鏈路級網關對於保護源自私有、安全的網路環境的請求是很理想的。這種網關攔截TCP請求,甚至某些UDP請求,然後代表數據源來獲取所請求的信息。保證數據源的安全。
基本介紹
- 中文名:鏈路級網關
- 外文名:Circuit Level Gateways
鏈路網關優點,SSL/TLS(安全套接字層/傳輸層安全),
鏈路網關優點
1. 可以通過Internet網關,遠程用戶可以使用加密連線,通過Internet 連線到內部網路資源,而不必配置虛擬專用網路 (VPN) 連線。Internet 網關提供全面的安全配置模型,使您可以控制對特定內部網路資源的訪問。
2. 鏈路網關提供點對點的 RDP 連線,而不是允許遠程用戶訪問所有內部網路資源。通過Internet 網關,大多數遠程用戶可以連線到在專用網路中的防火牆後面或跨網路地址轉換程式 (NAT) 託管的內部網路資源。在此方案中,通過I鏈路網關,不必對鏈路 網關伺服器或客戶端執行其他配置。在此版本的 Windows Server 之前,採用安全措施來阻止遠程用戶跨防火牆和 NAT 連線到內部網路資源。這是由於出於網路安全考慮,通常通過防火牆阻止連線埠 3389(用於 RDP 連線的連線埠)。
SSL/TLS(安全套接字層/傳輸層安全)
鏈路網關使用來支持Internet 連線,所以,Internet 網關利用此網路設計提供跨多個防火牆的遠程訪問連線。通過 Internet 網關管理器管理單元控制台可以配置授權策略,以定義遠程用戶要連線到內部網路資源必須滿足的條件。例如可以指定:可以連線到網路資源的用戶(即,可以連線的用戶組)。 用戶可以連線到的網路資源(計算機組)。
客戶端計算機是否必須是 Active Directory 安全組的成員。是否允許設備和磁碟的重定向。客戶端需要使用智慧卡身份驗證還是密碼身份驗證,或者可以使用任一方法。可以將 Internet 網關伺服器和終端服務客戶端配置為使用網路訪問保護 (NAP) 來進一步提高安全性。NAP 是 Windows(R) XP Service Pack 3 (SP3)、Windows Vista® 和 Windows Server 2008 中包含的健康策略創建、強制實施和修正技術。
通過 NAP,系統管理員可以強制實施健康狀況要求,其中包括硬體要求、安全更新要求、所需的計算機配置以及其他設定。 備註 在Internet網關強制使用 NAP 時,運行 Windows Server 2008 的計算機不能作為 NAP 客戶端使用。如果Internet網關強制使用 NAP,則只有運行 Windows XP SP3 和 Windows Vista 的計算機可以作為 NAP 客戶端使用。 有關如何將Internet網關配置為使用 NAP 對連線到Internet 網關伺服器的終端服務客戶端強制實施健康策略的信息,請參閱“Internet 網關循序漸進指南”。 可以將Internet網關伺服器與Microsoft Internet Security and Acceleration (ISA) 伺服器結合使用來增強安全性。在此方案中,可以在專用網路(而不是外圍網路,也稱為 DMZ、隔離區和禁止子網)中承載Internet網關伺服器,並且可以在外圍網路中承載 ISA 伺服器。可以在面向Internet的 ISA 伺服器上終止終端服務客戶端和 ISA 伺服器之間的 SSL 連線。 有關如何將 ISA 伺服器配置為Internet 網關伺服器方案的 SSL 終結設備的信息,請參閱“Internet 網關循序漸進指南”。 Internet 網關管理器管理單元控制台可提供有助於您監視Internet 網關的連線狀態、運行狀況和事件的工具。通過使用Internet 網關管理器,可以指定為了進行審核要監視的事件(例如嘗試連線到Internet 網關伺服器不成功)。
