微软远程安全访问控制

点评：远程访问一直是一个热门话题，人们需要能够访问信息从任何设备在任何时间和任何地方。在过去的特定设备或特定位置访问网络时代的使用，特别是在企业中，人们希望在任何时间获得商业信息，有可能实现企业信息使用笔记本电脑，台式机，智能手机或MP3播放器。

微型的

远程访问一直是一个热门话题，人们需要能够访问信息从任何设备在任何时间和任何地方。在过去的特定设备或特定位置访问网络时代的使用，特别是在企业中，人们希望在任何时间获得商业信息，有可能实现企业信息使用笔记本电脑，台式机，智能手机或MP3播放器。

微软公司正在努力确保用户可以随时随地使用各种技术进行安全的远程访问。任何简单的NAT设备或路由器都可以让用户远程访问企业应用程序和设备。

下面是几个重要的微软技术，可以帮助用户实现对企业资源的安全远程访问：

Windows Server 2008 NPS路由和远程访问VPN服务

Windows Server 2008终端服务网关

微软ISA 2006和Forefront威胁管理网关（TMG，威胁管理网关）

智能应用网关2007和统一访问网关（UAG、统一访问网关）

Windows Server 2008 NPS远程访问VPN服务

Windows服务器和VPN服务器组件从Windows NT，这样用户可以使用PPTP（点对点隧道）VPN。目前，大多数安全专家认为，PPTP VPN协议是一种过时的和不应该被用于生产网络，由于该协议的许多安全问题。虽然有的方式来增强PPTP的安全级别（如双登录），PPTP是很少使用。

L2TP和IPSec VPN协议已被引入到Windows 2000 Server，这是Windows的一个重大进展，因为IPSec信道可以在证书转换occurs.l2tp用于创建虚拟网络，保证信息的安全，IPSec是用来创建虚拟网络连接的隐私。L2TP、IPSec的另一个主要优点是，用户和设备认证可以同时进行，因为它是用Windows 2000服务器还允许用户使用更先进的EAP验证方法验证用户身份，所以，证书和智能卡可以用于用户认证。

Windows Server 2008增加了SSTP（安全套接字隧道协议，安全套接字通道协议）在用户的VPN功能。这个协议的最大优势是运行在SSL，任何防火墙或代理服务器可以运行SSL。即使客户是位于防火墙或代理服务器（或代理服务器的防火墙，基于ISA或者TMG防火墙）也可以运行Windows服务器SSTP SSTP 2008是路由和远程访问VPN服务的一部分，它可以同用户认证协议L2TP / ipsec.the唯一缺陷是，SSTP使用配置步骤需要非常严谨，管理将变得非常复杂而严格的顺序执行配置。可以说，SSTP仍然是Windows VPN管理员巨大的工作。

服务器端服务

在Windows Server的几个版本前是在路由和远程访问VPN解决方案补充说，Windows服务器也加入了终端服务组件（终端服务），而Windows NT版本的这个构件的RTM，但为了NT版本的产品也加入了终端服务组件，随后被纳入操作系统时，Windows Server 2000发布。一些改进已经在Windows Server 2003终端服务，和Windows Server 2008给我们的终端服务组件的重要改进。

在Windows Server 2008和即将推出的Windows Server 2008 R2，我们将看到在终端服务产品的一个重大的改进。在基本终端服务器终端服务可以让用户通过RDP协议连接到终端服务器。事实上，RDP协议已经有了很大的提高，但它不是一个完善的RDP协议，使Windows Server 2008终端服务产品很有吸引力的。主要的改进功能包括：

终端服务Web访问（网络访问）

终端服务网关（网关）

终端服务RemoteApp（远程应用程序）

虽然服务器的早期版本的Windows终端服务Web和Windows访问功能，服务器2008功能明显增强，因为新功能，2008版的网站添加了另外几个终端服务，通过基于政策的通过终端服务Web访问计算机和应用程序的访问规则控制。

终端服务网关（TSG终端服务网关）可以在世界上任何地方，使终端服务基于政策的访问，主要在于过去的远程终端服务的访问，访问许多不能允许默认RDP端口（TCP 3389）外部访问。由于代理服务器通常处理HTTP协议，当客户位于Web代理服务器，终端服务客户不能通过network.tsg允许终端服务客户建立与RDP的RPC通道解决问题到终端服务，然后建立在HTTP通道，并受SSL。因此，只有TSG外部SSL连接可以被允许。当一个客户连接到TSG，访问策略规则以允许客户控制终端服务器或应用程序，用户可以连接到。

在新的Windows Server 2008终端服务器，我们可以选择发布终端服务器和/或应用。终端服务RemoteApp允许你通过终端服务发布应用程序。因此，如果你想让你的用户访问Word或PPT，你可以发布这些应用程序通过终端服务网关，以便用户可以只能访问这些应用程序，而不是整个桌面。这是安全的一大进步，因为最小权限原则的使用，用户只能访问他们想要的内容，而不是其他不必要的东西。这种访问是通过TSG和TSG能使这些应用程序的存取政策。

互联网安全与加速服务器2006和Forefront威胁管理网关（TMG）

在服务器前的讨论，包括Windows服务平台，现在让我们看看其他的网络安全应用的安全远程访问由微软公司提供，微软首先介绍了网络安全设备是上世纪90年代的后半段，他们发布的代理服务器产品，同时也诞生了第一个成熟的产品，代理Server 2，虽然2是一个很好的代理服务器，代理服务器，但不安全的远程访问的网络安全设备的设计。

