1. Trang chủ
  2. » Công Nghệ Thông Tin

Giới thiệu về UAG DirectAccess – Phần 1 docx

6 409 7

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 6
Dung lượng 166,86 KB

Nội dung

Giới thiệu về UAG DirectAccess Phần 1 Trong bài viết này chúng tôi sẽ cung cấp một kiến thức tổng quan về những gì DirectAccess có thể thực hiện và những giá trị mà nó cung cấp cho cả quản trị viên lẫn người dùng. DirectAccess là một kỹ thuật truy cập từ xa mới có trong Windows 7 và Windows Server 2008 R2, kỹ thuật này cho phép người dùng có thể kết nối với mạng công ty bất cứ thời điểm nào. Từ quan điểm của người dùng, trải nghiệm họ có được là hoàn toàn giống nhau mà không bị phụ thuộc vào địa điểm kết nối. Người dùng có thể di chuyển từ mạng công ty sang mạng của một khách sạn, một quán cà phê hay trung tâm hội thảo nào đó có cung cấp kết nối không dây. Chỉ cần được kết nối Internet, họ có thể truy cập được các tài nguyên trong mạng nội bộ, như thể đang truy cập trực tiếp đến các tài nguyên đó thông qua kết nối Ethernet hoặc kết nối không dây 802.11. Khía cạnh “always-on” của DirectAccess được cho là phần quan trọng nhất của giải pháp này. Người dùng không cần khởi tạo kết nối VPN; họ không cần nhớ URL của SSL VPN gateway (thậm chí SSL VPN gateway là một UAG server). Họ không cần thực hiện bất cứ thứ gì chỉ cần kích các liên kết trong email hoặc trên desktop hay đánh vào tên máy chủ muốn sử dụng, sau đó thực hiện kết nối. Một kết nối xuyên suốt như vậy chắc chắn sẽ tạo năng suất cho công việc. Mặc dù vậy, DirectAccess còn cung cấp nhiều hơn như những gì được giới thiệu ở trên. Do kết nối DirectAccess là liên kết hai chiều, bạn quản trị viên mạng sẽ có khả năng kết nối với các máy khách DirectAccess qua Internet. Bất cứ khi nào một máy khách DirectAccess được bật, bạn đều có thể kết nối và quản lý máy khách này. Người dùng không cần phải đăng nhập để bạn có thể kết nối với các máy khách DirectAccess từ bên trong mạng công ty. Điều này có nghĩa rằng, cơ sở hạ tầng quản lý mà bạn sử dụng để điều khiển và cấu hình các host trên mạng công ty lúc này sẽ luôn trong tình trạng sẵn có (available) đối với việc quản lý các máy tính được kết nối thông qua DirecDtAccess. DirectAccess làm việc như thế nào Cùng với DirectAccess, người dùng Windows 7 và Windows Server 2008 R2 sẽ gặp một số công nghệ mới của các hệ điều hành này. Một số công nghệ này có thể mới có, một số có thể đã được biết đến từ lâu. Mặc dù vậy, dù đang làm việc với công nghệ cũ hay mới thì tất cả chúng đều không quá phức tạp. Cần tránh một số quan điểm cho rằng DirectAccess không đáng với những gì phức tạp mà người dùng nó phải nỗ lực vượt qua. Nhận thức này là vì trước khi UAG 2010 được phát hành, chỉ có một cách duy nhất có thể triển khai DirectAccess là sử dụng giải pháp Windows DirectAccess đi kèm. Giải pháp này tồn tại một số hạn chế so với giải pháp của UAG DirectAccess:  Windows DirectAccess hỗ trợ hạn chế khả năng sẵn có cao, cơ chế thường dùng liên quan đến việc sử dụng Hyper-V và Windows failover cluster nhằm cung cấp khả năng stand-by tốt. Bên cạnh đó cũng không có sự hỗ trợ cho việc cân bằng tải trọng trong mạng (Network Load Balancing).  Windows DirectAccess không hỗ trợ các mảng DirectAccess. Nếu muốn thiết lập nhiều máy chủ Windows DirectAccess, bạn cần cấu hình và quản lý chúng một cách riêng biệt. Trái ngược lại, các máy chủ UAG DirectAccess lại có thể được cấu hình theo mảng.  Máy chủ Windows DirectAccess không hỗ trợ các máy chủ chỉ hỗ trợ IPv4 (IPv4 only). Máy khách DirectAccess trên Internet cũng không thể kết nối với các máy chủ dạng này. Điều đó có nghĩa rằng, nếu muốn sử dụng giải pháp Windows DirectAccess, bạn cần nâng cấp các máy chủ của mình lên Windows Server 2008 hoặc mới hơn. Ngược lại, giải pháp UAG DirectAccess lại hỗ trợ đầy đủ các máy chủ IPv4 trong mạng công ty. Nếu có kế hoạch triển khai DirectAccess trong mạng công ty của mình, cách tốt nhất để thực hiện điều đó là sử dụng giải pháp UAG DirectAccess. Kết nối máy khách DirectAccess IPv6 chính là vẫn đề cốt lõi của giải pháp DirectAccess, đây là một trong những lý do khiến nhiều quản trị viên có cảm giác không thể triển khai giải pháp vào thời điểm này. IPv6 rõ ràng phức tạp hơn và với sự cắt giảm kinh phí lẫn nhân lực CNTT thì đây quả thực là một trở ngại. Mặc dù vậy, với UAG, bạn không cần phải trở thành một chuyên gia IPv6, giải pháp UAG DirectAccess sẽ tự động triển khai cơ sở hạ tầng IPv6 cần thiết. Khi máy khách DirectAccess được kết nối với Internet, nó sẽ cố gắng thiết lập hai tunnel Ipsec đến máy chủ UAG DirectAccess. Hai tunnel này sẽ sử dụng chế độ IPsec tunnel và giao thức Encapsulating Security Payload (ESP) cùng mã hóa AES 192bit để bảo vệ sự riêng tư. Hai kiểu tunnel ở đây là:  Infrastructure tunnel: Infrastructure tunnel bắt đầu khi máy tính khởi động nhưng trước lúc người dùng đăng nhập. Máy tính DirectAccess luôn là một thành viên miền và tài khoản của nó được sử dụng để đăng nhập thông qua chứng chỉ máy tính và xác thực NTLMv2. Thêm vào đó, nó phải thuộc nhóm bảo mật dành riêng cho các máy khách DirectAccess. tunnel này có kết nối hai chiều và các tác nhân quản lý trên máy khách có thể gọi đến máy chủ quản lý trên mạng công ty. Máy chủ quản lý có thể khởi tạo các kết nối đến máy khách DirectAccess khi tunnel Infrastructure tunnel được thiết lập. Máy khách DirectAccess chỉ có thể kết nối thông qua tunnel này để truy cập các máy chủ mà bạn chỉ định. tunnel này không cho phép truy cập mở đối với toàn bộ mạng nội bộ.  Intranet tunnel: Intranet tunnel được thiết lập sau khi người dùng đăng nhập. tunnel này cũng được mã hóa bằng ESP và AES 192. Việc xác thực được thực hiện bằng chứng chỉ máy tính (giống infrastructure tunnel) và xác thực Kerberos cho tài khoản người dùng. Intranet tunnel cho phép người dùng có thể truy cập tới bất cứ tài nguyên nào nằm trong mạng nội bộ mà họ có thẩm quyền. Có hai kiểu truy nhập bạn có thể sử dụng khi kích hoạt các máy khách DirectAccess để kết nối đến mạng nội bộ. Bạn có thể chọn “end to edge” hoặc “end to end” tùy ý. Chúng ta hãy đi xem xét hai kiểu này:  End to Edge: Khi sử dụng kiểu kết nối “end to edge”, máy khách DirectAccess sẽ thiết lập một liên kết ở chế độ IPsec tunnel xác thực đến máy chủ UAG DirectAccess. Sau khi hoàn thành kết nối Ipsec tại máy chủ DirectAccess, việc chuyển rời lưu lượng từ máy chủ DirectAccess đến các máy chủ trong mạng nội bộ được xác thực hoặc được mã hóa ở mức mạng.  