DirectAccess在多校區(qū)財(cái)務(wù)子網(wǎng)的應(yīng)用策略研究

1、DirectAccess在多校區(qū)財(cái)務(wù)子網(wǎng)的應(yīng)用策略研究近年來，多校區(qū)辦學(xué)已逐漸成為高校普遍的運(yùn)作方式。在這種格局之下，如何解決財(cái)務(wù)數(shù)據(jù)等敏感信息跨校區(qū)安全共享和交流是學(xué)校信息化建設(shè)所亟待解決的問題之一。當(dāng)前，大多數(shù)學(xué)校通過在校園網(wǎng)上部署技術(shù)成本低且具有高安全性、高可靠性等優(yōu)點(diǎn)的VPN技術(shù)【1】【2】來解決這一問題，但是VPN技術(shù)存在如下幾個(gè)方面的局限性：1）用戶需要通過輸入認(rèn)證信息、撥號(hào)、等待認(rèn)證等環(huán)節(jié)來建立安全連接，而這一過程對(duì)用戶來說并不是透明的；2）在撥通VPN的情況下，如果您要訪問Internet的情況，還是要通過intranet來進(jìn)行中轉(zhuǎn)，這無疑造成了帶寬的浪費(fèi)，同時(shí)用戶訪問Inte

2、rnet的體驗(yàn)也有所下降；3）VPN需要連接特定的端口，如PPTP 的1723端口等，而這些端口在很多有防火墻或者使用代理上網(wǎng)的場(chǎng)合并沒有開啟，當(dāng)然VPN連接也就不能正常建立了；4）只有當(dāng)用戶啟用VPN連接后IT管理員才可以訪問到用戶的機(jī)器，這使得哪些未連接的計(jì)算機(jī)不在IT管理員的可控范圍之內(nèi)。針對(duì)上述局限性，該文研究微軟新推出的下一代遠(yuǎn)程訪問技術(shù)DirectAccess【3】，并將其應(yīng)用于解決某學(xué)校分校區(qū)財(cái)務(wù)終端安全接入主校區(qū)財(cái)務(wù)子網(wǎng)的問題。1 DirectAccess的工作原理DirectAccess【3】是Windows Server 2008 R2和Windows 7中的一項(xiàng)新功能，它

3、利用先進(jìn)的IPv6和IPSec技術(shù)在遠(yuǎn)程客戶端和企業(yè)內(nèi)網(wǎng)之間自動(dòng)建立一條跨越Internet的雙向連接。實(shí)際上，DirectAccess在工作時(shí)需要先后創(chuàng)建兩條使用Triple Data Encryption Standard （3DES）或 the Advanced Encryption Standard （AES）進(jìn)行加密的IPSec ESP隧道在IPv4網(wǎng)絡(luò)上傳輸IPv6數(shù)據(jù)包，其中第一階段創(chuàng)建的隧道使用IPSec進(jìn)行計(jì)算機(jī)驗(yàn)證，驗(yàn)證通過之后允許客戶端計(jì)算機(jī)訪問內(nèi)網(wǎng)DNS及域控制器，從而下載特定的組策略和申請(qǐng)用戶證書，這時(shí)可允許IT管理員在用戶登錄之前就可以對(duì)遠(yuǎn)程客戶端計(jì)算機(jī)進(jìn)行管理；第

4、二階段創(chuàng)建的隧道使用計(jì)算機(jī)驗(yàn)證和用戶認(rèn)證，驗(yàn)證通過之后客戶端計(jì)算機(jī)就可以訪問內(nèi)網(wǎng)的資源。第二階段從安全角度來看有兩種保護(hù)模式：點(diǎn)到點(diǎn)的訪問：用戶建立的IPSec隧道經(jīng)DirectAccess服務(wù)器延伸到所要訪問的應(yīng)用服務(wù)器。這種模式通過在DirectAccess服務(wù)器上配置訪問規(guī)則可以實(shí)現(xiàn)最高級(jí)別的安全，但是這種模式需要應(yīng)用服務(wù)器版本必須是Windows Server 2008或2008 R2，而且這些服務(wù)器需要同時(shí)支持IPv6和IPSec協(xié)議。點(diǎn)到邊緣的訪問：用戶建立的隧道終點(diǎn)就在DirectAccess服務(wù)器，然后DirectAccess服務(wù)器把來自用戶的請(qǐng)求以明文方式向內(nèi)網(wǎng)所要訪問的服務(wù)