微软公司发布的2000年底，微软互联网安全和加速服务器（ISA）2000是确保安全的远程访问的先锋产品的网络边界安全设备，该产品是一种多功能的设备，能够安全的站的访问，为Web发布的安全服务和安全。此外，ISA 2000支持远程访问VPN用户和站点的VPN。最重要的是，ISA2000被设计为一个边缘网络防火墙，让用户不再需要一个基于路由器的防火墙（第三级防火墙）在ISA2000防火墙前。

然后，在ISA2000防火墙是建立在威胁的方式，并威胁模式现在已不存在。也就是说，在上个世纪的任何流行的威胁模式，防火墙外的任何事是难以置信的，和里面的防火墙都是值得信赖的。ISA防火墙的新一代，isa2004防火墙设计没有网络是可信的，通过ISA防火墙的所有连接需要检查状态数据包和应用层。

在isa2004，远程接入的安全性明显提高。网络出版（与Web代理服务器），HTTP安全过滤主要是用来保护网站的攻击，和许多应用程序添加到保护攻击SMTP、DNS和其他应用服务器。最重要的是，远程访问VPN服务器组件和站现在可以让用户创建强大的用户或组的访问控制和采取同样的检查数据包的应用层通过ISA防火墙的所有连接。

isa2004被认为是第一个边界防火墙可以通过微软公司防火墙产品的企业使用，就像检查点，ASA和NetScreen。

两年后，ISA2006发布，其中包含所有2004isa防火墙远程访问安全功能，还包括远程访问安全功能的几个改进的功能。

支持Kerberos约束委派（KCD）让用户可以发布网站要求用户使用双条件证书验证他们的防火墙。

它的改进基于表单验证功能，用户可以在访问网站前使用更灵活的形式来验证防火墙。

扩展对一些新的双因素验证方法的支持，如RADIUS一次性密码验证。

发布站点的LDAP服务器验证，以便当防火墙不是域成员时，可以使用ActiveDirectory存储区。

Web场负载平衡使ISA2006管理员避免昂贵的外部硬件负载平衡器和后大量的Web服务器在ISA防火墙。

ISA2006也可以配置为启用安全的远程访问所有的Windows Server 2008终端服务功能，允许远程访问服务的另一层保护。

Forefront威胁管理网关（TMG，威胁管理网关）是一种新的ISA防火墙的版本，以前的版本的TMG保护墙的安全远程访问技术，但对外访问的安全性，还加入了恶意软件防护和独特的强大的入侵检测功能。此外，TMG可以使网页内容过滤，这是一个长期的预期功能的ISA防火墙管理员。

智能应用网关2007和UAG

智能应用网关2007（IAG 2007）主要是针对公司的产品，在安全水平的最高水平，帮助企业实现远程访问连接，与ISA或IAG 2007 SSL VPN网关TMG防火墙相比，单一用途的设备：提供网络设备入站远程访问连接gateway.isa和TMG防火墙可以提供网络访问的安全性与同级别或更高级别的市场上的防火墙。iag2007可以提供Web和非Web服务的入站连接的安全级别最高的。

IAG包括一些软件模块，称为应用程序优化，可用于远程访问Web服务提供了非常高的安全保护。应用优化可以使IAG为其发布的Web服务进行深入的应用层检查。IAG的深入应用层检查正负逻辑滤波，和正逻辑滤波使IAG允许可靠的通信到发布的Web服务，而反向过滤可以防止不受信任的连接。

IAG 2007 SSL VPN可以支持以下四个连接：

反向Web代理服务，组织可以作为一个高安全性的反向Web代理部署到Web服务的远程连接智能应用。

端口转发器是要求简单协议（使用单个端口）的非Web应用程序的远程访问。IAG端口转发器允许客户使用转发器通过SSL VPN通道连接到网络中的应用。

应答器（Socket代理）-插座，为原发性或继发性连接的需要（如Outlook MAPI或RPC）的复杂的应用程序的远程访问，远程访问客户端可以使用IAG套接字转发器，保护所有通过socket通信协议SSL的转发器。

网络连接器，网络连接器允许通过SSL VPN访问完整的网络层VPN访问，这对于需要远程控制网络的管理员非常有用。

此外，SSL VPN网关，IAG PPTP、L2TP和IPSec 2007还允许远程访问VPN客户端访问，它允许你使用IAG 2007为中心的远程访问网关，不需要几个远程访问设备或各种设备、网络连接管理和检查分离的工作。

IAG的新版本被称为UAG（统一接入网关，统一接入网关）。它将继续提升IAG的应用层安全，并会增加更多的安全远程访问功能。最有趣的功能是，它可以支持微软最新的直接访问远程连接功能，让用户在世界任何地方完全连接到企业网络，包括域连接。

使用直接访问的主要障碍是，它取决于IPv6，但IPv6的优点很多，但大多数网络架构不另外IPv6，IPv6的支持，一般不被大家所接受，所以其部署在网络的一个非常危险的事情是，因为大多数的通信网络管理员将不能够理解IPv6的产生。

为了缓解这一问题，连通性和安全性通过NAT-PT的部署造成的直接接入和IPv6 UAG挑战（网络地址翻译ndash；协议翻译），它可以让本地通信IPv6主机和应用程序的本地IPv4主机和应用，反之亦然。这一功能可以更简单和更安全的部署直接接入解决方案即将推出的Windows 7和Windows Server2008 R2网络。

总结

本文讨论了现有微软网络中的安全远程访问功能。在Windows NT的早期版本已有的功能，有些功能只能用于部署Windows 7和Windows Server 2008 R2后，这些功能都有自己的优点和缺点，并提供不同的安全级别，不同类型的远程访问。希望看完这篇文章后，你可以更好的理解远程访问功能，可以根据自己的需要选择合适的远程访问设备。