遠程訪問一直是個熱門話題，人們需要能夠隨時隨地通過任何設備登錄網絡獲取信息。過去利用特定設備或者特定位置訪問網絡的時代已經過去了，特別是在企業內，人們希望在任何時候都能獲取企業信息，可能使用筆記本、臺式機、智能手機或者甚至MP3播放器來獲取企業信息。

　　微軟公司就正在為此付出努力，希望能夠保證用戶隨時隨地使用各種技術來進行安全遠程訪問。注意這里所說的是“安全遠程訪問”，實現遠程訪問并不困難，任何簡單的NAT設備或者路由器都可以讓用戶對企業應用程序和設備進行遠程訪問。這里的安全遠程訪問就能夠保護用戶數據、企業服務器不受到安全威脅。

　　以下是幾個重要的微軟技術能夠幫助用戶實現對企業資源的安全遠程訪問：

　　·Windows Server 2008 NPS路由和遠程訪問VPN服務

　　·Windows Server 2008終端服務網關

　　·Microsoft ISA 2006和Forefront Threat Management Gateway (TMG，威脅管理網關)

　　·Intelligent Application Gateway 2007和Unified Access Gateway (UAG，統一訪問網關)

　　Windows Server 2008 NPS遠程訪問VPN服務

　　Windows Servers從Windows NT開始就加入了一個VPN服務器組件，這樣用戶就能對VPN使用PPTP(Point to Point Tunneling Protocol)。目前來說，大多數安全專家認為PPTP是一種過時的VPN協議，而不應該用于生產網絡中，因為該協議中存在很多安全問題。雖然現在有辦法能夠增強PPTP的安全級別(如雙條件登錄)，幾乎很少使用PPTP。

　　在Windows 2000 Server中引進了L2TP/IPsec VPN協議，這也是Windows的重大進步，因為Ipsec渠道能夠保證在證書轉讓發生之前保護信息的安全性。L2TP被用于創建虛擬網絡，而Ipsec用于在虛擬網絡連接創建隱私。L2TP/Ipsec的另一個主要優勢在于，用戶和設備認證能夠同時進行，因為使用的是Ipsec。Windows 2000 Server中還允許用戶使用更先進的EAP驗證方法進行用戶驗證，這樣證書和智能卡就能夠用于用戶身份驗證。

　　Windows Server 2008在用戶的VPN功能中加入了SSTP(Secure Socket Tunneling Protocol，安全套接字渠道協議)，這種協議的最大優點就是在SSL上運行，任何防火墻或者代理服務器能夠運行外流的SSL。即使當客戶位于防火墻或者代理服務器(甚至是基于代理服務器的防火墻，如ISA或者TMG防火墻)后也可以運行SSTP，SSTP屬于Windows Server 2008 NPS路由和遠程訪問VPN服務的一部分，它能夠利用L2TP/Ipsec使用的所有相同的用戶驗證協議。SSTP的唯一缺點在于，配置步驟需要非常嚴謹，如果沒有嚴格按照順序執行配置，管理將會變得非常復雜。可以說，對于Windows VPN管理員而言，SSTP仍然是一項巨大的工作。

　　Windows Server終端服務

　　在Windows Server的前幾個版本中加入了路由和遠程訪問VPN解決方案，Windows Server同時還加入了終端服務組件(Terminal Services)，雖然在Windows NT的RTM版中沒有此組件，不過在NT產品后序版本中也加入了該組件。終端服務隨后在Windows Server 2000發布時被納入了操作系統中。在Windows Server 2003的終端服務中作出了些許改進，Windows Server 2008才讓我們看到終端服務組件的重要改進。

　　在Windows Server 2008和即將發布的Windows Server 2008 R2中，我們將看到終端服務產品的重大改進。在基本的終端服務器中的終端服務，能夠允許用戶通過使用RDP協議連接到終端服務器。實際上，RDP協議已經大大改善，不過并不是RDP協議的改進讓Windows Server 2008 Terminal Services產品如此引人注目。主要改進功能包括：

　　·Terminal Services Web Access(網絡訪問)

　　·Terminal Services Gateway(網關)

　　·Terminal Service RemoteApp(遠程應用程序)

　　雖然windows Server以前的版本也有Terminal Services Web Access功能，而Windows Server 2008功能明顯增強，因為2008版向網站加入了幾項Terminal Services的新功能，另外，通過終端服務網站訪問計算機和應用程序可以通過基于政策的訪問規則來控制。

