|
|
|
當(dāng)本月發(fā)布Windows Server 2003時(shí),微軟將彌補(bǔ)其中內(nèi)置的VPN技術(shù)的一些不足之處,使得該軟件對(duì)于希望節(jié)約開(kāi)支的通過(guò)互聯(lián)網(wǎng)連接遠(yuǎn)程站點(diǎn)的用戶更有吸引力。
盡管早在發(fā)布Windows 98時(shí)代微軟就在PC平臺(tái)上免費(fèi)內(nèi)置了VPN技術(shù),但包括Check Point、思科、NetScreen、諾基亞、北電在內(nèi)的其它廠商在VPN工具的銷售方面都超過(guò)了微軟公司。Windows Server 2003中的升級(jí)利用了微軟的客戶端和服務(wù)器端中VPN的功能,特別是,如果與之相連接的PC沒(méi)有正確地配置防火墻和反病毒軟件,新軟件引進(jìn)了“拒絕訪問(wèn) VPN”等功能。另外,新軟件還擴(kuò)展了VPN數(shù)據(jù)流量通過(guò)防火墻的能力,使實(shí)現(xiàn)功能更強(qiáng)大的認(rèn)證方法成為可能。
由于許多廠商已經(jīng)支持這些功能,但微軟軟件的普及程度是其它廠商所不具備的優(yōu)勢(shì)。Windows NT、2000和2003都能夠用作終止VPN對(duì)話的VPN網(wǎng)關(guān),Windows 98、ME、2000專業(yè)版和XP專業(yè)版則提供了客戶端支持。思科、Enterasys、北電、NetScreen等公司的VPN網(wǎng)關(guān)產(chǎn)品也支持微軟公司 的VPN終端,Check Point也表示會(huì)很快提供類似的VPN網(wǎng)關(guān)。
對(duì)于服務(wù)器既充當(dāng)內(nèi)部服務(wù)器又充當(dāng)WAN網(wǎng)關(guān)的小公司而言,微軟的VPN服務(wù)器軟件能夠節(jié)約開(kāi)支。它對(duì)于在遠(yuǎn)程辦公室使用Windows 2000、擁有良好的微軟產(chǎn)品經(jīng)驗(yàn)和很好的活動(dòng)目錄實(shí)現(xiàn)的小企業(yè)有很大的吸引力。
分析人士指出,Windows Server平臺(tái)中的VPN功能非常有吸引力,但功能不夠多。例如,完成網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的使VPN數(shù)據(jù)流量穿過(guò)防火墻的功能是大多數(shù)VPN專用服 務(wù)器和客戶端中常見(jiàn)的功能,但微軟目前還正在開(kāi)發(fā)這一功能。微軟公司負(fù)責(zé)VPN產(chǎn)品的技術(shù)經(jīng)理邁克說(shuō),公司已經(jīng)聘請(qǐng)SafeNet公司開(kāi)發(fā)Windows 98、2000和ME的升級(jí)版VPN軟件,并在自己開(kāi)發(fā)Windows 2000和Windows XP的NAT升級(jí)軟件。
盡管NAT是設(shè)立VPN的關(guān)健,用戶需要尋求更安全的的方式保證遠(yuǎn)程用戶登錄到VPN上的安全。在Windows Server 2003中,微軟可以更方便地使用PKI,使系統(tǒng)很難被攻破。
用戶可以使用一對(duì)兒公鑰和私鑰而不是一套密鑰加密和解密數(shù)據(jù)流量,要使這一過(guò)程比較安全,使用的計(jì)算機(jī)必須獲得授權(quán)。Windows Server 2003增添了一個(gè)向計(jì)算機(jī)頒發(fā)證書(shū)的證書(shū)機(jī)構(gòu),使它們?cè)诒辉试S訪問(wèn)VPN之前,身份獲得認(rèn)證。
