盧朝暉 杜家嚴

摘要：使用VPN進行遠程訪問時存在局限性，為此詳細研究微軟下一代遠程訪問技術(shù)DirectAccess，及其所使用的部分關(guān)鍵協(xié)議，如IPSec ESP 隧道、Windows PKI、名稱解析策略、IPv6 over IPv4隧道等。最后，在相對開發(fā)的校園網(wǎng)上實現(xiàn)了一個跨校區(qū)傳輸財務數(shù)據(jù)的具體案例，這對有類似需求的機構(gòu)或單位具有一定的借鑒價值。

關(guān)鍵詞： DirectAccess；財務子網(wǎng)；多校區(qū)；隧道；VPN

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）06-1191-03

The Application of DirectAccess in Finance Subnet across Multi-school District

LU Zhao-hui1，DU Jia-yan2

（1.Network Center， Hainan Normal University， Haikou 571158，China；2. Finance Department， Hainan Normal University， Haikou 51158，China）

Abstract：Faces to limitation of virtual private network as a remote access method organizations or receive units， This paper mainly introduces DirectAccess， a new solution that provides users with the same experience working remotely as they would have when working in the office， and further details some key protocol of DirectAccess， such as ESP tunnel of IPSec， windows PKI， NRPT， and some IPv6 over IPv4 tunnel. Lastly， implements a live system on open campus network which transport finance data across Multi-school District. It provides certain reference and guidance for other organizations or units which have fairly similar requirements.

Key words： DirectAccess； finance subnet； multi-school district； tunnel； VPN

近年來，多校區(qū)辦學已逐漸成為高校普遍的運作方式。在這種格局之下，如何解決財務數(shù)據(jù)等敏感信息跨校區(qū)安全共享和交流是學校信息化建設(shè)所亟待解決的問題之一。當前，大多數(shù)學校通過在校園網(wǎng)上部署技術(shù)成本低且具有高安全性、高可靠性等優(yōu)點的VPN技術(shù)[1][2]來解決這一問題，但是VPN技術(shù)存在如下幾個方面的局限性：1）用戶需要通過輸入認證信息、撥號、等待認證等環(huán)節(jié)來建立安全連接，而這一過程對用戶來說并不是透明的；2）在撥通VPN的情況下，如果您要訪問Internet的情況，還是要通過intranet來進行中轉(zhuǎn)，這無疑造成了帶寬的浪費，同時用戶訪問Internet的體驗也有所下降；3）VPN需要連接特定的端口，如PPTP 的1723端口等，而這些端口在很多有防火墻或者使用代理上網(wǎng)的場合并沒有開啟，當然VPN連接也就不能正常建立了；4）只有當用戶啟用VPN連接后IT管理員才可以訪問到用戶的機器，這使得哪些未連接的計算機不在IT管理員的可控范圍之內(nèi)。

針對上述局限性，該文研究微軟新推出的下一代遠程訪問技術(shù)DirectAccess[3]，并將其應用于解決某學校分校區(qū)財務終端安全接入主校區(qū)財務子網(wǎng)的問題。

1 DirectAccess的工作原理

DirectAccess[3]是Windows Server 2008 R2和Windows 7中的一項新功能，它利用先進的IPv6和IPSec技術(shù)在遠程客戶端和企業(yè)內(nèi)網(wǎng)之間自動建立一條跨越Internet的雙向連接。實際上，DirectAccess在工作時需要先后創(chuàng)建兩條使用Triple Data Encryption Standard （3DES）或 the Advanced Encryption Standard （AES）進行加密的IPSec ESP隧道在IPv4網(wǎng)絡上傳輸IPv6數(shù)據(jù)包，其中第一階段創(chuàng)建的隧道使用IPSec進行計算機驗證，驗證通過之后允許客戶端計算機訪問內(nèi)網(wǎng)DNS及域控制器，從而下載特定的組策略和申請用戶證書，這時可允許IT管理員在用戶登錄之前就可以對遠程客戶端計算機進行管理；第二階段創(chuàng)建的隧道使用計算機驗證和用戶認證，驗證通過之后客戶端計算機就可以訪問內(nèi)網(wǎng)的資源。第二階段從安全角度來看有兩種保護模式：