　　終端服務網關(TSG，Terminal Services Gateway)可以在世界的任何位置啟用基于政策的終端服務訪問，過去對終端服務的遠程訪問的主要問題在于，很多訪問權不能允許對默認RDP端口(即TCP 3389)的對外訪問。由于代理服務器通常只處理HTTP協議，當客戶位于Web代理服務器后時，終端服務客戶就不能通過網絡到達終端服務。TSG是通過允許終端服務客戶與RPC內的RDP建立渠道來解決這個問題的，然后將在HTTP內部建立渠道，并由SSL安全保護，因此只需要允許對TSG的對外SSL連接即可。當客戶連接到TSG后，基于政策的訪問規則就允許客戶控制用戶可以連接到的終端服務器或者應用程序。

　　在新的Windows Server 2008 Terminal Server中，我們能夠選擇發布終端服務器和/或應用程序。終端服務RemoteApp允許你通過終端服務發布應用程序。因此，如果你想要你的用戶訪問Word或者PPT，你可以通過終端服務網關發布這些應用程序，這樣用戶就只能訪問這些應用程序，而不是整個桌面。這對于安全而言是個很大的進步，因為使用的是最小權限原則，用戶只能訪問他們需要的內容，而不是其他多余的東西。這種訪問是通過TSG來實現的，TSG能夠啟用對這些應用程序的基于政策的訪問。

Internet安全和Acceleration Server 2006以及Forefront Threat Management Gateway (TMG)

　　前面討論了包括Windows Server在內的平臺服務，現在讓我們看看微軟公司為安全遠程訪問提供的其他網絡安全應用程序，微軟最早引入網絡安全設備實在90年代后半期，他們發布了Proxy Server產品。這也使他們催生出第一個成熟的產品，Proxy Server 2.0，雖然Proxy Server 2.0是個很不錯的代理服務器，雖然并沒有設計為能夠進行安全遠程訪問的網絡安全設備。

　　微軟公司在2000年底發布的Microsoft Internet Security和Acceleration Server (ISA) 2000是保證安全遠程訪問的網絡邊緣安全設備的先鋒產品，該產品是一個多功能設備，能夠進行安全出站訪問，安全服務器發布和安全Web發布。另外，ISA 2000能夠支持遠程訪問VPN用戶以及站到站VPN。最重要的是，ISA2000被設計為邊緣網絡防火墻，這樣用戶就不再需要在ISA2000防火墻前面放置基于路由器的防火墻(第三層防火墻)。

　　然后，ISA2000防火墻是建立在威脅模式的，該威脅模式現在已經不存在了。這就是說，對于在上個世紀流行的威脅模式而言，任何防火墻外部的東西都是不可信的，任何防火墻內部的東西都是值得信賴。而新一代ISA防火墻，ISA2004防火墻就被設計為，沒有網絡是可信的，所有通過ISA防火墻進行的連接都需要對狀態數據包和應用程序層進行檢查。

　　ISA2004中，遠程訪問的安全性明顯改善。對于Web發布(與Web代理服務器相反)而言，HTTP安全過濾主要用于保護網站免受攻擊，還添加了很多應用程序來保護對SMTP、DNS和其他應用程序服務器的攻擊。最重要的是，遠程訪問和站對站VPN服務器組件現在可以讓用戶創建強大的基于用戶/組訪問控制，并采用與通過ISA防火墻的所有連接的數據包和應用程序層進行的相同的檢查。

　　ISA2004被認為是微軟公司防火墻產品中第一個可以供企業使用的邊緣網絡防火墻，與Check Point、ASA以及Netscreen一樣。

　　兩年后發布了ISA2006，其中包含了所有2004ISA防火墻中的所有遠程訪問安全功能，另外還包含對遠程訪問安全功能的幾個改進功能：

　　·支持Kerberos Constrained Delegation (KCD)，這樣就可以發布要求用戶在防火墻使用雙條件證書驗證的網站。

　　·對其基于窗體驗證功能的一些改進，這樣用戶就可以在獲準訪問網站前使用更加靈活的形式通過防火墻的驗證。

　　·擴大對一些新的雙因素驗證方法的支持，例如RADIUS一次性密碼驗證。

　　·針對發布網站的LDAP服務器驗證，這樣當防火墻不是域成員時可以使用Active Directory存儲區。

　　·Web Farm Load Balancing可以使ISA2006管理員避免承受價格高昂的外部硬件負載均衡器和在ISA防火墻后發布大量Web服務器

　　ISA2006也可以配置為啟用對所有Windows Server 2008 Terminal Services功能的安全遠程訪問，允許對遠程服務訪問的另一層保護。

