遠端訪問的型別使用的協議和身份驗證方法介紹

1.1 遠端訪問

通過將“路由和遠端訪問”配置為充當遠端訪問伺服器，可以將遠端工作人員或流動工作人員連線到組織網路上。遠端使用者可以像其計算機物理連線到網路上一樣進行工作。

利用遠端訪問連線可以使用通過 LAN 連線的使用者通常可用的所有服務（包括檔案共享和列印共享、Web 伺服器訪問和訊息傳遞）。例如，在執行“路由和遠端訪問”的伺服器上，客戶端可以使用 Windows 資源管理器來建立驅動器連線和連線到印表機。由於遠端訪問完全支援驅動器號和通用命名約定 (UNC) 名稱，所以，大多數商用應用程式和自定義應用程式不必進行修改即可使用。

執行“路由和遠端訪問”的伺服器提供兩種不同型別的遠端訪問連線：

? 虛擬專用網路 (VPN)

VPN 可以跨專用網路或公用網路（例如 Internet）建立安全的點對點連線。VPN 客戶端使用基於 TCP/IP 的特殊協議（稱為隧道協議）對 VPN 伺服器上的虛擬埠進行虛擬呼叫。虛擬專用網路的最佳示例是與連線到 Internet 的遠端訪問伺服器建立 VPN 連線的 VPN 客戶端。遠端訪問伺服器應答虛擬呼叫，對呼叫者進行身份驗證，並在 VPN 客戶端與公司網路之間傳輸資料。

與撥號網路相反，VPN 始終是通過公用網路（例如 Internet）在 VPN 客戶端與 VPN 伺服器之間建立的邏輯間接連線。為了確保隱私安全，必須對通過該連線傳送的資料進行加密。

? 撥號網路

在撥號網路中，遠端訪問客戶端使用電信提供商的服務（例如模擬電話和 ISDN）與遠端訪問伺服器上的物理埠建立非永久的撥號連線。撥號網路的最佳示例是撥打遠端訪問伺服器的一個埠的電話號碼的撥號網路客戶端。

基於模擬電話或 ISDN 的撥號網路是撥號網路客戶端與撥號網路伺服器之間的直接物理連線。可以對通過該連線傳送的資料進行加密，但並非必須。

本章內容詳細介紹如何使用Microsoft?Windows? Server 2008實現一個遠端網路資源訪問方案。講述如何配置VPN（虛擬專用網）隧道。他們如何進行身份驗證。

1.2 VPN介紹

VPN是當前應用較為廣泛的技術，既可以使用VPN技術使出差的使用者或能夠通過Internet訪問內網，通過配置站點間VPN將兩個區域網通過Internet連線起來。

1.2.1 什麼是VPN

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網路”。顧名思義，虛擬專用網路我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連線在Internet上的位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它並不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬體裝置。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火牆裝置或WINDOWS2008等軟體裡也都支援VPN功能，一句話，VPN的核心就是在利用公共網路建立虛擬私有網。

虛擬專用網（VPN）被定義為通過一個公用網路（通常是因特網）建立一個臨時的、安全的連線，是一條穿過混亂的公用網路的安全、穩定的隧道。虛擬專用網是對企業內部網的擴充套件。虛擬專用網可以幫助遠端使用者、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連線，並保證資料的安全傳輸。虛擬專用網可用於不斷增長的移動使用者的全球因特網接入，以實現安全連線；可用於實現企業網站之間安全通訊的虛擬專用線路，用於經濟有效地連線到商業夥伴和使用者的安全外聯網虛擬專用網。下面我們結合本站有關思科及微軟關於VPN方面的文章為大家介紹這方面的資訊，更多更豐富的相關方面內容我們將在以後日子裡進行補充。

1.2.2 VPN的分類方案

針對不同的使用者要求，VPN有三種解決方案：遠端訪問虛擬網（Access VPN）、企業內部虛擬網（Intranet VPN）和企業擴充套件虛擬網（Extranet VPN），這三種型別的VPN分別與傳統的遠端訪問網路、企業內部的Intranet以及企業網和相關合作夥伴的企業網所構成的Extranet（外部擴充套件）相對應。

1.2.3 VPN需求及可解決方案

虛擬專用網可以幫助遠端使用者、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連線，並保證資料的安全傳輸。通過將資料流轉移到低成本的壓網路上，一個企業的虛擬專用網解決方案將大幅度地減少使用者花費在都會網路和遠端網路連線上的費用。同時，這將簡化網路的設計和管理，加速連線新的使用者和網站。另外，虛擬專用網還可以保護現有的網路投資。隨著使用者的商業服務不斷髮展，企業的虛擬專用網解決方案可以使使用者將精力集中到自己的生意上，而不是網路上。虛擬專用網可用於不斷增長的移動使用者的全球因特網接入，以實現安全連線；可用於實現企業網站之間安全通訊的虛擬專用線路，用於經濟有效地連線到商業夥伴和使用者的安全外聯網虛擬專用網。