點到點的訪問：用戶建立的IPSec隧道經(jīng)DirectAccess服務器延伸到所要訪問的應用服務器。這種模式通過在DirectAccess服務器上配置訪問規(guī)則可以實現(xiàn)最高級別的安全，但是這種模式需要應用服務器版本必須是Windows Server 2008或2008 R2，而且這些服務器需要同時支持IPv6和IPSec協(xié)議。

點到邊緣的訪問：用戶建立的隧道終點就在DirectAccess服務器，然后DirectAccess服務器把來自用戶的請求以明文方式向內(nèi)網(wǎng)所要訪問的服務器轉(zhuǎn)發(fā)。這種模式對內(nèi)網(wǎng)服務器要求不高，但安全性也相對較低。

2 DirectAccess所使用的部分關(guān)鍵技術(shù)

2.1 ESP隧道模式

IPSec協(xié)議[4]在應用時共有四種可能的組合：ESP傳輸模式、ESP隧道模式、AH傳輸模式和AH隧道模式。DirectAccess采用的是IPSec的ESP隧道模式進行數(shù)據(jù)的加密和認證。

在隧道模式下，ESP頭被插在原始IP頭之前，并且生成一個新的IP頭將其插在ESP頭之前，其中原始IP頭中包括真正的源地址和最終的目的地址，新的IP頭則分別包含隧道兩端的地址。ESP隧道模式下的認證和保密范圍有所不同，加密范圍僅涉及整個原始IP數(shù)據(jù)包，認證范圍則涉及整個原始IP數(shù)據(jù)包及ESP報頭，但不包括新的IP報頭。

2.2 Windows PKI（Public Key Infrastructure）

PKI利用數(shù)字證書標識密鑰持有人的身份，通過對密鑰的規(guī)范化管理，為組織機構(gòu)建立和維護一個可信賴的系統(tǒng)環(huán)境，透明地為應用系統(tǒng)提供身份認證、數(shù)據(jù)保密性和完整性、抗抵賴等各種必要的安全保障，滿足各種應用系統(tǒng)的安全需求。DirectAccess采用windows PKI這一通用性安全基礎(chǔ)設(shè)施來提供公鑰加密和數(shù)字簽名服務。

Windows PKI建立在微軟久經(jīng)考驗的PKI組件基礎(chǔ)之上，其基本組件主要有：證書服務作為一項核心的操作系統(tǒng)級服務，允許組織或企業(yè)建立自己的CA系統(tǒng)，并發(fā)布和管理數(shù)字證書，從而通過用戶公鑰和其他屬性的綁定關(guān)系來提供對用戶身份的證明；活動目錄作為一項核心的操作系統(tǒng)級服務，提供了查找網(wǎng)絡資源的唯一位置，在PKI中為證書和CRL等信息提供發(fā)布服務。

2.3 名稱解析策略表（NRPT）

一般情況下，整個 DNS 命名空間的所有DNS名稱查詢都將轉(zhuǎn)到通過網(wǎng)絡接口配置的 DNS 服務器，但是在某些場合下卻需要對 DNS 命名空間特定部分的名稱查詢進行特殊處理。為了滿足這個需求，微軟提供了名稱解析策略表 （NRPT），其工作流程是：在執(zhí)行 DNS 名稱解析時，DNS 客戶端服務先將請求的名稱與 NRPT 中由管理員預先設(shè)定的每個規(guī)則進行比較。如果查詢和響應與 NRPT 規(guī)則匹配，將應用指定的特殊處理。否則，將對查詢和響應進行常規(guī)處理，即 DNS 客戶端服務將名稱查詢發(fā)送到接口配置的 DNS 服務器。在DirectAccess部署中，DirectAccess 客戶端必須實現(xiàn) NRPT而不是按網(wǎng)絡接口來使用DNS 服務器，這為分流internet和intranat流量提供了前提。

