DirectAccess在多校区财务子网的应用策略研究

1、DirectAccess在多校区财务子网的应用策略研究近年来，多校区办学已逐渐成为高校普遍的运作方式。在这种格局之下，如何解决财务数据等敏感信息跨校区安全共享和交流是学校信息化建设所亟待解决的问题之一。当前，大多数学校通过在校园网上部署技术成本低且具有高安全性、高可靠性等优点的VPN技术【1】【2】来解决这一问题，但是VPN技术存在如下几个方面的局限性：1）用户需要通过输入认证信息、拨号、等待认证等环节来建立安全连接，而这一过程对用户来说并不是透明的；2）在拨通VPN的情况下，如果您要访问Internet的情况，还是要通过intranet来进行中转，这无疑造成了带宽的浪费，同时用户访问Inte

2、rnet的体验也有所下降；3）VPN需要连接特定的端口，如PPTP 的1723端口等，而这些端口在很多有防火墙或者使用代理上网的场合并没有开启，当然VPN连接也就不能正常建立了；4）只有当用户启用VPN连接后IT管理员才可以访问到用户的机器，这使得哪些未连接的计算机不在IT管理员的可控范围之内。针对上述局限性，该文研究微软新推出的下一代远程访问技术DirectAccess【3】，并将其应用于解决某学校分校区财务终端安全接入主校区财务子网的问题。1 DirectAccess的工作原理DirectAccess【3】是Windows Server 2008 R2和Windows 7中的一项新功能，它

3、利用先进的IPv6和IPSec技术在远程客户端和企业内网之间自动建立一条跨越Internet的双向连接。实际上，DirectAccess在工作时需要先后创建两条使用Triple Data Encryption Standard （3DES）或 the Advanced Encryption Standard （AES）进行加密的IPSec ESP隧道在IPv4网络上传输IPv6数据包，其中第一阶段创建的隧道使用IPSec进行计算机验证，验证通过之后允许客户端计算机访问内网DNS及域控制器，从而下载特定的组策略和申请用户证书，这时可允许IT管理员在用户登录之前就可以对远程客户端计算机进行管理；第

4、二阶段创建的隧道使用计算机验证和用户认证，验证通过之后客户端计算机就可以访问内网的资源。第二阶段从安全角度来看有两种保护模式：点到点的访问：用户建立的IPSec隧道经DirectAccess服务器延伸到所要访问的应用服务器。这种模式通过在DirectAccess服务器上配置访问规则可以实现最高级别的安全，但是这种模式需要应用服务器版本必须是Windows Server 2008或2008 R2，而且这些服务器需要同时支持IPv6和IPSec协议。点到边缘的访问：用户建立的隧道终点就在DirectAccess服务器，然后DirectAccess服务器把来自用户的请求以明文方式向内网所要访问的服务

5、器转发。这种模式对内网服务器要求不高，但安全性也相对较低。2 DirectAccess所使用的部分关键技术2.1 ESP隧道模式IPSec协议【4】在应用时共有四种可能的组合：ESP传输模式、ESP隧道模式、AH传输模式和AH隧道模式。DirectAccess采用的是IPSec的ESP隧道模式进行数据的加密和认证。在隧道模式下，ESP头被插在原始IP头之前，并且生成一个新的IP头将其插在ESP头之前，其中原始IP头中包括真正的源地址和最终的目的地址，新的IP头则分别包含隧道两端的地址。ESP隧道模式下的认证和保密范围有所不同，加密范围仅涉及整个原始IP数据包，认证范围则涉及整个原始IP数据包及

6、ESP报头，但不包括新的IP报头。2.2 Windows PKI（Public Key Infrastructure）PKI利用数字证书标识密钥持有人的身份，通过对密钥的规范化管理，为组织机构建立和维护一个可信赖的系统环境，透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障，满足各种应用系统的安全需求。DirectAccess采用windows PKI这一通用性安全基础设施来提供公钥加密和数字签名服务。Windows PKI建立在微软久经考验的PKI组件基础之上，其基本组件主要有：证书服务作为一项核心的操作系统级服务，允许组织或企业建立自己的CA系统，并发布和管理数字