目前很多單位都面臨著這樣的挑戰：分公司、經銷商、合作伙伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源，這些資源包括:公司的內部資料、辦公OA、ERP系統、CRM系統、專案管理系統等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連線。

對於很多IPSec VPN使用者來說，IPSec VPN的解決方案的高成本和複雜的結構是很頭疼的。存在如下事實：在部署和使用軟硬體客戶端的時候，需要大量的評價、部署、培訓、升級和支援，對於使用者來說，這些無論是在經濟上和技術上都是個很大的負擔，將遠端解決方案和昂貴的內部應用相整合，對任何IT專業人員來說都是嚴峻的挑戰。由於受到以上IPSec VPN的限制，大量的企業都認為IPSec VPN是一個成本高、複雜程度高，甚至是一個無法實施的方案。為了保持競爭力，消除企業內部資訊孤島，很多公司需要在與企業相關的不同的組織和個人之間傳遞資訊，所以很多公司需要找一種實施簡便，不需改變現有網路結構，運營成本低的解決方案。

VPN是Virtual Private Network的縮寫，中文譯為虛擬專用網。Virtual Network的含義有兩個，一是VPN是建立在現有物理網路之上，與物理網路具體的網路結構無關，使用者一般無需關心物理網路和裝置；二是VPN使用者使用VPN時看到的是一個可預先設定義的動態的網路。Private Network的含義也有兩個，一是表明VPN建立在所有使用者能到達的公共網路上，特別是Internet，也包括PSTN、幀中繼、ATM等，當在一個由專線組成的專網內構建VPN時，相對VPN這也是一個“公網”；二是VPN將建立專用網路或者稱為私有網路，確保提供安全的網路連線，它必須具備幾個關鍵功能：認證、訪問控制、加密和資料完整。

1.2.4 VPN使用的協議

  VPN中的隧道是由隧道協議形成的，VPN使用的隧道協議主要有三種：點到點隧道協議（PPTP）、第二層隧道協議（L2TP）以及IPSec。

PPTP封裝了PPP資料包中包含的使用者資訊，支援隧道交換。隧道交換可以根據使用者許可權，開啟並分配新的隧道，將PPP資料包在網路中傳輸。另外，隧道交換還可以將使用者導向指定的企業內部伺服器。PPTP便於企業在防火牆和內部伺服器上實施訪問控制。位於企業防火牆的隧道終端器接受包含使用者資訊的PPP資料包，然後對不同來源的資料包實施訪問控制。

L2TP協議綜合了PPTP協議和L2F（Layer 2 Forwarding）協議的優點，並且支援多路隧道，這樣可以使使用者同時訪問Internet和企業網。

IPSec是用來增強VPN安全性的標準協議。IPSec包含了使用者身份認證、查驗和資料完整性等內容。該協議標準由IETF組織制訂，其中規定了用以在兩個IP工作站之間進行加密、數字簽名等而使用的一系列IP級協議。IPSec實現來自不同廠商的裝置在進行隧道開通和終止時的互操作。另外，由於IPSec的安全性功能與金鑰管理系統鬆散耦合，所以當金鑰管理系統發生變化時，IPsec的安全機制不需要進行修改。

PPTP和L2TP都使用PPP協議對資料進行封裝，然後新增附加包頭用於資料在網際網路絡上的傳輸。儘管兩個協議非常相似，但是仍存在以下幾方面的不同：

? PPTP要求網際網路絡為IP網路。L2TP只要求隧道媒介提供面向資料包的點對點的連線。L2TP可以在IP（使用UDP），幀中繼永久虛擬電路（PVCs)，X.25虛擬電路（VCs）或ATM VCs網路上使用。

? PPTP只能在兩端點間建立單一隧道。L2TP支援在兩端點間使用多隧道。使用L2TP，使用者可以針對不同的服務質量建立不同的隧道。

? L2TP可以提供包頭壓縮。當壓縮包頭時，系統開銷（overhead）佔用4個位元組，而PPTP協議下要佔用6個位元組。

? L2TP可以提供隧道驗證，而PPTP則不支援隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗證，不需要在第2層協議上驗證隧道

1.2.5 新的協議SSTP的支援及介紹

隨著windows server 2008的釋出，相信新的功能和特性讓IT專家們興奮不已，在新的功能中，SSTP協議支援讓通過WINDOWS 2008進行SSL-VPN訪問成為了可能。

SSTP是微軟提供的新一代的虛擬專用網（VPN）技術，它的全稱是安全套接層隧道協議（Secure Socket Tunneling Protocol;sstp），和PPTP L2TP OVER IPsec一樣，也是微軟所提供的VPN技術。在擁有最大彈性發揮的同時，又確保資訊保安達到了一定程度。