End to End: Kiểu bảo mật mạng “end to end” cho phép bảo mật các kết nối với Ipsec một cách xuyên suốt. Kết nối giữa máy khách và máy chủ DirectAccess sẽ được mã hóa và được xác thực bằng chế độ IPsec tunnel. Sau khi lưu lượng rời máy chủ DirectAccess để đến máy chủ khác trong mạng nội bộ, kết nối đó sẽ được chuyển qua mạng nội bộ bằng chế độ IPsec transport. Mặc dù vậy, thiết lập mặc định chỉ xác thực cho điểm kết cuối; kết nối ở chế độ transport không được mã hóa để IDS mạng và các thiết bị bảo mật khác có thể đánh giá chúng trên mạng. Điều này sẽ làm giảm một số xử lý không đáng có (overhead) liên quan đến kết nối Ipsec. Ngoài chứng chỉ máy tính, tài khoản máy tính (NTLMv2) và xác thực tài khoản người dùng được sử dụng trong quá trình tạo các tunnel DirectAccess, bạn cũng có tùy chọn buộc người dùng phải sử dụng xác thực Smart Card để thiết lập intranet tunnel, nâng cao khả năng bảo mật cho giải pháp. Nếu xác thực bằng thẻ thông minh không đủ an toàn so với yêu cầu, bạn có thể thực thi một số chính sách trên máy khách DirectAccess bằng NAP, lúc này máy khách không đủ điều kiện sẽ bị cách ly trước khi cho phép thiết lập các tunnel infrastructure tunnel và intranet tunnel. Một điều quan trọng cần lưu ý ở đây là kết nối End to Edge hỗ trợ tất cả các mạng, điều này không bắt buộc bạn phải có các host hỗ trợ IPv6 trong mạng nội bộ. Mặc dù vậy, nếu muốn triển khai bảo mật “end to end” với chế độ IPsec tunnel và IPsec transport thì bạn cần phải có các máy chủ Windows Server 2008 phía sau máy chủ DirectAccess. Ngoài ra, bạn có thể sử dụng lẫn các kiểu kết nối End to Edge và End to End; chúng không loại trừ lẫn nhau. Tất cả lưu lượng di chuyển giữa máy khách và máy chủ DirectAccess đều là lưu lượng IPv6. Ngụ ý ở đây là rằng, dù các máy chủ phía sau UAG DirectAccess không nhận biết IPv6 (IPv6 aware) thì các ứng dụng máy khách phải hỗ trợ giao thức này. Để đáp ứng điều đó, bạn cần đảm bảo các ứng dụng máy khách tương thích IPv6 trước khi triển khai DirectAccess. Lưu ý: Chúng ta cần làm rõ các thuật ngữ như “IPv6 aware”, “IPv6 capable”, “IPv6 only” và “native IPv6”. Khi nói đến các mạng “native IPv6”, chúng ta cần hiểu rằng tất cả cơ sở hạ tầng mạng ở đây (routers, DNS, DHCP,…) cũng như các máy khách và máy chủ hỗ trợ IPv6 một cách hoàn chỉnh. Ngược lại, thuật ngữ “IPv6 aware” nói đến việc không sử dụng IPv6 một cách xuyên suốt, chỉ có các ứng dụng máy khách và máy chủ có thể lợi dụng ưu điểm của các kỹ thuật chuyển tiếp IPv6 để có thể làm việc trên các mạng IPv4. Trong khi đó các mạng “IPv6 capable” có các host hỗ trợ the Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) để các tin nhắn IPv6 có thể được gửi qua mạng IPv6. Khi cài đặt UAG làm máy chủ DirectAccess, nó sẽ tự cấu hình một ISATAP router để các tin nhắn IPv6 được chuyển đi bên trong một header Ipv4 qua mạng IPv4, chính vì vậy không cần nâng cấp router và switch DNS cũng như DHCP server để làm việc với kết nối IPv6. Kết luận Trong phần một của loạt bài này, chúng tôi đã cung cấp cho các bạn kiến thức tổng quan về những gì DirectAccess có thể thực hiện, những giá trị nó có thể cung cấp cho cả bạn và người dùng. Chúng ta đã thấy cách DirectAccess thiết lập hai tunnel, intranet tunnel và infrastructure tunnel. Thêm vào đó là hai chế độ triển khai: end to edge và end to end. Trong phần tiếp theo của loạt bài, chúng tôi sẽ giới thiệu một số thông tin chi tiết về kỹ thuật chuyển tiếp IPv6 được sử dụng bởi UAG DirectAccess. . Giới thiệu về UAG DirectAccess – Phần 1 Trong bài viết này chúng tôi sẽ cung cấp một kiến thức tổng quan về những gì DirectAccess có. vậy, DirectAccess còn cung cấp nhiều hơn như những gì được giới thiệu ở trên. Do kết nối DirectAccess là liên kết hai chiều, bạn – quản trị viên mạng – sẽ

Ngày đăng: 12/03/2014, 04:20

TỪ KHÓA LIÊN QUAN

w