微软强化Win 2003系统中的VPN功能
尽管早在发布Windows 98时代微软就在PC平台上免费内置了VPN技术,但包括Check Point、思科、NetScreen、诺基亚、北电在内的其它厂商在VPN工具的销售方面都超过了微软公司。Windows Server 2003中的升级利用了微软的客户端和服务器端中VPN的功能,特别是,如果与之相连接的PC没有正确地配置防火墙和反病毒软件,新软件引进了“拒绝访问VPN”等功能。另外,新软件还扩展了VPN数据流量通过防火墙的能力,使实现功能更强大的认证方法成为可能。
由于许多厂商已经支持这些功能,但微软软件的普及程度是其它厂商所不具备的优势。Windows NT、2000和2003都能够用作终止VPN对话的VPN网关,Windows 98、ME、2000专业版和XP专业版则提供了客户端支持。思科、Enterasys、北电、NetScreen等公司的VPN网关产品也支持微软公司的VPN终端,Check Point也表示会很快提供类似的VPN网关。
对于服务器既充当内部服务器又充当WAN网关的小公司而言,微软的VPN服务器软件能够节约开支。它对于在远程办公室使用Windows 2000、拥有良好的微软产品经验和很好的活动目录实现的小企业有很大的吸引力。
分析人士指出,Windows Server平台中的VPN功能非常有吸引力,但功能不够多。例如,完成网络地址转换(NAT)的使VPN数据流量穿过防火墙的功能是大多数VPN专用服务器和客户端中常见的功能,但微软目前还正在开发这一功能。微软公司负责VPN产品的技术经理迈克说,公司已经聘请SafeNet公司开发Windows 98、2000和ME的升级版VPN软件,并在自己开发Windows 2000和Windows XP的NAT升级软件。
尽管NAT是设立VPN的关健,用户需要寻求更安全的的方式保证远程用户登录到VPN上的安全。在Windows Server 2003中,微软可以更方便地使用PKI,使系统很难被攻破。
用户可以使用一对儿公钥和私钥而不是一套密钥加密和解密数据流量,要使这一过程比较安全,使用的计算机必须获得授权。Windows Server 2003增添了一个向计算机颁发证书的证书机构,使它们在被允许访问VPN之前,身份获得认证。
VPN厂商Intermate公司的支持工程师说,拥有自己的证书机构是对微软公司服务器现在用来支持证书的方法的改进。如果要使用证书,用户必须安装一台Windows 2000证书服务器,这将使网络更复杂。
Windows Server 2003支持更多的对计算机和用户进行认证的方法。通过添加对“可扩展认证协议”(EAP)的支持,Windows Server 2003使用户使用象智能卡这样的方法。这种二要素的认证被认为比简单地使用用户名和口令要安全得多。EAP是一种允许讨论使用何种认证机制的框架。
Quarantine是Windows Server 2003中添加的另一种在用户允许访问之前保护VPN的安全措施。如果配置不正确,Quarantine就会拒绝远程计算机的VPN访问,因此如果计算机上安装的反病毒软件没有升级或防火墙软件没有打开,服务器将拒绝VPN对话,用户将得到对计算机升级的提示,或者被自动地转到一个能够下载所需要的升级软件包的网站上。
Quarantine的建立需要使用Windows Server 2003中名为连接管理者管理工具包(CMAK)的部署向导,CMAK要求VPN服务器的IP地址、连接的名字、使用的认证类型以及其它一些参数,它创建一个名为connectoid的可执行文件,该文件通过互联网、软盘或微软公司的系统管理服务器传输给远程计算机,connectoid是一个自安装文件,与Windows 98及其以后的VPN客户端兼容。
微软的VPN架构与以“IP安全”(IPSec)为核心技术的厂商不同,微软公司只使用了标准的技术。微软公司的软件支持PPTP、IPSec、L2TP/IPSec,每种协议都有不同的用途。PPTP适用于希望方便快捷地建立远程访问的小组织;L2TP/IPSec是一种更安全的创建远程访问VPN的方法;L2TP提供了一种认证用户的标准方法,IPSec隧道则用于传输加密的数据流量。
Windows Server 2003还有许多与VPN相关的其它功能:它以XML格式存储VPN日志,能够更方便地以不同的方式对数据进行格式化和分类;它添加了被称为“互联网认证服务”(IAS)的“远程认证拨号用户服务服务器”的功能群集,IAS可以安装在单独的硬件平台上,即使一台计算机崩溃,VPN的认证机制不会崩溃。它集成了IAS、远程访问服务器和活动目录等功能中的技术,使得系统允许“来宾”VPN用户访问有限的网络,为商业合作伙伴建立临时的服务。
微软还计划在其手持机客户端中添加第二种类型的VPN,目前的客户端只支持PPTP VPN客户端,但新版软件将在Pocket PC平台上添加L2TP/IPSec支持。
新文章:
- CentOS7下图形配置网络的方法
- CentOS 7如何添加删除用户
- 如何解决centos7双系统后丢失windows启动项
- CentOS单网卡如何批量添加不同IP段
- CentOS下iconv命令的介绍
- Centos7 SSH密钥登陆及密码密钥双重验证详解
- CentOS 7.1添加删除用户的方法
- CentOS查找/扫描局域网打印机IP讲解
- CentOS7使用hostapd实现无AP模式的详解
- su命令不能切换root的解决方法
- 解决VMware下CentOS7网络重启出错
- 解决Centos7双系统后丢失windows启动项
- CentOS下如何避免文件覆盖
- CentOS7和CentOS6系统有什么不同呢
- Centos 6.6默认iptable规则详解