Процесс подключения через DirectAccess

Процесс подключения клиентов DirectAccess к ресурсам в интрасети выполняется следующим образом.

1. Клиентский компьютер DirectAccess под управлением ОС Windows 7 обнаруживает, что он подключен к сети.

2. Клиентский компьютер DirectAccess выполняет попытку подключения к веб-сайту в интрасети, заданному администратором в процессе конфигурирования DirectAccess. Если веб-сайт доступен, клиент DirectAccess определяет, что он уже подключен к интрасети, и процесс подключения через DirectAccess прекращается. Если веб-сайт недоступен, клиент DirectAccess определяет, что он подключен к Интернету, и процесс подключения через DirectAccess продолжается.

3. Клиентский компьютер DirectAccess подключается к серверу DirectAccess с использованием протоколов IPv6 и IPsec. Если сеть IPv6 недоступна (а, вероятно, так и будет, когда пользователь подключен к Интернету), клиент устанавливает туннель IPv6-через-IPv4, используя 6to4 или Teredo. Для завер­шения этого этапа не требуется, чтобы пользователь выполнил вход в систему.

4. Если брандмауэр или прокси-сервер препятствует компьютеру, использу­ющему 6to4 или Teredo, подключиться к серверу DirectAccess, клиент авто­матически пытается подключиться по протоколу IP-HTTPS, использующему SSL-соединение для обеспечения возможности подключения.

5. В ходе установки сеанса IPsec клиент и сервер DirectAccess выполняют взаим­ную проверку подлинности с использованием сертификатов компьютера.

6. Для проверки того, что компьютер и пользователь имеют разрешения на под­ключение через DirectAccess, сервер DirectAccess устанавливает их членство в группе Active Directory^®.

Примечание.Чтобы снизить риск DoS-атак (атак типа «отказ в обслуживании»), прото­кол IPsec на сервере DirectAccess понижает приоритет основного трафика согласования с помощью значений DSCP.

7. Если функция защиты доступа к сети (NAP), которая рассматривается далее в этом документе, включена и настроена для проверки работоспособности, то до подключения к серверу DirectAccess клиент DirectAccess получает серти­фикат работоспособности от центра регистрации работоспособности, находя­щегося в Интернете. Центр регистрации работоспособности направляет инфор­мацию о состоянии работоспособности клиента DirectAccess на сервер политики работоспособности NAP. Сервер политики работоспособности NAP обраба­тывает политики, заданные на сервере политики сети (NPS), и определяет соответствие клиента требованиям к работоспособности системы. Если соот­ветствие установлено, центр регистрации работоспособности получает серти­фикат работоспособности для клиента DirectAccess. При подключении к сер­веру DirectAccess клиент DirectAccess предъявляет сертификат работоспо­собности для проверки подлинности.

8. Сервер DirectAccess пересылает трафик от клиента DirectAccess на ресурсы в интрасети, к которым у пользователя есть доступ.

Процесс подключения через DirectAccess выполняется автоматически и не требует вмешательства пользователя.

Разделение интернет-трафика и трафика интрасети

С помощью DirectAccess можно отделить трафик, поступающий в интрасеть, от интернет-трафика, как показано на рис. 4, чтобы уменьшить объем ненужного трафика в корпо­ративной сети. Большинство виртуальных частных сетей пропускают через себя весь трафик (даже трафик, предназначенный для Интернета), что замедляет доступ к интра­сети и Интернету. Поскольку трафик, направленный в Интернет, не нужно пропускать через корпоративную сеть, DirectAccess не замедляет доступ к Интернету.

Рис. 4. По умолчанию интернет-трафик не направляется через сервер DirectAccess

ИТ-администраторы могут также настроить перенаправление всего трафика, за исклю­чением трафика для локальной подсети, через сервер DirectAccess и интрасеть. Когда этот параметр включен, для всех типов взаимодействия используется протокол IP-HTTPS, при котором создается IP-туннель через протокол HTTPS, позволяющий осуществлять передачу трафика через брандмауэры и прокси-серверы.

Используя этот параметр с брандмауэром Windows в режиме повышенной безопас­ности, ИТ-администраторы получают возможность полностью управлять тем, какие приложения могут отправлять трафик и к каким подсетям могут обращаться клиент­ские компьютеры. Например, используя правила брандмауэра Windows для исходя­щего трафика, ИТ-администраторы могут достичь следующих целей.

· Разрешить клиентским компьютерам подключаться ко всей сети Интернет и лишь к указанной подсети в интрасети.

· Разрешить клиентским компьютерам подключаться к Интернету напрямую с помощью браузера Internet Explorer, но направлять трафик ко всем осталь­ным приложениям через интрасеть.

· Запретить приложениям в интрасети отправлять трафик в Интернет, ограничив их использованием указанных серверов в интрасети.

Хотя стандартная конфигурация для трафика DirectAccess оптимизирована для наивыс­шей производительности, ИТ-администраторы могут гибко изменять ее для соблюде­ния требований к безопасности в своей организации.

Не нашли, что искали? Воспользуйтесь поиском по сайту: