|
鏈路 網(wǎng)關(guān)有許多優(yōu)點(diǎn)�����,其中包括: 通過Internet網(wǎng)關(guān)�����,遠(yuǎn)程用戶可以使用加密連接�����,通過Internet 連接到內(nèi)部網(wǎng)絡(luò)資源�����,而不必配置虛擬專用網(wǎng)絡(luò) (VPN) 連接����。Internet 網(wǎng)關(guān)提供全面的安全配置模型,使您可以控制對特定內(nèi)部網(wǎng)絡(luò)資源的訪問���。 I鏈路網(wǎng)關(guān)提供點(diǎn)對點(diǎn)的 RDP 連接�����,而不是允許遠(yuǎn)程用戶訪問所有內(nèi)部網(wǎng)絡(luò)資源�����。通過Internet 網(wǎng)關(guān)����,大多數(shù)遠(yuǎn)程用戶可以連接到在專用網(wǎng)絡(luò)中的防火墻后面或跨網(wǎng)絡(luò)地址轉(zhuǎn)換程序 (NAT) 托管的內(nèi)部網(wǎng)絡(luò)資源。在此方案中����,通過I鏈路網(wǎng)關(guān),不必對鏈路 網(wǎng)關(guān)服務(wù)器或客戶端執(zhí)行其他配置�����。在此版本的 Windows Server 之前�,采用安全措施來阻止遠(yuǎn)程用戶跨防火墻和 NAT 連接到內(nèi)部網(wǎng)絡(luò)資源。這是由于出于網(wǎng)絡(luò)安全考慮����,通常通過防火墻阻止端口 3389(用于 RDP 連接的端口)���。 HTTP 安全套接字層/傳輸層安全(SSL/TLS) 隧道將 RDP通信傳輸?shù)蕉丝?443。由于大多數(shù)公司打開端口 443 I鏈路網(wǎng)關(guān)使用來支持Internet 連接��,所以�����,Internet 網(wǎng)關(guān)利用此網(wǎng)絡(luò)設(shè)計(jì)提供跨多個防火墻的遠(yuǎn)程訪問連接�����。通過 Internet 網(wǎng)關(guān)管理器管理單元控制臺可以配置授權(quán)策略��,以定義遠(yuǎn)程用戶要連接到內(nèi)部網(wǎng)絡(luò)資源必須滿足的條件����。例如��,可以指定:可以連接到網(wǎng)絡(luò)資源的用戶(即����,可以連接的用戶組)。 用戶可以連接到的網(wǎng)絡(luò)資源(計(jì)算機(jī)組)����。 客戶端計(jì)算機(jī)是否必須是 Active Directory 安全組的成員�。是否允許設(shè)備和磁盤的重定向��??蛻舳诵枰褂弥悄芸ㄉ矸蒡?yàn)證還是密碼身份驗(yàn)證,或者可以使用任一方法��?����?梢詫?Internet 網(wǎng)關(guān)服務(wù)器和終端服務(wù)客戶端配置為使用網(wǎng)絡(luò)訪問保護(hù)(NAP) 來進(jìn)一步提高安全性�����。NAP 是 Windows(R) XP Service Pack 3 (SP3)�����、Windows Vista? 和 Windows Server 2008 中包含的健康策略創(chuàng)建���、強(qiáng)制實(shí)施和修正技術(shù)��。 通過 NAP�,系統(tǒng)管理員可以強(qiáng)制實(shí)施健康狀況要求,其中包括硬件要求���、安全更新要求��、所需的計(jì)算機(jī)配置以及其他設(shè)置����。 備注 在Internet網(wǎng)關(guān)強(qiáng)制使用 NAP 時����,運(yùn)行 Windows Server 2008 的計(jì)算機(jī)不能作為 NAP 客戶端使用���。如果Internet網(wǎng)關(guān)強(qiáng)制使用 NAP���,則只有運(yùn)行 Windows XP SP3 和 Windows Vista 的計(jì)算機(jī)可以作為 NAP 客戶端使用。 有關(guān)如何將Internet網(wǎng)關(guān)配置為使用 NAP 對連接到Internet 網(wǎng)關(guān)服務(wù)器的終端服務(wù)客戶端強(qiáng)制實(shí)施健康策略的信息���,請參閱“Internet 網(wǎng)關(guān)循序漸進(jìn)指南”�。 可以將Internet網(wǎng)關(guān)服務(wù)器與 MicrosoftInternetSecurity and Acceleration (ISA) 服務(wù)器結(jié)合使用來增強(qiáng)安全性��。在此方案中����,可以在專用網(wǎng)絡(luò)(而不是外圍網(wǎng)絡(luò)�,也稱為 DMZ�、隔離區(qū)和屏蔽子網(wǎng))中承載Internet網(wǎng)關(guān)服務(wù)器,并且可以在外圍網(wǎng)絡(luò)中承載 ISA 服務(wù)器�。可以在面向Internet的 ISA 服務(wù)器上終止終端服務(wù)客戶端和 ISA 服務(wù)器之間的 SSL 連接��。 有關(guān)如何將 ISA服務(wù)器配置為Internet 網(wǎng)關(guān)服務(wù)器方案的 SSL 終結(jié)設(shè)備的信息�,請參閱“Internet 網(wǎng)關(guān)循序漸進(jìn)指南”。 Internet 網(wǎng)關(guān)管理器管理單元控制臺可提供有助于您監(jiān)視Internet 網(wǎng)關(guān)的連接狀態(tài)����、運(yùn)行狀況和事件的工具。通過使用Internet 網(wǎng)關(guān)管理器�,可以指定為了進(jìn)行審核要監(jiān)視的事件(例如嘗試連接到Internet 網(wǎng)關(guān)服務(wù)器不成功)。
|