7、证书，从而通过用户公钥和其他属性的绑定关系来提供对用户身份的证明；活动目录作为一项核心的操作系统级服务，提供了查找网络资源的唯一位置，在PKI中为证书和CRL等信息提供发布服务。2.3 名称解析策略表（NRPT）一般情况下，整个 DNS 命名空间的所有DNS名称查询都将转到通过网络接口配置的 DNS 服务器，但是在某些场合下却需要对 DNS 命名空间特定部分的名称查询进行特殊处理。为了满足这个需求，微软提供了名称解析策略表 （NRPT），其工作流程是：在执行 DNS 名称解析时，DNS 客户端服务先将请求的名称与 NRPT 中由管理员预先设定的每个规则进行比较。如果查询和响应与 NRPT 规则

8、匹配，将应用指定的特殊处理。否则，将对查询和响应进行常规处理，即 DNS 客户端服务将名称查询发送到接口配置的 DNS 服务器。在DirectAccess部署中，DirectAccess 客户端必须实现 NRPT而不是按网络接口来使用DNS 服务器，这为分流internet和intranat流量提供了前提。2.4 ipv6隧道技术。当客户端计算机与DirectAccess服务器之间无法使用IPv6进行通信时，它们将先后尝试使用如下隧道技术在IPv4网络上进行通信。ISATAP （ Intra-Site Automatic Tunnel Addressing Protocol，站间自动隧道寻址协

9、议）是一种地址分配和主机到主机、主机到路由器和路由器到主机的自动隧道技术，一般用于为IPv4/IPv6双栈主机之间提供了跨越IPv4内部网络的IPv6单播通信。其工作原理是双栈主机在与其他主机或http：/ ISATAP来实现其自身的邻居发现。6to4是一种地址分配和路由器到路由器的自动隧道技术，它采用特殊的6to4地址（前缀格式为2002：a.b.c.d/48，其中a.b.c.d是接口的IPv4地址）使得IPv4海洋中的IPv6孤岛（站点或主机）能相互连接。典型的应用模式是：子网中有一台使用公开IPv4地址的设备作为6to4路由器（既有6to4地址又有IPv4地址）与IPv4网络相连，这时子

10、网中的主机就可以使用6to4地址通过该网关与其他类似的6to4子网通信或与6to4中继路由器（既拥有6to4地址又拥有IPv6单播地址）通信进而接入纯IPv6子网。在DirectAccess部署中，当DirectAccess 客户端位于IPv4 Internet之上且接口拥有一个公用 IPv4 地址时，DirectAccess 客户端将尝试使用 6to4 封装发送到 DirectAccess 服务器的 IPv6 流量，此时DirectAccess 服务器位于 IPv4 Internet之上，拥有6to4地址，扮演了6to4路由器的角色。注意：这时在 IPv4 Internet 上，Direct

11、Access 客户端和服务器之间必须存在一个允许 IPv4 协议 41 流量的路由路径。Teredo（又称为面向 IPv6 的 IPv4 NAT 网络地址转换穿越）是一种地址分配和主机到主机之间的自动隧道，用于当 IPv6 / IPv4 主机位于一个或多个 IPv4 NAT 之后时，将IPv6单播数据包封装在IPv4用户数据包协议（UDP）消息中进行传输。Teredo 使用特殊的地址，其格式如下：32位的Teredo 前缀（3FFE：831F：/32），32位的Teredo 服务器 IPv4 地址，16位的Teredo 标志，16位与该 Teredo 客户端所有 Teredo 通信相对应的外部

12、 UDP 端口的隐藏模式（外部端口与 0xFFFF 进行逻辑异或运算），32 位与Teredo 客户端所有 Teredo 通信相对应的外部 IPv4 地址的模糊形式（外部地址通过与0xFFFFFFFF 进行异或运算）。在DirectAccess部署中，DirectAccess服务器是Teredo服务器，它使用UDP 3544端口侦听Teredo通信，帮助 Teredo客户端进行地址配置，协助在Teredo客户端（远程客户端及内网资源主机）之间建立通信连接。作为实现 IPv6 连接的最后一种转换技术，Teredo由于封装UDP和维持用于建立或维持一个 NAT 映射的Teredo气泡，所以性能会受