5、器轉(zhuǎn)發(fā)。這種模式對(duì)內(nèi)網(wǎng)服務(wù)器要求不高，但安全性也相對(duì)較低。2 DirectAccess所使用的部分關(guān)鍵技術(shù)2.1 ESP隧道模式IPSec協(xié)議【4】在應(yīng)用時(shí)共有四種可能的組合：ESP傳輸模式、ESP隧道模式、AH傳輸模式和AH隧道模式。DirectAccess采用的是IPSec的ESP隧道模式進(jìn)行數(shù)據(jù)的加密和認(rèn)證。在隧道模式下，ESP頭被插在原始IP頭之前，并且生成一個(gè)新的IP頭將其插在ESP頭之前，其中原始IP頭中包括真正的源地址和最終的目的地址，新的IP頭則分別包含隧道兩端的地址。ESP隧道模式下的認(rèn)證和保密范圍有所不同，加密范圍僅涉及整個(gè)原始IP數(shù)據(jù)包，認(rèn)證范圍則涉及整個(gè)原始IP數(shù)據(jù)包及

6、ESP報(bào)頭，但不包括新的IP報(bào)頭。2.2 Windows PKI（Public Key Infrastructure）PKI利用數(shù)字證書標(biāo)識(shí)密鑰持有人的身份，通過對(duì)密鑰的規(guī)范化管理，為組織機(jī)構(gòu)建立和維護(hù)一個(gè)可信賴的系統(tǒng)環(huán)境，透明地為應(yīng)用系統(tǒng)提供身份認(rèn)證、數(shù)據(jù)保密性和完整性、抗抵賴等各種必要的安全保障，滿足各種應(yīng)用系統(tǒng)的安全需求。DirectAccess采用windows PKI這一通用性安全基礎(chǔ)設(shè)施來提供公鑰加密和數(shù)字簽名服務(wù)。Windows PKI建立在微軟久經(jīng)考驗(yàn)的PKI組件基礎(chǔ)之上，其基本組件主要有：證書服務(wù)作為一項(xiàng)核心的操作系統(tǒng)級(jí)服務(wù)，允許組織或企業(yè)建立自己的CA系統(tǒng)，并發(fā)布和管理數(shù)字

7、證書，從而通過用戶公鑰和其他屬性的綁定關(guān)系來提供對(duì)用戶身份的證明；活動(dòng)目錄作為一項(xiàng)核心的操作系統(tǒng)級(jí)服務(wù)，提供了查找網(wǎng)絡(luò)資源的唯一位置，在PKI中為證書和CRL等信息提供發(fā)布服務(wù)。2.3 名稱解析策略表（NRPT）一般情況下，整個(gè) DNS 命名空間的所有DNS名稱查詢都將轉(zhuǎn)到通過網(wǎng)絡(luò)接口配置的 DNS 服務(wù)器，但是在某些場(chǎng)合下卻需要對(duì) DNS 命名空間特定部分的名稱查詢進(jìn)行特殊處理。為了滿足這個(gè)需求，微軟提供了名稱解析策略表 （NRPT），其工作流程是：在執(zhí)行 DNS 名稱解析時(shí)，DNS 客戶端服務(wù)先將請(qǐng)求的名稱與 NRPT 中由管理員預(yù)先設(shè)定的每個(gè)規(guī)則進(jìn)行比較。如果查詢和響應(yīng)與 NRPT 規(guī)則

