如何提升组建企业网络的ROI和效率

MC特约专家 金海龙 微软(中国)有限公司信息技术部 IT经理

实际案例1

VPN，这个曾经一度被认为是远程办公利器的解决方案，随着用户需求的不断提高变得越来越难当大任。当用户可以在家里、咖啡厅、机场、餐馆轻松获得1Mbps，2Mbps甚至更高速的Internet连接时，我们的VPN延续着以KB计算的速度。投资多少到VPN上是很多IT主管头疼的问题，如果为了峰值用户维护一定的带宽，ROI(投资回报率)是很差的；如果为了平均用户规模来设计接入网络，却又难以应付诸如月结、季度结算、半年结算、年终结算时突如其来的巨大访问量。即便是勉强得到财务官的认可，投资了比较大的VPN带宽，IT经理们也会沮丧的发现，如果真的在VPN上跑业务系统，不管是时滞、安全政策的实施还是用户的可操作性都差得不能接受。

原本战绩辉煌的VPN解决方案，在高速互联的时代变得如鸡肋一样食之无味，弃之可惜。但是来自业务部门的需求却没有因为技术的瓶颈而停止，需要高速、安全、稳定的企业移动计算的呼声从来就没有停止过。还记得有位高瞻远瞩的老总说要大限度地下放决策权到一线的销售人员，因为他们接近战场。这样的想法固然好，但是如果没有强大的IT系统支撑，成为失聪+失明的前线部队是不能及时、有效地做出正确决策的。就是在这样的背景下，DA在Windows 7和Windows Server 2008 R2下的登场，可以成为终解决企业移动计算需求的坚实基础之一。

解决方案

历史惊人的相似，就如当初很多人质疑VPN的安全性一样，开始谈及Direct Access的时候，我被问及多的问题就是安全性。这不奇怪，信息安全是每个IT管理人员必须履行的职责，没有安全性就谈不上IT管理。但是很多人容易忽略的一个问题是，到底什么是信息安全？信息安全管理的目标是什么？在接触客户的过程中，我看到太多企业陷入一味的追求所谓“万全”的安全之中，终的结果是信息系统非但不能助力企业成长，反而成为限制企业发挥生产力和创造性的桎梏。难怪很多安全官每天如坐针毡，兢兢业业工作，但结果是企业决策层开始讨论IT部门存在的合理性……

本文的交流重点不是信息安全的课题，我也不准备在此探讨很多DA安全性的问题，如果大家感兴趣，可以访问微软TechNet主页，上面有非常多的资源，探讨如何保证安全DA方案的实现。但是有一点我觉得是非常有必要说明和强调：所谓信息安全管理，是将信息安全风险限制在可接受的范围内，至于什么是“可接受”的范围，我们以后有机会进一步探讨。这里我们先探讨DA的优势。

Direct Access从根本上解决了VPN的很多局限性，通过IPv6的技术特性在外网客户机和公司内网服务器之间自动建立双向连接，通过使用IPSec(Internet Protocol Security的缩写)进行计算机之间的验证从而允许IT管理部门在用户真正登录企业内部资源之前进行计算机管理，例如补丁更新、漏洞扫描和安全性扫描等。

DA连接需要设置一台Server，又分为两种模式，
Full Enterprise Network Access模式(上图)和Selected Server Access模式(下图)

DA工作时，客户机建立一个通向Direct Access Server的IPv6隧道连接，这个隧道连接可以在普通的IPv4网络上工作，而DirectAccess Server承担了网关的角色，连接内网和外网之间。

建立方便的访问，带宽不再是限制之后，带给IT管理员的挑战是：用户会不会滥用唾手可得的资源，给服务器带来不必要的资源消耗和负担？为了解决这一问题，DA可以提供两种内部资源的访问方式来满足不同管理场景的需要。

第一种是Full Enterprise Network Access及类似Exchange服务器的RPC Over Http方式，采用这种方式的DA服务器把来自用户的请求以非IPSec的方式向内网的服务器转发。

另外一种是Selected Server Access，就是有选择性地允许访问内网特定的服务器。这样做的优点是可以在DirectAccess服务器上配置访问规则进行安全控制(被访问的服务器版本必须是Windows Server 2008或2008 R2，而且这些服务器需要同时支持IPv6和IPSec协议)。这种方式是那些需要管理不同信息安全区域的IT部门所需要的。在某些场景下，远程访问用户可以被限制只能访问特定的内部服务器，当然您也可以通过配置不同的组策略来实现，但是组策略不能完全解决的问题是：当该用户回到公司以后需要恢复享有正常的访问权限，组策略不能自动识别满足。因此在很多场景下，组策略、IPSec和相关的DAS策略共同构筑远程访问的用户鉴权和授权体系。