拓扑结构如图,适合部署吗?
之前我有尝试,在硬件防火墙和TMG2010(配置为后端)上分别部署VPN,可以实现拨号至访客网络或内部网络(使用不同的协议+端口转发),现考虑部署Direct Access,并将原TMG上的VPN服务,转移到DA服务器上,保留硬件防火墙上的VPN服务。
您好,
根据我的经验,我推荐您将DA服务器放置在DMZ区域,您的拓扑来看客户端从外部网络访问DA服务器时需要经过两层防火墙,首先性能是会降低的,特别是当启用HTTPS方式连接时候性能会急剧下降。如果您的DMZ区域的WEB服务需要使用HTTPS 服务时则会造成内网的DA服务器在使用HTTPS时的端口冲突问题。如果您使用2008R2 作为DA服务器,那么您将会面对非常复杂的两层防火墙配置。
更多相关资料请参阅KB: DirectAccess 设计指南 http://technet.microsoft.com/zh-cn/library/ee382297(v=ws.10).aspx DirectAccess 部署指南 http://technet.microsoft.com/zh-cn/library/ee649163(v=ws.10).aspx
一些相关的第三方资料:
有关DirectAccess的10件事情
http://security.zdnet.com.cn/security_zone/2010/0512/1738566.shtml 谢谢。
Alex Lv
感谢回复。
准备使用WS2012作为DA服务器,介绍说对DA的部署做了很大的简化。
但是TechNet中WS2012的DA介绍,大多数还都是英文资料,而且也确实没有类似的2层防火墙的部署方案。
