2.DirectAccess 设计评估示例

DirectAccess 设计评估示例完全 Intranet 访问示例通过完全访问 Intranet ，DirectAccess 客户端可连接到 Intranet 内部可通过 Internet 协议版

DirectAccess 设计评估示例

完全 Intranet 访问示例

通过完全访问 Intranet ，DirectAccess 客户端可连接到 Intranet 内部可通过 Internet 协议版本 6 (IPv6) 访问的所有资源。 DirectAccess 客户端使用 Internet 协议安全 (IPsec) 创建两个到 DirectAccess 服务器的 Internet 接口的加密隧道。第一个隧道（称为基础结构隧道）使 DirectAccess 客户端可以访问域名系统 (DNS) 服务器、Active Directory 域服务 (AD DS) 域控制器和其他基础结构和管理服务器。第二个隧道（称为 Intranet 隧道）使 DirectAccess 客户端可以访问 Intranet 资源。基础结构隧道使用计算机身份验证，Intranet 隧道使用计算机和用户身份验证。

建立 Intranet 隧道之后，在此通信通过 Internet DirectAccess 客户端即可与 Intranet 应用程序服务器交换通信。

的过程中，隧道将对此通信进行加密。默认情况下，并终止 DirectAccess 客DirectAccess 服务器充当 IPsec 网关，

户端的 IPsec 隧道。

下图显示了完全访问 Intranet 的示例。

当 DirectAccess 客户端启动并确定其位于 Internet 上时，它会创建到 DirectAccess 服务器的隧道，并开始与 AD

就像该客户端直接连接到 Intranet 一样。DS 域控制器和应用程序服务器等 Intranet 基础结构服务器进行正常通信，

此设计不需要为 Intranet 上的通信提供 IPsec 保护，从结构上来说，它与当前远程访问虚拟专用网络 (VPN) 方案非常相似。

使用智能卡的完全 Intranet 访问示例

使用智能卡的完全 Intranet 访问采用了完全 Intranet 访问设计，并且使用智能卡为 Intranet 隧道提供附加的身份验证级别。DirectAccess 客户端计算机尝试访问 Intranet 资源时，DirectAccess 服务器会强制使用智能卡凭据。 下图显示了使用智能卡的完全 Intranet 访问示例。

DirectAccess 客户端上的用户使用智能卡登录到计算机时，将获得对 Intranet 资源的透明访问权限。如果使用域凭据（如用户名和密码组合）登录到计算机，并尝试访问 Intranet ，则 Windows 在通知区域显示一条消息，指示用户输入其智能卡凭据。然后用户插入其智能卡并提供其智能卡个人标识符 (PIN) 以访问 Intranet 资源。

此通知消息将在五秒钟内逐渐消失或在非常短的时间内被其他通知覆盖，但一个显示有一对密钥的图标将保留在通知区域。如果用户错过了通知，将会在溢出托盘中显示密钥图标，用户通过单击该图标可再次启动凭据提示。

选定服务器访问示例

通过访问所选服务器，您可以将 DirectAccess 客户端限定为访问一组特定的 Intranet 应用程序服务器，并拒绝访问 Intranet 上的所有其他位置。 Intranet 访问要求 DirectAccess 客户端向指定服务器提供端对端 Internet 协议安全 (IPsec) 保护。这可以为端对端通信另外提供一层 IPsec 对等身份验证和数据完整性保护，使 DirectAccess 客户端可以验证它们是否正在与特定服务器通信。

下图显示了访问所选服务器的示例。

默认情况下，DirectAccess 客户端和选定服务器使用计算机凭据来执行 IPsec 对等身份验证，并使用封装式安全措施负载 (ESP)-NULL 来保护流量以实现数据完整性。

您也可以通过访问所选服务器，要求 DirectAccess 客户端向指定服务器提供端对端 IPsec 保护，并允许访问

不会向与其他 Intranet 应用程序服务器之间的通信提供 IPsec 对等身份验证和数据完Intranet 上的所有其他位置。

整性保护。 DirectAccess 客户端和服务器之间的 Intranet 隧道为通过 Internet 的两种 Intranet 通信类型提供加密。

将空封装身份验证用于访问所选服务器

空封装身份验证是 Windows 7 和 Windows Server 2008 R2 中具有高级安全性的 Windows 防火墙的一项新增功能。某些 Intranet 包含的硬件无法分析或转发受 IPsec 保护的通信。通过启用空封装身份验证，IPsec 对等体可执行正常 IPsec 对等身份验证，并在交换的第一个数据包中包含 IPsec 数据完整性。后续数据包将以明文形式发送，且没有 IPsec 保护。使用此功能，您可以在不支持受 IPsec 保护的通信流的环境中使用 IPsec 进行对等身份验证。当使用所选服务器访问时，您可以对 DirectAccess 启用空封装身份验证。

端对端访问示例

端对端访问删除了到 DirectAccess 服务器的基础结构隧道和 Intranet 隧道。 DirectAccess 客户端和 Intranet 应用程序服务器之间的所有 Intranet 通信都属于端对端通信，且已使用 Internet 协议安全 (IPsec) 进行加密。在此配置中，DirectAccess 服务器不再终止 IPsec 隧道。它充当一个传递设备，并允许在 DirectAccess 客户端和应用程序服务器之间传递受 IPsec 保护的通信。 DirectAccess 服务器上一个称为 IPsec 拒绝服务保护 (DoSP) 的组件，监视 IPsec 通信以帮助防止 Internet 上的恶意用户对 Intranet 资源发动 DoS 攻击。

下图显示了端对端访问的示例。

应将 DirectAccess 客户端和 Intranet 应用程序服务器配置为使用计算机凭据执行 IPsec 对等身份验证，并使用封装式安全措施负载 (ESP) 保护流量以实现数据机密性（加密）和完整性。