8、匹配，將應(yīng)用指定的特殊處理。否則，將對(duì)查詢和響應(yīng)進(jìn)行常規(guī)處理，即 DNS 客戶端服務(wù)將名稱查詢發(fā)送到接口配置的 DNS 服務(wù)器。在DirectAccess部署中，DirectAccess 客戶端必須實(shí)現(xiàn) NRPT而不是按網(wǎng)絡(luò)接口來使用DNS 服務(wù)器，這為分流internet和intranat流量提供了前提。2.4 ipv6隧道技術(shù)。當(dāng)客戶端計(jì)算機(jī)與DirectAccess服務(wù)器之間無法使用IPv6進(jìn)行通信時(shí)，它們將先后嘗試使用如下隧道技術(shù)在IPv4網(wǎng)絡(luò)上進(jìn)行通信。ISATAP （ Intra-Site Automatic Tunnel Addressing Protocol，站間自動(dòng)隧道尋址協(xié)

9、議）是一種地址分配和主機(jī)到主機(jī)、主機(jī)到路由器和路由器到主機(jī)的自動(dòng)隧道技術(shù)，一般用于為IPv4/IPv6雙棧主機(jī)之間提供了跨越IPv4內(nèi)部網(wǎng)絡(luò)的IPv6單播通信。其工作原理是雙棧主機(jī)在與其他主機(jī)或http：/ ISATAP來實(shí)現(xiàn)其自身的鄰居發(fā)現(xiàn)。6to4是一種地址分配和路由器到路由器的自動(dòng)隧道技術(shù)，它采用特殊的6to4地址（前綴格式為2002：a.b.c.d/48，其中a.b.c.d是接口的IPv4地址）使得IPv4海洋中的IPv6孤島（站點(diǎn)或主機(jī)）能相互連接。典型的應(yīng)用模式是：子網(wǎng)中有一臺(tái)使用公開IPv4地址的設(shè)備作為6to4路由器（既有6to4地址又有IPv4地址）與IPv4網(wǎng)絡(luò)相連，這時(shí)子

10、網(wǎng)中的主機(jī)就可以使用6to4地址通過該網(wǎng)關(guān)與其他類似的6to4子網(wǎng)通信或與6to4中繼路由器（既擁有6to4地址又擁有IPv6單播地址）通信進(jìn)而接入純IPv6子網(wǎng)。在DirectAccess部署中，當(dāng)DirectAccess 客戶端位于IPv4 Internet之上且接口擁有一個(gè)公用 IPv4 地址時(shí)，DirectAccess 客戶端將嘗試使用 6to4 封裝發(fā)送到 DirectAccess 服務(wù)器的 IPv6 流量，此時(shí)DirectAccess 服務(wù)器位于 IPv4 Internet之上，擁有6to4地址，扮演了6to4路由器的角色。注意：這時(shí)在 IPv4 Internet 上，Direct

11、Access 客戶端和服務(wù)器之間必須存在一個(gè)允許 IPv4 協(xié)議 41 流量的路由路徑。Teredo（又稱為面向 IPv6 的 IPv4 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換穿越）是一種地址分配和主機(jī)到主機(jī)之間的自動(dòng)隧道，用于當(dāng) IPv6 / IPv4 主機(jī)位于一個(gè)或多個(gè) IPv4 NAT 之后時(shí)，將IPv6單播數(shù)據(jù)包封裝在IPv4用戶數(shù)據(jù)包協(xié)議（UDP）消息中進(jìn)行傳輸。Teredo 使用特殊的地址，其格式如下：32位的Teredo 前綴（3FFE：831F：/32），32位的Teredo 服務(wù)器 IPv4 地址，16位的Teredo 標(biāo)志，16位與該 Teredo 客戶端所有 Teredo 通信相對(duì)應(yīng)的外部

