Mi a különbség a DirectAccess és az Always On VPN között?
On december 17, 2021 by admin
A DirectAccess már évek óta létezik, és mivel a Microsoft most az Always On VPN irányába mozdul el, gyakran kérdezik tőlem, hogy “Mi a különbség a DirectAccess és az Always On VPN között?”. Alapvetően mindkettő zökkenőmentes és átlátható, mindig bekapcsolt távoli hozzáférést biztosít. Az Always On VPN azonban számos előnnyel rendelkezik a DirectAccess-szel szemben a biztonság, a hitelesítés és a kezelés, a teljesítmény és a támogathatóság tekintetében.
Biztonság
A DirectAccess teljes hálózati kapcsolatot biztosít, amikor az ügyfél távolról kapcsolódik. Hiányzik belőle minden olyan natív funkció, amely a hozzáférést granulárisan szabályozná. A belső erőforrásokhoz való hozzáférés korlátozása lehetséges a DirectAccess-kiszolgáló és a LAN közé tűzfalat helyezve, de a házirend az összes csatlakoztatott ügyfélre vonatkozna.
A Windows 10 Always On VPN tartalmazza a forgalom granuláris szűrésének támogatását. Míg a DirectAccess minden belső erőforráshoz hozzáférést biztosít, amikor csatlakozik, az Always On VPN lehetővé teszi a rendszergazdák számára, hogy többféle módon korlátozzák az ügyfelek hozzáférését a belső erőforrásokhoz. Ezenkívül a forgalomszűrő házirendek felhasználónként vagy csoportonként is alkalmazhatók. Például a könyvelésben dolgozó felhasználóknak csak a részlegük szervereihez lehet hozzáférést biztosítani. Ugyanez megtehető a HR, a pénzügy, az IT és mások számára is.
Hitelesítés és kezelés
A DirectAccess támogatja az erős felhasználói hitelesítést intelligens kártyákkal és egyszeri jelszó (OTP) megoldásokkal. Nincs azonban lehetőség az eszköz konfigurációja vagy állapota alapján történő hozzáférés engedélyezésére, mivel ezt a funkciót a Windows Server 2016 és a Windows 10 rendszerből eltávolították. Emellett a DirectAccess megköveteli, hogy az ügyfelek és a kiszolgálók egy tartományhoz legyenek csatlakoztatva, mivel minden konfigurációs beállítás kezelése az Active Directory csoportházirenddel történik.
A Windows 10 Always On VPN támogatja a modern hitelesítést és kezelést, ami jobb általános biztonságot eredményez. Az Always On VPN-ügyfelek csatlakoztathatók Azure Active Directoryhoz, és a feltételes hozzáférés is engedélyezhető. A modern hitelesítés támogatása az Azure MFA és a Windows Hello for Business használatával szintén támogatott. Az Always On VPN kezelése a Mobile Device Management (MDM) megoldások, például a Microsoft Intune segítségével történik.
Teljesítmény
A DirectAccess IPsec-et használ IPv6-tal, amelyet TLS-ben kell kapszulázni, hogy a nyilvános IPv4-es interneten keresztül lehessen továbbítani. Az IPv6 forgalmat ezután a DirectAccess-kiszolgáló IPv4-re fordítja. A DirectAccess teljesítménye gyakran elfogadható, ha az ügyfelek megbízható, jó minőségű internetkapcsolattal rendelkeznek. Ha azonban a kapcsolat minősége közepes vagy gyenge, a DirectAccess magas protokollterhelése a több rétegű tokozással és fordítással gyakran gyenge teljesítményt eredményez.
A Windows 10 Always On VPN telepítésekhez az IKEv2 protokollt választják. Ez kínálja a legjobb biztonságot és teljesítményt a TLS-alapú protokollokhoz képest. Ezenkívül az Always On VPN nem támaszkodik kizárólag az IPv6-ra, mint a DirectAccess. Ez csökkenti a tokozás sok rétegét, és kiküszöböli a bonyolult IPv6-átmeneti és fordítási technológiák szükségességét, ami tovább javítja a teljesítményt a DirectAccess-hez képest.
Támogathatóság
A DirectAccess a Microsoft saját megoldása, amelyet Windows Server és Active Directory segítségével kell telepíteni. Hálózati helymeghatározó kiszolgálóra (NLS) is szükség van ahhoz, hogy az ügyfelek megállapíthassák, hogy a hálózaton belül vagy kívül tartózkodnak. Az NLS rendelkezésre állása kulcsfontosságú, és annak biztosítása, hogy a belső ügyfelek számára mindig elérhető legyen, kihívást jelenthet, különösen a nagyon nagy szervezeteknél.
A Windows 10 Always On VPN-t támogató infrastruktúra sokkal kevésbé összetett, mint a DirectAccess. Nincs szükség NLS-re, ami azt jelenti, hogy kevesebb kiszolgálót kell biztosítani, kezelni és felügyelni. Emellett az Always On VPN teljesen független az infrastruktúrától, és harmadik féltől származó VPN-kiszolgálók, például a Cisco, Checkpoint, SonicWALL, Palo Alto stb. segítségével telepíthető.
Összefoglaló
A Windows 10 Always On VPN a jövő útja. Jobb általános biztonságot nyújt, mint a DirectAccess, jobban teljesít, és könnyebb kezelni és támogatni.
Itt egy gyors összefoglaló a VPN, a DirectAccess és a Windows 10 Always On VPN néhány fontos aspektusáról.
| Hagyományos VPN | DirectAccess | Always On VPN | |
| Zökkenőmentes és átlátható | Nem | Igen | Igen |
| Automatic Connection Options | None | Always on | Always on, app triggered |
| Protokolltámogatás | IPv4 és IPv6 | Csak IPv6 | IPv4 és IPv6 |
| Traffic Filtering | No | No | Yes |
| Azure AD integráció | Nem | Nem | Igen |
| Modern kezelés | Igen | Nem (csak csoportpolitika) | Igen (MDM) |
| A klienseknek domain-nek kell lenniük.csatlakozott? | Nem | Igen | Nem |
| Szükség van Microsoft infrastruktúrára | Nem | Igen | Nem |
| Támogatja a Windows 7-et | Igen | Igen | Kizárólag Windows 10 |
Mindig VPN kéznél van-On Training
Ha többet szeretne megtudni a Windows 10 Always On VPN-ről, fontolja meg, hogy regisztráljon az egyik gyakorlati képzésemre. További részletek itt.
Vélemény, hozzászólás?