2.4 ipv6隧道技術(shù)。

當客戶端計算機與DirectAccess服務器之間無法使用IPv6進行通信時，它們將先后嘗試使用如下隧道技術(shù)在IPv4網(wǎng)絡上進行通信。

ISATAP （ Intra-Site Automatic Tunnel Addressing Protocol，站間自動隧道尋址協(xié)議）是一種地址分配和主機到主機、主機到路由器和路由器到主機的自動隧道技術(shù)，一般用于為IPv4/IPv6雙棧主機之間提供了跨越IPv4內(nèi)部網(wǎng)絡的IPv6單播通信。其工作原理是雙棧主機在與其他主機或http：//telecom.chinabyte.com/NetCom/218430079485607936/index.shtml路由器通信之前，首先通過無狀態(tài)地址自動配置方式或手工配置方式獲得一個64位的IPv6地址前綴（鏈路本地前綴、站點本地前綴或全球性地址前綴），然后再加上本身64位的接口標識符∷0：5EFE：X.X.X.X（這里的X.X.X.X是雙棧主機的IPv4公共或私有單播地址），構(gòu)成一個ISATAP地址；配置了ISATAP地址之后，就成了一個ISATAP客戶機，進而就可以在IPv4域內(nèi)和其它的ISATAP客戶機進行通信或通過ISATAP接入服務器（ISATAP主機使用DNS及其他IP名稱解析技術(shù)來解析名稱ISATAP到一個IPv4地址，以獲得ISATAP接入服務器的IPv4地址）訪問外部IPv6網(wǎng)絡。在DirectAccess部署中，如果企業(yè)內(nèi)網(wǎng)中的主機沒有IPv6網(wǎng)絡，將啟用 ISATAP來實現(xiàn)其自身的鄰居發(fā)現(xiàn)。

6to4是一種地址分配和路由器到路由器的自動隧道技術(shù)，它采用特殊的6to4地址（前綴格式為2002：a.b.c.d/48，其中a.b.c.d是接口的IPv4地址）使得IPv4海洋中的IPv6孤島（站點或主機）能相互連接。典型的應用模式是：子網(wǎng)中有一臺使用公開IPv4地址的設(shè)備作為6to4路由器（既有6to4地址又有IPv4地址）與IPv4網(wǎng)絡相連，這時子網(wǎng)中的主機就可以使用6to4地址通過該網(wǎng)關(guān)與其他類似的6to4子網(wǎng)通信或與6to4中繼路由器（既擁有6to4地址又擁有IPv6單播地址）通信進而接入純IPv6子網(wǎng)。在DirectAccess部署中，當DirectAccess 客戶端位于IPv4 Internet之上且接口擁有一個公用 IPv4 地址時，DirectAccess 客戶端將嘗試使用 6to4 封裝發(fā)送到 DirectAccess 服務器的 IPv6 流量，此時DirectAccess 服務器位于 IPv4 Internet之上，擁有6to4地址，扮演了6to4路由器的角色。注意：這時在 IPv4 Internet 上，DirectAccess 客戶端和服務器之間必須存在一個允許 IPv4 協(xié)議 41 流量的路由路徑。

Teredo（又稱為面向 IPv6 的 IPv4 NAT 網(wǎng)絡地址轉(zhuǎn)換穿越）是一種地址分配和主機到主機之間的自動隧道，用于當 IPv6 / IPv4 主機位于一個或多個 IPv4 NAT 之后時，將IPv6單播數(shù)據(jù)包封裝在IPv4用戶數(shù)據(jù)包協(xié)議（UDP）消息中進行傳輸。Teredo 使用特殊的地址，其格式如下：32位的Teredo 前綴（3FFE：831F：：/32），32位的Teredo 服務器 IPv4 地址，16位的Teredo 標志，16位與該 Teredo 客戶端所有 Teredo 通信相對應的外部 UDP 端口的隱藏模式（外部端口與 0xFFFF 進行邏輯異或運算），32 位與Teredo 客戶端所有 Teredo 通信相對應的外部 IPv4 地址的模糊形式（外部地址通過與0xFFFFFFFF 進行異或運算）。在DirectAccess部署中，DirectAccess服務器是Teredo服務器，它使用UDP 3544端口偵聽Teredo通信，幫助 Teredo客戶端進行地址配置，協(xié)助在Teredo客戶端（遠程客戶端及內(nèi)網(wǎng)資源主機）之間建立通信連接。作為實現(xiàn) IPv6 連接的最后一種轉(zhuǎn)換技術(shù)，Teredo由于封裝UDP和維持用于建立或維持一個 NAT 映射的Teredo氣泡，所以性能會受很大的影響。

