配置w indow s 2008 作为远程访问SSL-VPN 服务器系列之一 一、新的协议 SSTP 的支持及介绍 随着 w indow s server 2008 的发布,相信新的功能和特性让 IT PRO 们兴奋不已,在新的功能中,SSTP 协议支持让通过 WINDOWS 2008 进行 SSL-VPN 访问成为了可能。 SSTP 是微软提供的新一代的虚拟专用网(VPN)技术,它的全称是安全套接层隧道协议(Secure Socket Tunneling Protocol;sstp),和 PPTP L2TP OVER IPsec 一样,也是微软所提供的 VPN 技术。在拥有最大弹性发挥的同时,又确保信息安全达到了一定程度。 目前,支持 SSTP 技术的仅限 于如下 OS:Window s XP Sp3、Window s Vista Sp1 以及 Window s 2008。通使用此项新技术,可以使防火墙管理员能更容易的配置策略使 SSTP流量通过其防火墙。它提供了一种机制,将 PPP 数据包封装在 HTTPS 的 SSL 通讯中,从而使 PPP 支持更加安全身份验方法,如 EAP-TLS 等。 二、PPTP 及 L2TP OVER IPSEC 在使用过程中的不足 新 的 SSTP 协议的支持,并没有完全否决 PPTP 及 L2TP OVER IPSEC 在微软产品所组成的解决方案中的作用,当企业使用基于 WINDOWS 平台的 VPN 解决方案时,这种协议仍是被常用来解决或是提升企业网络安全性。但两者的数据包通过防火墙、NAT、WEB PROXY 时却都有可能发生一些连线方面的问题。 PPTP 数据包通过防火墙时,防火墙需被设定成同时充许 TCP 连接以及 GRE 封 装的数据通过,但大部分 ISP 都会阻止这种封包,从而造成连线的问题;而当你的机器位于 NAT之后,NAT 亦必需被设定成能转发 GRE 协议封装的数据包。 否则就会造成只能建立 PPTP的 TCP 连接,而无法接收 GRE 协议封装的数据包;WEB PROXY 是不支持 PPTP 协议的。 L2TP OVER IPSEC 的情况和此类似,需要在防火墙上充许 IKE 数据和 ESP 封装的数据同时通过,否则也会出现连接问题。且 WEB PROXY 也是不支持 L2TP OVER IPSEC 协议的。 三、SSTP 的执行过程 上面简要介绍了 SSTP 协议的优势以及 PPTP 等之前两种协议的不足,下面就来说下 XP WITH SP3 或是 VISTA WITH SP1 等客户端是如何连接到 WINDOWS 2008 SSL(SSTP)VPN 服务器的: 1、SSTP VPN客户端以随机的 TCP 端口建立 TCP 连接至 SSTP VPN服务器(常常是 SSTP VPN 网关服务器)上的 TCP 443 端口。 ...
