微軟強化Win 2003系統(tǒng)中的VPN功能
盡管早在發(fā)布Windows 98時代微軟就在PC平臺上免費內(nèi)置了VPN技術(shù),但包括Check Point、思科、NetScreen、諾基亞、北電在內(nèi)的其它廠商在VPN工具的銷售方面都超過了微軟公司。Windows Server 2003中的升級利用了微軟的客戶端和服務(wù)器端中VPN的功能,特別是,如果與之相連接的PC沒有正確地配置防火墻和反病毒軟件,新軟件引進了“拒絕訪問VPN”等功能。另外,新軟件還擴展了VPN數(shù)據(jù)流量通過防火墻的能力,使實現(xiàn)功能更強大的認證方法成為可能。
由于許多廠商已經(jīng)支持這些功能,但微軟軟件的普及程度是其它廠商所不具備的優(yōu)勢。Windows NT、2000和2003都能夠用作終止VPN對話的VPN網(wǎng)關(guān),Windows 98、ME、2000專業(yè)版和XP專業(yè)版則提供了客戶端支持。思科、Enterasys、北電、NetScreen等公司的VPN網(wǎng)關(guān)產(chǎn)品也支持微軟公司的VPN終端,Check Point也表示會很快提供類似的VPN網(wǎng)關(guān)。
對于服務(wù)器既充當內(nèi)部服務(wù)器又充當WAN網(wǎng)關(guān)的小公司而言,微軟的VPN服務(wù)器軟件能夠節(jié)約開支。它對于在遠程辦公室使用Windows 2000、擁有良好的微軟產(chǎn)品經(jīng)驗和很好的活動目錄實現(xiàn)的小企業(yè)有很大的吸引力。
分析人士指出,Windows Server平臺中的VPN功能非常有吸引力,但功能不夠多。例如,完成網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的使VPN數(shù)據(jù)流量穿過防火墻的功能是大多數(shù)VPN專用服務(wù)器和客戶端中常見的功能,但微軟目前還正在開發(fā)這一功能。微軟公司負責VPN產(chǎn)品的技術(shù)經(jīng)理邁克說,公司已經(jīng)聘請SafeNet公司開發(fā)Windows 98、2000和ME的升級版VPN軟件,并在自己開發(fā)Windows 2000和Windows XP的NAT升級軟件。
盡管NAT是設(shè)立VPN的關(guān)健,用戶需要尋求更安全的的方式保證遠程用戶登錄到VPN上的安全。在Windows Server 2003中,微軟可以更方便地使用PKI,使系統(tǒng)很難被攻破。
用戶可以使用一對兒公鑰和私鑰而不是一套密鑰加密和解密數(shù)據(jù)流量,要使這一過程比較安全,使用的計算機必須獲得授權(quán)。Windows Server 2003增添了一個向計算機頒發(fā)證書的證書機構(gòu),使它們在被允許訪問VPN之前,身份獲得認證。
VPN廠商Intermate公司的支持工程師說,擁有自己的證書機構(gòu)是對微軟公司服務(wù)器現(xiàn)在用來支持證書的方法的改進。如果要使用證書,用戶必須安裝一臺Windows 2000證書服務(wù)器,這將使網(wǎng)絡(luò)更復雜。
Windows Server 2003支持更多的對計算機和用戶進行認證的方法。通過添加對“可擴展認證協(xié)議”(EAP)的支持,Windows Server 2003使用戶使用象智能卡這樣的方法。這種二要素的認證被認為比簡單地使用用戶名和口令要安全得多。EAP是一種允許討論使用何種認證機制的框架。
Quarantine是Windows Server 2003中添加的另一種在用戶允許訪問之前保護VPN的安全措施。如果配置不正確,Quarantine就會拒絕遠程計算機的VPN訪問,因此如果計算機上安裝的反病毒軟件沒有升級或防火墻軟件沒有打開,服務(wù)器將拒絕VPN對話,用戶將得到對計算機升級的提示,或者被自動地轉(zhuǎn)到一個能夠下載所需要的升級軟件包的網(wǎng)站上。
Quarantine的建立需要使用Windows Server 2003中名為連接管理者管理工具包(CMAK)的部署向?qū)В珻MAK要求VPN服務(wù)器的IP地址、連接的名字、使用的認證類型以及其它一些參數(shù),它創(chuàng)建一個名為connectoid的可執(zhí)行文件,該文件通過互聯(lián)網(wǎng)、軟盤或微軟公司的系統(tǒng)管理服務(wù)器傳輸給遠程計算機,connectoid是一個自安裝文件,與Windows 98及其以后的VPN客戶端兼容。
微軟的VPN架構(gòu)與以“IP安全”(IPSec)為核心技術(shù)的廠商不同,微軟公司只使用了標準的技術(shù)。微軟公司的軟件支持PPTP、IPSec、L2TP/IPSec,每種協(xié)議都有不同的用途。PPTP適用于希望方便快捷地建立遠程訪問的小組織;L2TP/IPSec是一種更安全的創(chuàng)建遠程訪問VPN的方法;L2TP提供了一種認證用戶的標準方法,IPSec隧道則用于傳輸加密的數(shù)據(jù)流量。
Windows Server 2003還有許多與VPN相關(guān)的其它功能:它以XML格式存儲VPN日志,能夠更方便地以不同的方式對數(shù)據(jù)進行格式化和分類;它添加了被稱為“互聯(lián)網(wǎng)認證服務(wù)”(IAS)的“遠程認證撥號用戶服務(wù)服務(wù)器”的功能群集,IAS可以安裝在單獨的硬件平臺上,即使一臺計算機崩潰,VPN的認證機制不會崩潰。它集成了IAS、遠程訪問服務(wù)器和活動目錄等功能中的技術(shù),使得系統(tǒng)允許“來賓”VPN用戶訪問有限的網(wǎng)絡(luò),為商業(yè)合作伙伴建立臨時的服務(wù)。
微軟還計劃在其手持機客戶端中添加第二種類型的VPN,目前的客戶端只支持PPTP VPN客戶端,但新版軟件將在Pocket PC平臺上添加L2TP/IPSec支持。
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動項
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機IP講解
- CentOS7使用hostapd實現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯
- 解決Centos7雙系統(tǒng)后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認iptable規(guī)則詳解