IP-HTTPS[5]是一種隧道技術(shù)，只不過它是在DirectAccess客戶端無法使用其它ipv6連接方法穿越web代理服務器、防火墻或NAT等設(shè)備連接到DirectAccess服務器，或者人為強制時自動啟用，將IPv6數(shù)據(jù)包封裝到HTTPs或HTTP協(xié)議中進行傳輸?shù)臋C制。在DirectAccess部署中，DirectAccess服務器通過配置URI（通用資源標志符）扮演IP-HTTPS服務器監(jiān)聽在443端口等待客戶端的https連接，并在成功建立連接后封裝與解壓客戶端與內(nèi)網(wǎng)資源主機之間的通信。IP-HTTPS作為一種替代的隧道技術(shù)，要將傳輸層的協(xié)議SSL及其之上的HTTP封裝到IPSec負載中，顯然花銷比較大，傳輸性能會受到很大的影響。

3 一個實際的案例

某大學有一個主校區(qū)和兩個分校區(qū)，且財務部門已經(jīng)在主校區(qū)中搭建了一個獨立的財務子網(wǎng)并在其中部署了若干臺基于windows2003系統(tǒng)的財務應用服務器?，F(xiàn)為了避免師生員工往返多個校區(qū)報賬，節(jié)約交通經(jīng)費和提高工作效率，財務部門在相對開放的校園網(wǎng)環(huán)境上搭建了如圖1所示財務辦公專網(wǎng)，以將財務子網(wǎng)安全地延伸至各個分校區(qū)。

圖1

在搭建這個跨校區(qū)財務辦公網(wǎng)時，考慮了如下幾點要素：

1）網(wǎng)絡拓撲結(jié)構(gòu)的改變不能影響現(xiàn)有財務業(yè)務的正常運行以及員工的操作習慣。

2）建設(shè)成本不要太高，相對于購置專業(yè)的VPN設(shè)備，本解決方案僅僅需要在主校區(qū)增加兩臺PC，一臺windows 2008 R2（命名為計算機A）用于部署DC、AD、根AC及DNS等，另一臺裝有兩個網(wǎng)卡的windows 2008 R2（命名為計算機B）用于部署DirectAccess服務器；分校區(qū)的財務辦公計算機需全部換裝windows 7旗艦版；

3）最后是安全性要求：主校區(qū)DirectAccess服務器兩個網(wǎng)卡之間是不設(shè)置IPv4路由，分校區(qū)與主校區(qū)的財務數(shù)據(jù)僅能夠通過DirectAccess這個安全通道來傳輸，這相當于在物理上隔離了校園網(wǎng)和財務子網(wǎng)；分校區(qū)的財務子網(wǎng)均通過NAT設(shè)備（允許6to4通過）接入校園網(wǎng)，這也在某種程度上對校園網(wǎng)上其它計算機隱藏了財務子網(wǎng)中的網(wǎng)絡信息；基于內(nèi)網(wǎng)情況下，使用人員均為財務部門的工作人員，網(wǎng)絡安全可以得到有效的控制，因此采用點到邊緣的訪問模式來部署DirectAccess，這樣對主校區(qū)財務子網(wǎng)的影響不大，一定程度上實現(xiàn)了平滑過渡。

對應計算機A，其上所安裝DC、AD、根root及DNS的步驟限于文章篇幅就不再贅述了，下面僅介紹與DirectAccess設(shè)置相關(guān)的步驟[6]。

