如何部署SSTP 协议的VPN 详解 安全套接字隧道协议(Secu re Socket Tu nneling Protocol)是微软提供的新一代的虚拟专用网(VPN)技术,一种新形的VPN 隧道的功能,类似PPTP L2TP OVER IPsec 一样。SSTP 使流量通过防火墙而阻止PPTP 和的L2TP/IPsec 流量。 SSTP 提供了一种机制,通过 HTTPS(SSL)建立 VPN 隧道,使用TCP端口 443 进行的。同时还使用PPP,支持强大的认证方法,如的EAP - TLS 的。安全套接字层( SSL )提供了增强的传输安全,加密和完整性检查。 通过下面的图,我们可以了解3 种协议的不同点: 图中最下面有大家关注 SSTP 支持的客户端 注:XP sp3 测试不支持 SSTP 协议线路图: PPTP 及L2TP OVER IPSEC 在使用过程中的不足 新的SSTP 协议的支持,并没有完全否决PPTP 及L2TP OVER IPSEC 在微软产品所组成的解决方案中的作用,当企业使用基于WINDOWS 平台的VPN 解决方案时,这种协议仍是被常用来解决或是提升企业网络安全性。但两者的数据包通过防火墙、NAT、WEB PROXY时却都有可能发生一些连线方面的问题。 PPTP 数据包通过防火墙时,防火墙需被设定成同时充许 TCP 连接以及GRE 封装的数据通过,但大部分 ISP 都会阻止这种封包,从而造成连线的问题; 而当你的机器位于NAT 之后,NAT 亦必需被设定成能转发 GRE 协议封装的数据包。否则就会造成只能建立 PPTP 的TCP 连接,而无法接收 GRE 协议封装 的数据包;WEB PROXY是不支持PPTP 协议的。 L2TP OVER IPSEC 的情况和此类似,需要在防火墙上充许 IKE 数据和 ESP 封装的数据同时通过,否则也会出现连接问题。且WEB PROXY也是不支持L2TP OVER IPSEC 协议的。 SSTP 的执行过程 上面简要介绍了SSTP 协议的优势以及PPTP 等之前两种协议的不足,下面就来说下XP WITH SP3 或是VISTA WITH SP1 等客户端是如何连接到WINDOWS 2008 SSL(SSTP)VPN 服务器的: 1、SSTP VPN 客户端以随机的TCP 端口建立 TCP 连接至SSTP VPN 服务器(常常是SSTP VPN 网关服务器)上的TCP 443 端口。 2、SSTP VPN 客户端发送一个SSL “Client-Hello”消息给SSTP VPN 服务器,表明 想 与 此建立一个SSL 会话 。 3、SSTP VPN 服务器发送“其 机器证 书 ”至SSTP VPN 客户端。 4、SSTP VPN 客户端验 证 机器证 书 ,决定 SSL 会话 的加 密 方法,并产生一个以 SSTP VPN...