VPN廠商Intermate公司的支持工程師說(shuō),擁有自己的證書(shū)機(jī)構(gòu)是對(duì)微軟公司服務(wù)器現(xiàn)在用來(lái)支持證書(shū)的方法的改進(jìn)。如果要使用證書(shū),用戶必須安裝一臺(tái)Windows 2000證書(shū)服務(wù)器,這將使網(wǎng)絡(luò)更復(fù)雜。
Windows Server 2003支持更多的對(duì)計(jì)算機(jī)和用戶進(jìn)行認(rèn)證的方法。通過(guò)添加對(duì)“可擴(kuò)展認(rèn)證協(xié)議”(EAP)的支持,Windows Server 2003使用戶使用象智能卡這樣的方法。這種二要素的認(rèn)證被認(rèn)為比簡(jiǎn)單地使用用戶名和口令要安全得多。EAP是一種允許討論使用何種認(rèn)證機(jī)制的框架。
Quarantine是Windows Server 2003中添加的另一種在用戶允許訪問(wèn)之前保護(hù)VPN的安全措施。如果配置不正確,Quarantine就會(huì)拒絕遠(yuǎn)程計(jì)算機(jī)的VPN訪問(wèn),因此如果計(jì)算機(jī) 上安裝的反病毒軟件沒(méi)有升級(jí)或防火墻軟件沒(méi)有打開(kāi),服務(wù)器將拒絕VPN對(duì)話,用戶將得到對(duì)計(jì)算機(jī)升級(jí)的提示,或者被自動(dòng)地轉(zhuǎn)到一個(gè)能夠下載所需要的升級(jí)軟 件包的網(wǎng)站上。
Quarantine的建立需要使用Windows Server 2003中名為連接管理者管理工具包(CMAK)的部署向?qū)В珻MAK要求VPN服務(wù)器的IP地址、連接的名字、使用的認(rèn)證類型以及其它一些參數(shù),它創(chuàng)建 一個(gè)名為connectoid的可執(zhí)行文件,該文件通過(guò)互聯(lián)網(wǎng)、軟盤(pán)或微軟公司的系統(tǒng)管理服務(wù)器傳輸給遠(yuǎn)程計(jì)算機(jī),connectoid是一個(gè)自安裝文 件,與Windows 98及其以后的VPN客戶端兼容。
微軟的VPN架構(gòu)與以“IP安全”(IPSec)為核心技術(shù)的廠商不同,微軟公司只使用了標(biāo)準(zhǔn)的技術(shù)。微軟公司的軟件支持PPTP、 IPSec、L2TP/IPSec,每種協(xié)議都有不同的用途。PPTP適用于希望方便快捷地建立遠(yuǎn)程訪問(wèn)的小組織;L2TP/IPSec是一種更安全的創(chuàng) 建遠(yuǎn)程訪問(wèn)VPN的方法;L2TP提供了一種認(rèn)證用戶的標(biāo)準(zhǔn)方法,IPSec隧道則用于傳輸加密的數(shù)據(jù)流量。
Windows Server 2003還有許多與VPN相關(guān)的其它功能:它以XML格式存儲(chǔ)VPN日志,能夠更方便地以不同的方式對(duì)數(shù)據(jù)進(jìn)行格式化和分類;它添加了被稱為“互聯(lián)網(wǎng)認(rèn)證 服務(wù)”(IAS)的“遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)服務(wù)器”的功能群集,IAS可以安裝在單獨(dú)的硬件平臺(tái)上,即使一臺(tái)計(jì)算機(jī)崩潰,VPN的認(rèn)證機(jī)制不會(huì)崩潰。它集 成了IAS、遠(yuǎn)程訪問(wèn)服務(wù)器和活動(dòng)目錄等功能中的技術(shù),使得系統(tǒng)允許“來(lái)賓”VPN用戶訪問(wèn)有限的網(wǎng)絡(luò),為商業(yè)合作伙伴建立臨時(shí)的服務(wù)。
微軟還計(jì)劃在其手持機(jī)客戶端中添加第二種類型的VPN,目前的客戶端只支持PPTP VPN客戶端,但新版軟件將在Pocket PC平臺(tái)上添加L2TP/IPSec支持。
|
|
發(fā)表留言請(qǐng)先登錄!
|