DirectAccess 設(shè)計評估示例完全 Intranet 訪問示例通過完全訪問 Intranet ，DirectAccess 客戶端可連接到 Intranet 內(nèi)部可通過 Internet 協(xié)議版

DirectAccess 設(shè)計評估示例

完全 Intranet 訪問示例

通過完全訪問 Intranet ，DirectAccess 客戶端可連接到 Intranet 內(nèi)部可通過 Internet 協(xié)議版本 6 (IPv6) 訪問的所有資源。 DirectAccess 客戶端使用 Internet 協(xié)議安全 (IPsec) 創(chuàng)建兩個到 DirectAccess 服務(wù)器的 Internet 接口的加密隧道。第一個隧道（稱為基礎(chǔ)結(jié)構(gòu)隧道）使 DirectAccess 客戶端可以訪問域名系統(tǒng) (DNS) 服務(wù)器、Active Directory 域服務(wù) (AD DS) 域控制器和其他基礎(chǔ)結(jié)構(gòu)和管理服務(wù)器。第二個隧道（稱為 Intranet 隧道）使 DirectAccess 客戶端可以訪問 Intranet 資源?；A(chǔ)結(jié)構(gòu)隧道使用計算機(jī)身份驗證，Intranet 隧道使用計算機(jī)和用戶身份驗證。

建立 Intranet 隧道之后，在此通信通過 Internet DirectAccess 客戶端即可與 Intranet 應(yīng)用程序服務(wù)器交換通信。

的過程中，隧道將對此通信進(jìn)行加密。默認(rèn)情況下，并終止 DirectAccess 客DirectAccess 服務(wù)器充當(dāng) IPsec 網(wǎng)關(guān)，

戶端的 IPsec 隧道。

下圖顯示了完全訪問 Intranet 的示例。

當(dāng) DirectAccess 客戶端啟動并確定其位于 Internet 上時，它會創(chuàng)建到 DirectAccess 服務(wù)器的隧道，并開始與 AD

就像該客戶端直接連接到 Intranet 一樣。DS 域控制器和應(yīng)用程序服務(wù)器等 Intranet 基礎(chǔ)結(jié)構(gòu)服務(wù)器進(jìn)行正常通信，

此設(shè)計不需要為 Intranet 上的通信提供 IPsec 保護(hù)，從結(jié)構(gòu)上來說，它與當(dāng)前遠(yuǎn)程訪問虛擬專用網(wǎng)絡(luò) (VPN) 方案非常相似。

使用智能卡的完全 Intranet 訪問示例

使用智能卡的完全 Intranet 訪問采用了完全 Intranet 訪問設(shè)計，并且使用智能卡為 Intranet 隧道提供附加的身份驗證級別。DirectAccess 客戶端計算機(jī)嘗試訪問 Intranet 資源時，DirectAccess 服務(wù)器會強制使用智能卡憑據(jù)。 下圖顯示了使用智能卡的完全 Intranet 訪問示例。

DirectAccess 客戶端上的用戶使用智能卡登錄到計算機(jī)時，將獲得對 Intranet 資源的透明訪問權(quán)限。如果使用域憑據(jù)（如用戶名和密碼組合）登錄到計算機(jī)，并嘗試訪問 Intranet ，則 Windows 在通知區(qū)域顯示一條消息，指示用戶輸入其智能卡憑據(jù)。然后用戶插入其智能卡并提供其智能卡個人標(biāo)識符 (PIN) 以訪問 Intranet 資源。

此通知消息將在五秒鐘內(nèi)逐漸消失或在非常短的時間內(nèi)被其他通知覆蓋，但一個顯示有一對密鑰的圖標(biāo)將保留在通知區(qū)域。如果用戶錯過了通知，將會在溢出托盤中顯示密鑰圖標(biāo)，用戶通過單擊該圖標(biāo)可再次啟動憑據(jù)提示。

