Care este diferența dintre DirectAccess și Always On VPN?
On decembrie 17, 2021 by admin
DirectAccess există de mulți ani, iar cum Microsoft se îndreaptă acum în direcția Always On VPN, sunt adesea întrebat „Care este diferența dintre DirectAccess și Always On VPN?”. În esență, ambele oferă un acces la distanță fără întreruperi și transparent, mereu activ. Cu toate acestea, Always On VPN are o serie de avantaje față de DirectAccess în ceea ce privește securitatea, autentificarea și gestionarea, performanța și suportabilitatea.
Securitate
DirectAccess oferă conectivitate completă la rețea atunci când un client este conectat de la distanță. Îi lipsește orice caracteristică nativă pentru a controla accesul pe bază granulară. Este posibil să restricționați accesul la resursele interne prin plasarea unui firewall între serverul DirectAccess și LAN, dar politica s-ar aplica tuturor clienților conectați.
Windows 10 Always On VPN include suport pentru filtrarea granulară a traficului. În timp ce DirectAccess oferă acces la toate resursele interne atunci când este conectat, Always On VPN permite administratorilor să restricționeze accesul clienților la resursele interne într-o varietate de moduri. În plus, politicile de filtrare a traficului pot fi aplicate pe utilizator sau pe grup. De exemplu, utilizatorilor din contabilitate li se poate acorda acces numai la serverele departamentului lor. Același lucru ar putea fi făcut și pentru HR, finanțe, IT și alții.
Autentificare și management
DirectAccess include suport pentru autentificarea puternică a utilizatorilor cu ajutorul cardurilor inteligente și a soluțiilor de parolă unică (OTP). Cu toate acestea, nu există nicio prevedere de acordare a accesului pe baza configurației sau a stării de sănătate a dispozitivului, deoarece această caracteristică a fost eliminată în Windows Server 2016 și Windows 10. În plus, DirectAccess necesită ca clienții și serverele să fie alăturate unui domeniu, deoarece toate setările de configurare sunt gestionate cu ajutorul politicii de grup Active Directory.
Windows 10 Always On VPN include suport pentru autentificare și gestionare modernă, ceea ce duce la o securitate generală mai bună. Clienții Always On VPN pot fi alăturați unui Azure Active Directory și, de asemenea, poate fi activat accesul condiționat. De asemenea, este acceptat suportul pentru autentificare modernă utilizând Azure MFA și Windows Hello for Business. Always On VPN este gestionat utilizând soluții de gestionare a dispozitivelor mobile (MDM), cum ar fi Microsoft Intune.
Performanță
DirectAccess utilizează IPsec cu IPv6, care trebuie să fie încapsulat în TLS pentru a fi direcționat pe internetul public IPv4. Traficul IPv6 este apoi convertit în IPv4 pe serverul DirectAccess. Performanța DirectAccess este adesea acceptabilă atunci când clienții au conexiuni la internet fiabile și de înaltă calitate. Cu toate acestea, în cazul în care calitatea conexiunii este de la medie la slabă, sarcina protocolară ridicată a DirectAccess, cu multiplele sale straturi de încapsulare și traducere, generează adesea performanțe slabe.
Protocolul ales pentru implementările Windows 10 Always On VPN este IKEv2. Acesta oferă cea mai bună securitate și performanță în comparație cu protocoalele bazate pe TLS. În plus, Always On VPN nu se bazează exclusiv pe IPv6, așa cum face DirectAccess. Acest lucru reduce numeroasele straturi de încapsulare și elimină necesitatea unor tehnologii complexe de tranziție și traducere IPv6, îmbunătățind și mai mult performanța față de DirectAccess.
Suportabilitate
DirectAccess este o soluție proprietară Microsoft care trebuie implementată utilizând Windows Server și Active Directory. De asemenea, necesită un server de localizare a rețelei (NLS) pentru ca clienții să determine dacă se află în interiorul sau în afara rețelei. Disponibilitatea NLS este crucială și asigurarea faptului că acesta este întotdeauna accesibil clienților interni poate reprezenta o provocare, în special în organizațiile foarte mari.
Infrastructura de suport pentru Windows 10 Always On VPN este mult mai puțin complexă decât DirectAccess. Nu este nevoie de un NLS, ceea ce înseamnă mai puține servere de provizionat, gestionat și monitorizat. În plus, Always On VPN este complet independent de infrastructură și poate fi implementat folosind servere VPN de la terți, cum ar fi Cisco, Checkpoint, SonicWALL, Palo Alto și multe altele.
Rezumat
Windows 10 Always On VPN este calea viitorului. Oferă o securitate generală mai bună decât DirectAccess, are performanțe mai bune și este mai ușor de administrat și de susținut.
Iată un rezumat rapid al unor aspecte importante ale VPN, DirectAccess și Windows 10 Always On VPN.
| Traditional VPN | DirectAccess | Always On VPN | ||
| Seamless and Transparent | Nu | Da | Da | |
| Opțiuni de conectare automată | Nu | Întotdeauna pornit | Întotdeauna pornit, app triggered | |
| Suport protocoale | IPv4 și IPv6 | Doar IPv6 | IPv4 și IPv6 | |
| Filtrare trafic | Nu | Nu | Da | |
| Azure AD Integration | Nu | Nu | Da | |
| Managementul modern | Da | Nu (doar politica de grup) | Da (MDM) | |
| Clienții trebuie să fie de domeniu-.joined? | Nu | Da | Nu | |
| Requires Microsoft Infrastructure | Nu | Da | Nu | |
| Suportă Windows 7 | Da | Da | Da | Doar Windows 10 |
Întotdeauna pe mâini VPN-On Training
Dacă sunteți interesat să aflați mai multe despre Windows 10 Always On VPN, luați în considerare înscrierea la unul dintre cursurile mele de instruire practică. Mai multe detalii aici.
Lasă un răspuns