目前，支援SSTP技術的僅限於如下OS：Windows XP Sp3、Windows Vista Sp1以及Windows 2008。通使用此項新技術，可以使防火牆管理員能更容易的配置策略使SSTP流量通過其防火牆。它提供了一種機制，將PPP資料包封裝在HTTPS的SSL通訊中，從而使PPP支援更加安全身份驗方法，如EAP-TLS等。

PPTP及L2TP OVER IPSEC在使用過程中的不足

新的SSTP協議的支援，並沒有完全否決PPTP及L2TP OVER IPSEC在微軟產品所組成的解決方案中的作用，當企業使用基於WINDOWS 平臺的VPN解決方案時，這種協議仍是被常用來解決或是提升企業網路安全性。但兩者的資料包通過防火牆、NAT、WEB PROXY時卻都有可能發生一些連線方面的問題。

PPTP資料包通過防火牆時，防火牆需被設定成同時充許TCP連線以及GRE封裝的資料通過，但大部分ISP都會阻止這種封包，從而造成連線的問題；而當你的機器位於NAT之後，NAT亦必需被設定成能轉發GRE協議封裝的資料包。否則就會造成只能建立PPTP的TCP連線，而無法接收GRE協議封裝的資料包；WEB PROXY是不支援PPTP 協議的。

L2TP OVER IPSEC的情況和此類似，需要在防火牆上充許IKE 資料和ESP封裝的資料同時通過，否則也會出現連線問題。且WEB PROXY也是不支援L2TP OVER IPSEC協議的。

SSTP的執行過程：

上面簡要介紹了SSTP協議的優勢以及PPTP等之前兩種協議的不足，下面就來說下XP WITH SP3 或是VISTA WITH SP1等客戶端是如何連線到WINDOWS 2008 SSL（SSTP）VPN伺服器的：

1. SSTP VPN客戶端以隨機的TCP埠建立TCP連線至SSTP VPN伺服器（常常是SSTP VPN 閘道器伺服器）上的TCP 443埠。

2. SSTP VPN客戶端傳送一個SSL “Client-Hello”訊息給SSTP VPN伺服器，表明想與此建立一個SSL會話。

3. SSTP VPN伺服器傳送”其機器證書”至SSTP VPN客戶端。

4. SSTP VPN客戶端驗證機器證書，決定SSL會話的加密方法，併產生一個以SSTP VPN伺服器公鑰加密的SSL會話金鑰，然後傳送給SSTP VPN伺服器。

5. SSTP VPN伺服器使用此機器證書私鑰來解密收到的加密的SSL會話，之後兩者之間所有的通訊都以協商的加密方法和SSL 會話金鑰進行加密。

6. SSTP VPN客戶端傳送一個基於SSL的HTTP（HTTPS）請求至SSTP VPN伺服器。

7. SSTP VPN客戶端與SSTP VPN伺服器協商SSTP隧道。

8. SSTP VPN客戶端與SSTP VPN伺服器協商包含”使用PPP驗證方法驗（或EAP驗證方法）證使用者證書以及進行IPV4或IPV6通訊”的PPP連線。

9. SSTP VPN客戶端開始傳送基於PPP連線的IPV4或IPV6通訊流量（資料）。

1.2.6 遠端訪問身份驗證方法

Windows Server? 2008 中的遠端訪問支援下表中列出的點對點協議 (PPP) 身份驗證協議。

協議	說明	安全級別
PAP（密碼身份驗證協議）	使用純文字密碼。如果遠端訪問客戶端和遠端訪問伺服器無法協商更安全的驗證形式，則通常使用 PAP。	最不安全的身份驗證協議。不抵禦重播攻擊、遠端客戶端模擬和遠端伺服器模擬。
CHAP（質詢握手身份驗證協議）	一種質詢-響應身份驗證協議，使用行業標準的 Message Digest 5 (MD5) 雜湊方案來對響應加密。	優於 PAP 的是不會通過 PPP 鏈路傳送密碼。 要求使用純文字版本的密碼來驗證質詢響應。 不抵禦遠端伺服器模擬。
MS-CHAP v2（Microsoft 質詢握手身份驗證協議第 2 版）	MS-CHAP 的升級。 提供雙向身份驗證，也稱為相互身份驗證。遠端訪問客戶端收到其撥入的遠端訪問伺服器有權訪問使用者密碼的驗證。	安全性強於 CHAP。
EAP（可擴充套件的身份驗證協議）	允許使用身份驗證方案（稱為 EAP 型別）對遠端訪問連線進行隨意身份驗證。	可以最靈活地改變身份驗證，安全性最強。

本文轉自 onesthan 51CTO部落格，原文連結：http://blog.51cto.com/91xueit/1131953，如需轉載請自行聯絡原作者