Процесс подключения через DirectAccess
Процесс подключения клиентов DirectAccess к ресурсам в интрасети выполняется следующим образом.
1. Клиентский компьютер DirectAccess под управлением ОС Windows 7 обнаруживает, что он подключен к сети.
2. Клиентский компьютер DirectAccess выполняет попытку подключения к веб-сайту в интрасети, заданному администратором в процессе конфигурирования DirectAccess. Если веб-сайт доступен, клиент DirectAccess определяет, что он уже подключен к интрасети, и процесс подключения через DirectAccess прекращается. Если веб-сайт недоступен, клиент DirectAccess определяет, что он подключен к Интернету, и процесс подключения через DirectAccess продолжается.
3. Клиентский компьютер DirectAccess подключается к серверу DirectAccess с использованием протоколов IPv6 и IPsec. Если сеть IPv6 недоступна (а, вероятно, так и будет, когда пользователь подключен к Интернету), клиент устанавливает туннель IPv6-через-IPv4, используя 6to4 или Teredo. Для завершения этого этапа не требуется, чтобы пользователь выполнил вход в систему.
4. Если брандмауэр или прокси-сервер препятствует компьютеру, использующему 6to4 или Teredo, подключиться к серверу DirectAccess, клиент автоматически пытается подключиться по протоколу IP-HTTPS, использующему SSL-соединение для обеспечения возможности подключения.
5. В ходе установки сеанса IPsec клиент и сервер DirectAccess выполняют взаимную проверку подлинности с использованием сертификатов компьютера.
6. Для проверки того, что компьютер и пользователь имеют разрешения на подключение через DirectAccess, сервер DirectAccess устанавливает их членство в группе Active Directory®.
Примечание.Чтобы снизить риск DoS-атак (атак типа «отказ в обслуживании»), протокол IPsec на сервере DirectAccess понижает приоритет основного трафика согласования с помощью значений DSCP.
7. Если функция защиты доступа к сети (NAP), которая рассматривается далее в этом документе, включена и настроена для проверки работоспособности, то до подключения к серверу DirectAccess клиент DirectAccess получает сертификат работоспособности от центра регистрации работоспособности, находящегося в Интернете. Центр регистрации работоспособности направляет информацию о состоянии работоспособности клиента DirectAccess на сервер политики работоспособности NAP. Сервер политики работоспособности NAP обрабатывает политики, заданные на сервере политики сети (NPS), и определяет соответствие клиента требованиям к работоспособности системы. Если соответствие установлено, центр регистрации работоспособности получает сертификат работоспособности для клиента DirectAccess. При подключении к серверу DirectAccess клиент DirectAccess предъявляет сертификат работоспособности для проверки подлинности.
8. Сервер DirectAccess пересылает трафик от клиента DirectAccess на ресурсы в интрасети, к которым у пользователя есть доступ.
Процесс подключения через DirectAccess выполняется автоматически и не требует вмешательства пользователя.
Разделение интернет-трафика и трафика интрасети
С помощью DirectAccess можно отделить трафик, поступающий в интрасеть, от интернет-трафика, как показано на рис. 4, чтобы уменьшить объем ненужного трафика в корпоративной сети. Большинство виртуальных частных сетей пропускают через себя весь трафик (даже трафик, предназначенный для Интернета), что замедляет доступ к интрасети и Интернету. Поскольку трафик, направленный в Интернет, не нужно пропускать через корпоративную сеть, DirectAccess не замедляет доступ к Интернету.
Рис. 4. По умолчанию интернет-трафик не направляется через сервер DirectAccess
ИТ-администраторы могут также настроить перенаправление всего трафика, за исключением трафика для локальной подсети, через сервер DirectAccess и интрасеть. Когда этот параметр включен, для всех типов взаимодействия используется протокол IP-HTTPS, при котором создается IP-туннель через протокол HTTPS, позволяющий осуществлять передачу трафика через брандмауэры и прокси-серверы.
Используя этот параметр с брандмауэром Windows в режиме повышенной безопасности, ИТ-администраторы получают возможность полностью управлять тем, какие приложения могут отправлять трафик и к каким подсетям могут обращаться клиентские компьютеры. Например, используя правила брандмауэра Windows для исходящего трафика, ИТ-администраторы могут достичь следующих целей.
· Разрешить клиентским компьютерам подключаться ко всей сети Интернет и лишь к указанной подсети в интрасети.
· Разрешить клиентским компьютерам подключаться к Интернету напрямую с помощью браузера Internet Explorer, но направлять трафик ко всем остальным приложениям через интрасеть.
· Запретить приложениям в интрасети отправлять трафик в Интернет, ограничив их использованием указанных серверов в интрасети.
Хотя стандартная конфигурация для трафика DirectAccess оптимизирована для наивысшей производительности, ИТ-администраторы могут гибко изменять ее для соблюдения требований к безопасности в своей организации.
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|