12、 UDP 端口的隱藏模式（外部端口與 0xFFFF 進(jìn)行邏輯異或運(yùn)算），32 位與Teredo 客戶端所有 Teredo 通信相對(duì)應(yīng)的外部 IPv4 地址的模糊形式（外部地址通過與0xFFFFFFFF 進(jìn)行異或運(yùn)算）。在DirectAccess部署中，DirectAccess服務(wù)器是Teredo服務(wù)器，它使用UDP 3544端口偵聽Teredo通信，幫助 Teredo客戶端進(jìn)行地址配置，協(xié)助在Teredo客戶端（遠(yuǎn)程客戶端及內(nèi)網(wǎng)資源主機(jī)）之間建立通信連接。作為實(shí)現(xiàn) IPv6 連接的最后一種轉(zhuǎn)換技術(shù)，Teredo由于封裝UDP和維持用于建立或維持一個(gè) NAT 映射的Teredo氣泡，所以性能會(huì)受

13、很大的影響。IP-HTTPS【5】是一種隧道技術(shù)，只不過它是在DirectAccess客戶端無法使用其它ipv6連接方法穿越web代理服務(wù)器、防火墻或NAT等設(shè)備連接到DirectAccess服務(wù)器，或者人為強(qiáng)制時(shí)自動(dòng)啟用，將IPv6數(shù)據(jù)包封裝到HTTPs或HTTP協(xié)議中進(jìn)行傳輸?shù)臋C(jī)制。在DirectAccess部署中，DirectAccess服務(wù)器通過配置URI（通用資源標(biāo)志符）扮演IP-HTTPS服務(wù)器監(jiān)聽在443端口等待客戶端的https連接，并在成功建立連接后封裝與解壓客戶端與內(nèi)網(wǎng)資源主機(jī)之間的通信。IP-HTTPS作為一種替代的隧道技術(shù)，要將傳輸層的協(xié)議SSL及其之上的HTTP封裝到

14、IPSec負(fù)載中，顯然花銷比較大，傳輸性能會(huì)受到很大的影響。3 一個(gè)實(shí)際的案例某大學(xué)有一個(gè)主校區(qū)和兩個(gè)分校區(qū)，且財(cái)務(wù)部門已經(jīng)在主校區(qū)中搭建了一個(gè)獨(dú)立的財(cái)務(wù)子網(wǎng)并在其中部署了若干臺(tái)基于windows2003系統(tǒng)的財(cái)務(wù)應(yīng)用服務(wù)器。現(xiàn)為了避免師生員工往返多個(gè)校區(qū)報(bào)賬，節(jié)約交通經(jīng)費(fèi)和提高工作效率，財(cái)務(wù)部門在相對(duì)開放的校園網(wǎng)環(huán)境上搭建了如圖1所示財(cái)務(wù)辦公專網(wǎng)，以將財(cái)務(wù)子網(wǎng)安全地延伸至各個(gè)分校區(qū)。圖1在搭建這個(gè)跨校區(qū)財(cái)務(wù)辦公網(wǎng)時(shí)，考慮了如下幾點(diǎn)要素：1）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變不能影響現(xiàn)有財(cái)務(wù)業(yè)務(wù)的正常運(yùn)行以及員工的操作習(xí)慣。2）建設(shè)成本不要太高，相對(duì)于購(gòu)置專業(yè)的VPN設(shè)備，本解決方案僅僅需要在主校區(qū)增加兩臺(tái)P

15、C，一臺(tái)windows 2008 R2（命名為計(jì)算機(jī)A）用于部署DC、AD、根AC及DNS等，另一臺(tái)裝有兩個(gè)網(wǎng)卡的windows 2008 R2（命名為計(jì)算機(jī)B）用于部署DirectAccess服務(wù)器；分校區(qū)的財(cái)務(wù)辦公計(jì)算機(jī)需全部換裝windows 7旗艦版；3）最后是安全性要求：主校區(qū)DirectAccess服務(wù)器兩個(gè)網(wǎng)卡之間是不設(shè)置IPv4路由，分校區(qū)與主校區(qū)的財(cái)務(wù)數(shù)據(jù)僅能夠通過DirectAccess這個(gè)安全通道來傳輸，這相當(dāng)于在物理上隔離了校園網(wǎng)和財(cái)務(wù)子網(wǎng)；分校區(qū)的財(cái)務(wù)子網(wǎng)均通過NAT設(shè)備（允許6to4通過）接入校園網(wǎng)，這也在某種程度上對(duì)校園網(wǎng)上其它計(jì)算機(jī)隱藏了財(cái)務(wù)子網(wǎng)中的網(wǎng)絡(luò)信息；基

16、于內(nèi)網(wǎng)情況下，使用人員均為財(cái)務(wù)部門的工作人員，網(wǎng)絡(luò)安全可以得到有效的控制，因此采用點(diǎn)到邊緣的訪問模式來部署DirectAccess，這樣對(duì)主校區(qū)財(cái)務(wù)子網(wǎng)的影響不大，一定程度上實(shí)現(xiàn)了平滑過渡。對(duì)應(yīng)計(jì)算機(jī)A，其上所安裝DC、AD、根root及DNS的步驟限于文章篇幅就不再贅述了，下面僅介紹與DirectAccess設(shè)置相關(guān)的步驟【6】。1）在安裝DNS服務(wù)為整個(gè)財(cái)務(wù)子網(wǎng)提供域名解析時(shí)，需要運(yùn)行命令行命令 dnscmd /config /globalqueryblocklist wpad來允許DNS解析ISATAP。2）創(chuàng)建一個(gè)安全組da_clients，并在其成員中添加分校區(qū)財(cái)務(wù)子網(wǎng)中的客戶端計(jì)算

17、機(jī)和用戶名。3）配置一個(gè)web server證書模板，允許授權(quán)用戶即前面所創(chuàng)建的安全組注冊(cè)。4）創(chuàng)建組策略，其中設(shè)置防火墻規(guī)則運(yùn)行icmpv6流量進(jìn)出。5）指定CRL（證書回收列表）發(fā)布位置。該發(fā)布位置其實(shí)是一個(gè)網(wǎng)站，其所對(duì)應(yīng)的IP地址為計(jì)算機(jī)B的外網(wǎng)網(wǎng)卡地址，域名需在Internet DNS上進(jìn)行注冊(cè)，這樣當(dāng)遠(yuǎn)程客戶端計(jì)算機(jī)在外網(wǎng)上時(shí)也能訪問得到。對(duì)應(yīng)計(jì)算機(jī)B，與DirectAccess設(shè)置相關(guān)的步驟如下：1）在兩個(gè)網(wǎng)卡上設(shè)置好對(duì)應(yīng)的IP地址及DNS后綴（這很重要），然后以管理員身份加入域后才開始進(jìn)行后面的的配置。2）安裝IIS服務(wù)，并在其上創(chuàng)建證書回收列表網(wǎng)站。網(wǎng)站虛擬目錄所對(duì)應(yīng)的文件夾要

18、設(shè)置為允許計(jì)算機(jī)A讀寫。3）這時(shí)，在計(jì)算機(jī)A上通過證書頒發(fā)機(jī)構(gòu);來發(fā)布證書，然后在本機(jī)上通過控制臺(tái)的證書管理單元來安裝計(jì)算機(jī)A發(fā)布出來的證書。4）根據(jù)向?qū)О惭bDirectAccess服務(wù)。需要四步：第一步設(shè)置DirectAccess客戶端，這里要選擇之前創(chuàng)建的安全組；第二步設(shè)置連接性，這里要分別指定內(nèi)外網(wǎng)所對(duì)應(yīng)的網(wǎng)卡，以及之前安裝的證書；第三步指定網(wǎng)絡(luò)位置服務(wù)器，這里選擇網(wǎng)絡(luò)位置服務(wù)器在DirectAccess服務(wù)器上運(yùn)行，以及dns的IPv6地址（由IPv4地址褪色出來），第四步、第五步，指定缺省值即可。對(duì)應(yīng)所有的客戶端計(jì)算機(jī)，只需要在主校區(qū)財(cái)務(wù)子網(wǎng)中應(yīng)用組策略后就可以在各分校區(qū)財(cái)務(wù)子網(wǎng)中像在主校區(qū)一樣正常的工作了。4 結(jié)束語(yǔ)DirectAccess是IPv6的