選定服務(wù)器訪問示例

通過訪問所選服務(wù)器，您可以將 DirectAccess 客戶端限定為訪問一組特定的 Intranet 應(yīng)用程序服務(wù)器，并拒絕訪問 Intranet 上的所有其他位置。 Intranet 訪問要求 DirectAccess 客戶端向指定服務(wù)器提供端對端 Internet 協(xié)議安全 (IPsec) 保護(hù)。這可以為端對端通信另外提供一層 IPsec 對等身份驗證和數(shù)據(jù)完整性保護(hù)，使 DirectAccess 客戶端可以驗證它們是否正在與特定服務(wù)器通信。

下圖顯示了訪問所選服務(wù)器的示例。

默認(rèn)情況下，DirectAccess 客戶端和選定服務(wù)器使用計算機(jī)憑據(jù)來執(zhí)行 IPsec 對等身份驗證，并使用封裝式安全措施負(fù)載 (ESP)-NULL 來保護(hù)流量以實現(xiàn)數(shù)據(jù)完整性。

您也可以通過訪問所選服務(wù)器，要求 DirectAccess 客戶端向指定服務(wù)器提供端對端 IPsec 保護(hù)，并允許訪問

不會向與其他 Intranet 應(yīng)用程序服務(wù)器之間的通信提供 IPsec 對等身份驗證和數(shù)據(jù)完Intranet 上的所有其他位置。

整性保護(hù)。 DirectAccess 客戶端和服務(wù)器之間的 Intranet 隧道為通過 Internet 的兩種 Intranet 通信類型提供加密。

將空封裝身份驗證用于訪問所選服務(wù)器

空封裝身份驗證是 Windows 7 和 Windows Server 2008 R2 中具有高級安全性的 Windows 防火墻的一項新增功能。某些 Intranet 包含的硬件無法分析或轉(zhuǎn)發(fā)受 IPsec 保護(hù)的通信。通過啟用空封裝身份驗證，IPsec 對等體可執(zhí)行正常 IPsec 對等身份驗證，并在交換的第一個數(shù)據(jù)包中包含 IPsec 數(shù)據(jù)完整性。后續(xù)數(shù)據(jù)包將以明文形式發(fā)送，且沒有 IPsec 保護(hù)。使用此功能，您可以在不支持受 IPsec 保護(hù)的通信流的環(huán)境中使用 IPsec 進(jìn)行對等身份驗證。當(dāng)使用所選服務(wù)器訪問時，您可以對 DirectAccess 啟用空封裝身份驗證。

端對端訪問示例

端對端訪問刪除了到 DirectAccess 服務(wù)器的基礎(chǔ)結(jié)構(gòu)隧道和 Intranet 隧道。 DirectAccess 客戶端和 Intranet 應(yīng)用程序服務(wù)器之間的所有 Intranet 通信都屬于端對端通信，且已使用 Internet 協(xié)議安全 (IPsec) 進(jìn)行加密。在此配置中，DirectAccess 服務(wù)器不再終止 IPsec 隧道。它充當(dāng)一個傳遞設(shè)備，并允許在 DirectAccess 客戶端和應(yīng)用程序服務(wù)器之間傳遞受 IPsec 保護(hù)的通信。 DirectAccess 服務(wù)器上一個稱為 IPsec 拒絕服務(wù)保護(hù) (DoSP) 的組件，監(jiān)視 IPsec 通信以幫助防止 Internet 上的惡意用戶對 Intranet 資源發(fā)動 DoS 攻擊。

下圖顯示了端對端訪問的示例。

應(yīng)將 DirectAccess 客戶端和 Intranet 應(yīng)用程序服務(wù)器配置為使用計算機(jī)憑據(jù)執(zhí)行 IPsec 對等身份驗證，并使用封裝式安全措施負(fù)載 (ESP) 保護(hù)流量以實現(xiàn)數(shù)據(jù)機(jī)密性（加密）和完整性。