解析微软的远程安全访问控制-安全维护(2)
Internet安全和Acceleration Server 2006以及Forefront Threat Management Gateway (TMG)
前面讨论了包括Windows Server在内的平台服务,现在让我们看看微软公司为安全远程访问提供的其他网络安全应用程序,微软最早引入网络安全设备实在90年代后半期,他们发布了Proxy Server产品。这也使他们催生出第一个成熟的产品,Proxy Server 2.0,虽然Proxy Server 2.0是个很不错的代理服务器,虽然并没有设计为能够进行安全远程访问的网络安全设备。
微软公司在2000年底发布的Microsoft Internet Security和Acceleration Server (ISA) 2000是保证安全远程访问的网络边缘安全设备的先锋产品,该产品是一个多功能设备,能够进行安全出站访问,安全服务器发布和安全Web发布。另外,ISA 2000能够支持远程访问VPN用户以及站到站VPN。最重要的是,ISA2000被设计为边缘网络防火墙,这样用户就不再需要在ISA2000防火墙前面放置基于路由器的防火墙(第三层防火墙)。
然后,ISA2000防火墙是建立在威胁模式的,该威胁模式现在已经不存在了。这就是说,对于在上个世纪流行的威胁模式而言,任何防火墙外部的东西都是不可信的,任何防火墙内部的东西都是值得信赖。而新一代ISA防火墙,ISA2004防火墙就被设计为,没有网络是可信的,所有通过ISA防火墙进行的连接都需要对状态数据包和应用程序层进行检查。
ISA2004中,远程访问的安全性明显改善。对于Web发布(与Web代理服务器相反)而言,HTTP安全过滤主要用于保护网站免受攻击,还添加了很多应用程序来保护对SMTP、DNS和其他应用程序服务器的攻击。最重要的是,远程访问和站对站VPN服务器组件现在可以让用户创建强大的基于用户/组访问控制,并采用与通过ISA防火墙的所有连接的数据包和应用程序层进行的相同的检查。
ISA2004被认为是微软公司防火墙产品中第一个可以供企业使用的边缘网络防火墙,与Check Point、ASA以及Netscreen一样。
两年后发布了ISA2006,其中包含了所有2004ISA防火墙中的所有远程访问安全功能,另外还包含对远程访问安全功能的几个改进功能:
·支持Kerberos Constrained Delegation (KCD),这样就可以发布要求用户在防火墙使用双条件证书验证的网站。
·对其基于窗体验证功能的一些改进,这样用户就可以在获准访问网站前使用更加灵活的形式通过防火墙的验证。
·扩大对一些新的双因素验证方法的支持,例如RADIUS一次性密码验证。
·针对发布网站的LDAP服务器验证,这样当防火墙不是域成员时可以使用Active Directory存储区。
·Web Farm Load Balancing可以使ISA2006管理员避免承受价格高昂的外部硬件负载均衡器和在ISA防火墙后发布大量Web服务器
ISA2006也可以配置为启用对所有Windows Server 2008 Terminal Services功能的安全远程访问,允许对远程服务访问的另一层保护。
Forefront Threat Management Gateway (TMG,威胁管理网关)是新版本的ISA防火墙,TMG保护前一个版本防护墙的所有安全远程访问技术,但是对于出站访问安全,还加入了恶意软件保护和独特的功能强大的IDS入侵检测功能。此外,TMG还能启用web内容过滤功能,这也是ISA防火墙管理员期盼很久的功能。
Intelligent Application Gateway 2007和UAG
Intelligent Application Gateway 2007 (IAG 2007)主要是针对企业的产品,能够帮助企业实现远程访问连接的最高级别安全水平,与ISA或者TMG防火墙相比,IAG 2007 SSL VPN网关是一种单一目的的装置:提供对网络设备入站连接的远程访问网关。ISA和TMG防火墙可以提供与目前市场上防火墙相同级别或者更高级别的网络设备入站连接安全,IAG2007能够为web和非web服务的入站连接提供最高级别的安全性。
IAG包括一些软件模块,被称为应用程序优化(Application Optimizers),能够为对web服务的远程访问提供非常高的安全保护。应用程序优化能够使IAG为其发布的web服务执行深层次的应用程序层检查。IAG的深层应用程序层检查同时进行正面和反面的逻辑过滤,正面逻辑过滤使IAG只允许对发布的web服务进行可信的通信,而反面过滤能够阻止不可信的连接。
IAG 2007 SSL VPN能够支持以下四种连接:
·反向Web代理服务,IAG可以通过对Web服务进行远程连接部署智能应用程序来充当高安全性的反向web代理。
·端口转发器(Port Forwarder),对于需要使用简单协议(使用单个端口)非web应用程序的远程访问,IAG端口转发器允许客户端使用该转发器通过SSL VPN渠道连接到网络应用程序。
·套接字转发器(Socket Forwarder),对于需要多个主要或者次要连接(如Outlook MAPI/RPC)的对复杂应用程序的远程访问,远程访问客户端可以使用IAG套接字转发器,所有通过套接字转发器通信的协议都受到SSL的保护。
·网络链接器,网络链接器允许通过SSL VPN连接的完全网络层VPN访问,这对于需要对网络进行远程控制的管理员而言非常有用。
除了SSL VPN网关功能外,IAG 2007还允许PPTP和L2TP/Ipsec远程访问VPN客户端访问,这可以让你使用IAG 2007作为中央远程访问网关,而不需要将几种设备或者各种类型的设备间网络的远程访问连接的管理和检测工作进行分离。
新版本的IAG被称为UAG(Unified Access Gateway,统一接入网关),将继续加强IAG的应用程序层安全性,并将添加更多的安全远程访问功能。其中最有趣的功能就是,能够支持微软的新的Direct Access远程连接功能,这使位于世界各地的用户能够完全连接到企业网络,包括域连接等。
使用Direct Access的主要障碍在于它对Ipv6的依赖,虽然Ipv6有很多优点,但是大多数网络的架构并不支持Ipv6, 另外,IPv6并没有得到大家的普遍认同,所以将其部署在网络上将是很危险的事情,因为大多数网络管理员将无法理解Ipv6生成的通信。
为了缓解Direct Access和Ipv6带来的连接性问题和安全挑战,UAG部署了NAT-PT(Network Address Translation – Protocol Translation),它能够允许本地Ipv6主机和应用程序与本地Ipv4主机和应用程序的通信,反之亦然。该功能可以为即将发布的Windows 7和Windows Server2008 R2网络部署Direct Access解决方案变得更加简单更安全。
总结
本文中我们讨论了现有微软网络中的安全远程访问功能,有些功能在早期windows NT版本中就已经存在,而有些功能只有在部署Windows 7和Windows Server 2008 R2后才能使用。这些功能都有自己的优点和缺点,并且提供不同级别的安全性,不同类型的远程访问。希望大家在阅读完本文后,能够更好的理解远程访问功能并能够根据自己所需选择适合的远程访问设备。