13、很大的影响。IP-HTTPS【5】是一种隧道技术，只不过它是在DirectAccess客户端无法使用其它ipv6连接方法穿越web代理服务器、防火墙或NAT等设备连接到DirectAccess服务器，或者人为强制时自动启用，将IPv6数据包封装到HTTPs或HTTP协议中进行传输的机制。在DirectAccess部署中，DirectAccess服务器通过配置URI（通用资源标志符）扮演IP-HTTPS服务器监听在443端口等待客户端的https连接，并在成功建立连接后封装与解压客户端与内网资源主机之间的通信。IP-HTTPS作为一种替代的隧道技术，要将传输层的协议SSL及其之上的HTTP封装到

14、IPSec负载中，显然花销比较大，传输性能会受到很大的影响。3 一个实际的案例某大学有一个主校区和两个分校区，且财务部门已经在主校区中搭建了一个独立的财务子网并在其中部署了若干台基于windows2003系统的财务应用服务器。现为了避免师生员工往返多个校区报账，节约交通经费和提高工作效率，财务部门在相对开放的校园网环境上搭建了如图1所示财务办公专网，以将财务子网安全地延伸至各个分校区。图1在搭建这个跨校区财务办公网时，考虑了如下几点要素：1）网络拓扑结构的改变不能影响现有财务业务的正常运行以及员工的操作习惯。2）建设成本不要太高，相对于购置专业的VPN设备，本解决方案仅仅需要在主校区增加两台P

15、C，一台windows 2008 R2（命名为计算机A）用于部署DC、AD、根AC及DNS等，另一台装有两个网卡的windows 2008 R2（命名为计算机B）用于部署DirectAccess服务器；分校区的财务办公计算机需全部换装windows 7旗舰版；3）最后是安全性要求：主校区DirectAccess服务器两个网卡之间是不设置IPv4路由，分校区与主校区的财务数据仅能够通过DirectAccess这个安全通道来传输，这相当于在物理上隔离了校园网和财务子网；分校区的财务子网均通过NAT设备（允许6to4通过）接入校园网，这也在某种程度上对校园网上其它计算机隐藏了财务子网中的网络信息；基

16、于内网情况下，使用人员均为财务部门的工作人员，网络安全可以得到有效的控制，因此采用点到边缘的访问模式来部署DirectAccess，这样对主校区财务子网的影响不大，一定程度上实现了平滑过渡。对应计算机A，其上所安装DC、AD、根root及DNS的步骤限于文章篇幅就不再赘述了，下面仅介绍与DirectAccess设置相关的步骤【6】。1）在安装DNS服务为整个财务子网提供域名解析时，需要运行命令行命令 dnscmd /config /globalqueryblocklist wpad来允许DNS解析ISATAP。2）创建一个安全组da_clients，并在其成员中添加分校区财务子网中的客户端计算

17、机和用户名。3）配置一个web server证书模板，允许授权用户即前面所创建的安全组注册。4）创建组策略，其中设置防火墙规则运行icmpv6流量进出。5）指定CRL（证书回收列表）发布位置。该发布位置其实是一个网站，其所对应的IP地址为计算机B的外网网卡地址，域名需在Internet DNS上进行注册，这样当远程客户端计算机在外网上时也能访问得到。对应计算机B，与DirectAccess设置相关的步骤如下：1）在两个网卡上设置好对应的IP地址及DNS后缀（这很重要），然后以管理员身份加入域后才开始进行后面的的配置。2）安装IIS服务，并在其上创建证书回收列表网站。网站虚拟目录所对应的文件夹要

18、设置为允许计算机A读写。3）这时，在计算机A上通过证书颁发机构;来发布证书，然后在本机上通过控制台的证书管理单元来安装计算机A发布出来的证书。4）根据向导安装DirectAccess服务。需要四步：第一步设置DirectAccess客户端，这里要选择之前创建的安全组；第二步设置连接性，这里要分别指定内外网所对应的网卡，以及之前安装的证书；第三步指定网络位置服务器，这里选择网络位置服务器在DirectAccess服务器上运行，以及dns的IPv6地址（由IPv4地址褪色出来），第四步、第五步，指定缺省值即可。对应所有的客户端计算机，只需要在主校区财务子网中应用组策略后就可以在各分校区财务子网中像在主校区一样正常的工作了。4 结束语DirectAccess是IPv6的