1）在安裝DNS服務為整個財務子網(wǎng)提供cw.hainnu.edu.cn域名解析時，需要運行命令行命令 dnscmd /config /globalqueryblocklist wpad來允許DNS解析ISATAP。

2）創(chuàng)建一個安全組da_clients，并在其成員中添加分校區(qū)財務子網(wǎng)中的客戶端計算機和用戶名。

3）配置一個web server證書模板，允許授權(quán)用戶即前面所創(chuàng)建的安全組注冊。

4）創(chuàng)建組策略，其中設(shè)置防火墻規(guī)則運行icmpv6流量進出。

5）指定CRL（證書回收列表）發(fā)布位置。該發(fā)布位置其實是一個網(wǎng)站，其所對應的IP地址為計算機B的外網(wǎng)網(wǎng)卡地址，域名需在Internet DNS上進行注冊，這樣當遠程客戶端計算機在外網(wǎng)上時也能訪問得到。

對應計算機B，與DirectAccess設(shè)置相關(guān)的步驟如下：

1）在兩個網(wǎng)卡上設(shè)置好對應的IP地址及DNS后綴（這很重要），然后以管理員身份加入域后才開始進行后面的的配置。

2）安裝IIS服務，并在其上創(chuàng)建證書回收列表網(wǎng)站。網(wǎng)站虛擬目錄所對應的文件夾要設(shè)置為允許計算機A讀寫。

3）這時，在計算機A上通過“證書頒發(fā)機構(gòu)”來發(fā)布證書，然后在本機上通過控制臺的證書管理單元來安裝計算機A發(fā)布出來的證書。

4）根據(jù)向?qū)О惭bDirectAccess服務。需要四步：第一步設(shè)置DirectAccess客戶端，這里要選擇之前創(chuàng)建的安全組；第二步設(shè)置連接性，這里要分別指定內(nèi)外網(wǎng)所對應的網(wǎng)卡，以及之前安裝的證書；第三步指定網(wǎng)絡位置服務器，這里選擇網(wǎng)絡位置服務器在DirectAccess服務器上運行，以及dns的IPv6地址（由IPv4地址褪色出來），第四步、第五步，指定缺省值即可。

對應所有的客戶端計算機，只需要在主校區(qū)財務子網(wǎng)中應用組策略后就可以在各分校區(qū)財務子網(wǎng)中像在主校區(qū)一樣正常的工作了。

4 結(jié)束語

DirectAccess是IPv6的一個典型應用，雖然服務器端的部署較為復雜，但是一旦完成部署，其所帶來的便利性遠遠超過這個代價。這主要體現(xiàn)在兩個方面：安全連接由windows7在后臺自動建立，這對最終用戶來說是透明的，相當于VPN來說明顯改善了用戶體驗；另一方面，部門的IT管理員可以隨時對接入的計算機終端進行遠程管理，免去了往返校區(qū)辦公的辛苦，提高了工作效率。下一步，我們考慮在校園網(wǎng)出口設(shè)備上開放DirectAccess對外網(wǎng)卡的IP地址，那么還可以對互聯(lián)網(wǎng)上的移動用戶提供訪問財務處部分應用的服務。

參考文獻：

[1] 趙釗.基于校園網(wǎng)VPN選型方案的研究與應用[J].農(nóng)業(yè)網(wǎng)絡信息.2010（9）：108-110.

[2] 施媛波.獨立學院多校區(qū)辦學條件下的財務系統(tǒng)構(gòu)建方案[J].價值工程.2011（1）：160-161.

[3] Microsoft.Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2.microsoft corp.2010，1.

[4] 傅光軒，高鴻峰，盧朝暉.下一代互聯(lián)網(wǎng)核心通信協(xié)議——IPv6原理及應用[M].貴州：貴州教育出版社.2004，12.

[5] Microsoft.IP over HTTPS （IP-HTTPS） Tunneling Protocol Specification. Microsoft Corp.2011.03.

[6] Microsoft. Test Lab Guide：Demonstrate DirectAccess.microsoft corp.2010.07.