　　Forefront Threat Management Gateway (TMG，威脅管理網關)是新版本的ISA防火墻，TMG保護前一個版本防護墻的所有安全遠程訪問技術，但是對于出站訪問安全，還加入了惡意軟件保護和獨特的功能強大的IDS入侵檢測功能。此外，TMG還能啟用web內容過濾功能，這也是ISA防火墻管理員期盼很久的功能。

　　Intelligent Application Gateway 2007和UAG

　　Intelligent Application Gateway 2007 (IAG 2007)主要是針對企業的產品，能夠幫助企業實現遠程訪問連接的最高級別安全水平，與ISA或者TMG防火墻相比，IAG 2007 SSL VPN網關是一種單一目的的裝置：提供對網絡設備入站連接的遠程訪問網關。ISA和TMG防火墻可以提供與目前市場上防火墻相同級別或者更高級別的網絡設備入站連接安全，IAG2007能夠為web和非web服務的入站連接提供最高級別的安全性。

　　IAG包括一些軟件模塊，被稱為應用程序優化(Application Optimizers)，能夠為對web服務的遠程訪問提供非常高的安全保護。應用程序優化能夠使IAG為其發布的web服務執行深層次的應用程序層檢查。IAG的深層應用程序層檢查同時進行正面和反面的邏輯過濾，正面邏輯過濾使IAG只允許對發布的web服務進行可信的通信，而反面過濾能夠阻止不可信的連接。

　　IAG 2007 SSL VPN能夠支持以下四種連接：

　　·反向Web代理服務，IAG可以通過對Web服務進行遠程連接部署智能應用程序來充當高安全性的反向web代理。

　　·端口轉發器(Port Forwarder)，對于需要使用簡單協議(使用單個端口)非web應用程序的遠程訪問，IAG端口轉發器允許客戶端使用該轉發器通過SSL VPN渠道連接到網絡應用程序。

　　·套接字轉發器(Socket Forwarder)，對于需要多個主要或者次要連接(如Outlook MAPI/RPC)的對復雜應用程序的遠程訪問，遠程訪問客戶端可以使用IAG套接字轉發器，所有通過套接字轉發器通信的協議都受到SSL的保護。

　　·網絡鏈接器，網絡鏈接器允許通過SSL VPN連接的完全網絡層VPN訪問，這對于需要對網絡進行遠程控制的管理員而言非常有用。

　　除了SSL VPN網關功能外，IAG 2007還允許PPTP和L2TP/Ipsec遠程訪問VPN客戶端訪問，這可以讓你使用IAG 2007作為中央遠程訪問網關，而不需要將幾種設備或者各種類型的設備間網絡的遠程訪問連接的管理和檢測工作進行分離。

　　新版本的IAG被稱為UAG(Unified Access Gateway，統一接入網關)，將繼續加強IAG的應用程序層安全性，并將添加更多的安全遠程訪問功能。其中最有趣的功能就是，能夠支持微軟的新的Direct Access遠程連接功能，這使位于世界各地的用戶能夠完全連接到企業網絡，包括域連接等。

　　使用Direct Access的主要障礙在于它對Ipv6的依賴，雖然Ipv6有很多優點，但是大多數網絡的架構并不支持Ipv6， 另外，IPv6并沒有得到大家的普遍認同，所以將其部署在網絡上將是很危險的事情，因為大多數網絡管理員將無法理解Ipv6生成的通信。

　　為了緩解Direct Access和Ipv6帶來的連接性問題和安全挑戰，UAG部署了NAT-PT(Network Address Translation – Protocol Translation)，它能夠允許本地Ipv6主機和應用程序與本地Ipv4主機和應用程序的通信，反之亦然。該功能可以為即將發布的Windows 7和Windows Server2008 R2網絡部署Direct Access解決方案變得更加簡單更安全。

　　總結

　　本文中我們討論了現有微軟網絡中的安全遠程訪問功能，有些功能在早期windows NT版本中就已經存在，而有些功能只有在部署Windows 7和Windows Server 2008 R2后才能使用。這些功能都有自己的優點和缺點，并且提供不同級別的安全性，不同類型的遠程訪問。希望大家在閱讀完本文后，能夠更好的理解遠程訪問功能并能夠根據自己所需選擇適合的遠程訪問設備。