用戶錯(cuò)過(guò)了通知，將會(huì)在溢出托盤(pán)中顯示密鑰圖標(biāo)，用戶通過(guò)單擊該圖標(biāo)可再次啟動(dòng)憑據(jù)提示。

選定服務(wù)器訪問(wèn)示例

通過(guò)訪問(wèn)所選服務(wù)器，您可以將 DirectAccess 客戶端限定為訪問(wèn)一組特定的 Intranet 應(yīng)用程序服務(wù)器，并拒絕訪問(wèn) Intranet 上的所有其他位置。 Intranet 訪問(wèn)要求 DirectAccess 客戶端向指定服務(wù)器提供端對(duì)端 Internet 協(xié)議安全 (IPsec) 保護(hù)。這可以為端對(duì)端通信另外提供一層 IPsec 對(duì)等身份驗(yàn)證和數(shù)據(jù)完整性保護(hù)，使 DirectAccess 客戶端可以驗(yàn)證它們是否正在與特定服務(wù)器通信。

下圖顯示了訪問(wèn)所選服務(wù)器的示例。

默認(rèn)情況下，DirectAccess 客戶端和選定服務(wù)器使用計(jì)算機(jī)憑據(jù)來(lái)執(zhí)行 IPsec 對(duì)等身份驗(yàn)證，并使用封裝式安全措施負(fù)載 (ESP)-NULL 來(lái)保護(hù)流量以實(shí)現(xiàn)數(shù)據(jù)完整性。

您也可以通過(guò)訪問(wèn)所選服務(wù)器，要求 DirectAccess 客戶端向指定服務(wù)器提供端對(duì)端 IPsec 保護(hù)，并允許訪問(wèn)

不會(huì)向與其他 Intranet 應(yīng)用程序服務(wù)器之間的通信提供 IPsec 對(duì)等身份驗(yàn)證和數(shù)據(jù)完Intranet 上的所有其他位置。

整性保護(hù)。 DirectAccess 客戶端和服務(wù)器之間的 Intranet 隧道為通過(guò) Internet 的兩種 Intranet 通信類型提供加密。

將空封裝身份驗(yàn)證用于訪問(wèn)所選服務(wù)器

空封裝身份驗(yàn)證是 Windows 7 和 Windows Server 2008 R2 中具有高級(jí)安全性的 Windows 防火墻的一項(xiàng)新增功能。某些 Intranet 包含的硬件無(wú)法分析或轉(zhuǎn)發(fā)受 IPsec 保護(hù)的通信。通過(guò)啟用空封裝身份驗(yàn)證，IPsec 對(duì)等體可執(zhí)行正常 IPsec 對(duì)等身份驗(yàn)證，并在交換的第一個(gè)數(shù)據(jù)包中包含 IPsec 數(shù)據(jù)完整性。后續(xù)數(shù)據(jù)包將以明文形式發(fā)送，且沒(méi)有 IPsec 保護(hù)。使用此功能，您可以在不支持受 IPsec 保護(hù)的通信流的環(huán)境中使用 IPsec 進(jìn)行對(duì)等身份驗(yàn)證。當(dāng)使用所選服務(wù)器訪問(wèn)時(shí)，您可以對(duì) DirectAccess 啟用空封裝身份驗(yàn)證。

端對(duì)端訪問(wèn)示例

端對(duì)端訪問(wèn)刪除了到 DirectAccess 服務(wù)器的基礎(chǔ)結(jié)構(gòu)隧道和 Intranet 隧道。 DirectAccess 客戶端和 Intranet 應(yīng)用程序服務(wù)器之間的所有 Intranet 通信都屬于端對(duì)端通信，且已使用 Internet 協(xié)議安全 (IPsec) 進(jìn)行加密。在此配置中，DirectAccess 服務(wù)器不再終止 IPsec 隧道。它充當(dāng)一個(gè)傳遞設(shè)備，并允許在 DirectAccess 客戶端和應(yīng)用程序服務(wù)器之間傳遞受 IPsec 保護(hù)的通信。 DirectAccess 服務(wù)器上一個(gè)稱為 IPsec 拒絕服務(wù)保護(hù) (DoSP) 的組件，監(jiān)視 IPsec 通信以幫助防止 Internet 上的惡意用戶對(duì) Intranet 資源發(fā)動(dòng) DoS 攻擊。

下圖顯示了端對(duì)端訪問(wèn)的示例。

應(yīng)將 DirectAccess 客戶端和 Intranet 應(yīng)用程序服務(wù)器配置為使用計(jì)算機(jī)憑據(jù)執(zhí)行 IPsec 對(duì)等身份驗(yàn)證，并使用封裝式安全措施負(fù)載 (ESP) 保護(hù)流量以實(shí)現(xiàn)數(shù)據(jù)機(jī)密性（加密）和完整性。