欢迎来到天天文库
浏览记录
ID:5597463
大小:37.50 KB
页数:13页
时间:2017-12-19
《directaccess在多校区财务子网中应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、DirectAccess在多校区财务子网中应用 摘要:使用VPN进行远程访问时存在局限性,为此详细研究微软下一代远程访问技术DirectAccess,及其所使用的部分关键协议,如IPSecESP隧道、WindowsPKI、名称解析策略、IPv6overIPv4隧道等。最后,在相对开发的校园网上实现了一个跨校区传输财务数据的具体案例,这对有类似需求的机构或单位具有一定的借鉴价值。关键词:DirectAccess;财务子网;多校区;隧道;VPN中图分类号:TP393文献标识码:A文章编号:1009-3044(2014
2、)06-1191-03TheApplicationofDirectAccessinFinanceSubnetacrossMulti-schoolDistrictLUZhao-hui1,DUJia-yan2(1.NetworkCenter,HainanNormalUniversity,Haikou571158,China;2.FinanceDepartment,HainanNormalUniversity,Haikou51158,China)Abstract:Facestolimitationofvirtualpri
3、vatenetworkasaremoteaccessmethodorganizationsorreceiveunits,ThispapermainlyintroducesDirectAccess,anewsolutionthatprovidesuserswiththesameexperienceworkingremotelyastheywould13havewhenworkingintheoffice,andfurtherdetailssomekeyprotocolofDirectAccess,suchasESPt
4、unnelofIPSec,windowsPKI,NRPT,andsomeIPv6overIPv4tunnel.Lastly,implementsalivesystemonopencampusnetworkwhichtransportfinancedataacrossMulti-schoolDistrict.Itprovidescertainreferenceandguidanceforotherorganizationsorunitswhichhavefairlysimilarrequirements.Keywor
5、ds:DirectAccess;financesubnet;multi-schooldistrict;tunnel;VPN近年来,多校区办学已逐渐成为高校普遍的运作方式。在这种格局之下,如何解决财务数据等敏感信息跨校区安全共享和交流是学校信息化建设所亟待解决的问题之一。当前,大多数学校通过在校园网上部署技术成本低且具有高安全性、高可靠性等优点的VPN技术[1][2]来解决这一问题,但是VPN技术存在如下几个方面的局限性:1)用户需要通过输入认证信息、拨号、等待认证等环节来建立安全连接,而这一过程对用户来说并不是透明
6、的;2)在拨通VPN的情况下,如果您要访问Internet的情况,还是要通过intranet来进行中转,这无疑造成了带宽的浪费,同时用户访问Internet的体验也有所下降;3)VPN需要连接特定的端口,如PPTP13的1723端口等,而这些端口在很多有防火墙或者使用代理上网的场合并没有开启,当然VPN连接也就不能正常建立了;4)只有当用户启用VPN连接后IT管理员才可以访问到用户的机器,这使得哪些未连接的计算机不在IT管理员的可控范围之内。针对上述局限性,该文研究微软新推出的下一代远程访问技术DirectAcce
7、ss[3],并将其应用于解决某学校分校区财务终端安全接入主校区财务子网的问题。1DirectAccess的工作原理DirectAccess[3]是WindowsServer2008R2和Windows7中的一项新功能,它利用先进的IPv6和IPSec技术在远程客户端和企业内网之间自动建立一条跨越Internet的双向连接。实际上,DirectAccess在工作时需要先后创建两条使用TripleDataEncryptionStandard(3DES)或theAdvancedEncryptionStandard(AES
8、)进行加密的IPSecESP隧道在IPv4网络上传输IPv6数据包,其中第一阶段创建的隧道使用IPSec进行计算机验证,验证通过之后允许客户端计算机访问内网DNS及域控制器,从而下载特定的组策略和申请用户证书,这时可允许IT管理员在用户登录之前就可以对远程客户端计算机进行管理;第二阶段创建的隧道使用计算机验证和用户认证,验证通过之后客户端计算机就可以访问内网
此文档下载收益归作者所有