什么是DirectAccess

Direct Access 称为直接访问，它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能，外网的用户可以在不需要建立VPN连接的情况下，高速、安全的从Internet直接访问公司防火墙之后的资源。   

DirectAccess 网络连接示意图

　　Direct Access功能克服了VPN的很多局限性，它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IPv6技术的一些特性做到这点。Direct Access使用IPSec进行计算机之间的验证，这也允许了IT部门在用户登录之前进行计算机的管理。
　　Direct Access工作时，客户机建立一个通向DirectAccess 服务器的IPv6隧道连接。这个IPv6的隧道连接，可以在普通的IPv4网络上工作，如图所示。DirectAccess 服务器承担了网关的角色，连接内网和外网之间。 IPSec进行认证和加密。您可以选择用智能卡(Smart Card)进行用户身份验证。DirectAccess集成NAP，规定DirectAccess客户端 必须符合系统健康要求才能允许连接到DirectAccess服务器。 IT管理员可以配置DirectAccess服务器，限制用户和应用程序可以访问的服务器。 DirectAccess的连接建立过程　　1. 运行Windows 7的客户端计算机首先检测到它所连接的网络；
　　2. DirectAccess服务尝试连接管理员所指定的一个内网资源，如果连接成功，则DirectAccess默认计算机已经处在内网的环境中，计算机会把DirectAccess服务关闭以节省系统资源；如果访问不到，DirectAccess服务继续工作；
　　3.客户端计算机接下来使用IPv6和IPSec连接预先指定的DirectAccess服务器。如果计算机所处的不是IPv6网络，计算机建立一个IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel AddressingProtocol ，ISATAP)。这些都是Windows 7在后台完成的，不需要用户的登陆和干预；
　　4. 如果防火墙不允许连接IPv6 6to4隧道，计算机使用HTTPS协议与DirectAccess服务器进行通讯(性能会有影响)；
　　5. Windows 7客户端和DirectAccess服务器完成互相的身份验证(采用计算机证书实现)；
　　6. DirectAccess服务器根据客户端在AD中的身份和当前登陆用户，决定是否允许访问。为了避免可能的DDOS攻击，这里微软采用了DSCPs技术(Differentiated Services Code Points)；
　　7. 如果计算机启用了NAP检测，DirectAcces服务器转向NAP服务器完成客户机的安全检测。这也可以有效地避免客户机从外网联接带来的安全隐患和病毒；
　　8. 一切都完成后，DirectAccess服务器开始担当内外网信息传递的角色。
　　以上这些过程都是自动完成的，不需要用户的干预。 PKI)以提供证书。
　　* IPSec。
　　* DirectAccess服务器支持：ISATAP，Teredo，和 6to4 。