Комментарии 7
DirectAccess — я бы назвал плюсами не автоматическое подключение (это и в других можно), а то, что он:
а) SSL
б) с сертификатами и сервера, и клиента.
а) SSL
б) с сертификатами и сервера, и клиента.
Плюсы, очевидные для клиента, конечного пользователя, как раз в простоте и автоматизации процесса подключения (к корпоративным ресурсам /ресурсам облака) и реализуемой безопасности. Что касается SSL, сертификатов, IPSec поверх IPv6, таблицы политики разрешения имен (NRPT) и прочего технологического фундамента, то да, это не плюсы для клиента, а возможности технологии, которые больше интересуют не простого обывателя, а админов и инженеров.
VPN по сертификатам вполне заменяет DirectAccess и если провайдер всё ещё живёт в 2005 году, можно развернуть ASAv самостоятельно.
Про самостоятельное развертывание ASAv мы писали тут: iaas-blog.it-grad.ru/virtualnyiy-mezhsetevoy-ekran-cisco-asav-vozmozhnosti-razvertyivanie-i-nastroyka/
Кому-то вполне заменит, а кому-то нет. VPN по сертификатам покрывает далеко не все кейсы. Например, когда компании нужна реализация двунаправленного соединения, с возможностью удаленного контроля клиента, плюс конфигурация ПО, настройка групповых политик, в частности параметров безопасности и проверка клиента «на состояние здоровья». И это не весь возможный список требований. Если не городить дополнительные решения, в чистом виде VPN по сертификатам вам этого сделать не позволит, а в Direct Access такая функциональность реализована нативно. Одно дело, что настройка Direсt Access более сложная, требует понимания деталей и занимает больше времени в конфигурации. Конечно, некоторым проще настроить VPN по сертификатам и не заморачиваться.
Естественно тупой L2TP через встроенный клиент не подойдёт, я имел ввиду AnyConnect.
Какую технологию использовать, зависит от того, что хотим получить в итоге. Возможны различные сценарии.
В кейсе с windows-инфраструктурой, например, зачастую нет необходимости изобретать велосипед. Гораздо проще воспользоваться решением, заточенным именно под соответствующую инфраструктуру и ОС. Для настройки DirectAccess нет необходимости использовать сторонние программы, вся настройка выполняется штатно. Нет необходимости возиться со сторонними утилитами, клиентская часть настройки выполняется централизованно с помощью групповой политики. Также DirectAccess обладает своими особенностями, не будем перечислять все, но, к примеру, можно строить туннели несколькими способами. Если будет недоступен IPSec, будет использоваться HTTPS. Также существует возможность добавления удаленной машины в состав домена, используя технологию Offline Domain Join и при следующей загрузке клиент станет частью корпоративной сети, используя технологию DirectAccess.
Если же в вашем сетевом окружении живут клиенты, отличные от Windows, а также мобильные устройства на Android или же iOS, использовать DirectAccess не получится. Тут можно рассмотреть иные решения, такие как Juniper network connect, или же Cisco AnyConnect. Для конфигурации клиента в таком случае потребуется дополнительная установка клиентской части, а также соблюдение ряда дополнительных требований.
В кейсе с windows-инфраструктурой, например, зачастую нет необходимости изобретать велосипед. Гораздо проще воспользоваться решением, заточенным именно под соответствующую инфраструктуру и ОС. Для настройки DirectAccess нет необходимости использовать сторонние программы, вся настройка выполняется штатно. Нет необходимости возиться со сторонними утилитами, клиентская часть настройки выполняется централизованно с помощью групповой политики. Также DirectAccess обладает своими особенностями, не будем перечислять все, но, к примеру, можно строить туннели несколькими способами. Если будет недоступен IPSec, будет использоваться HTTPS. Также существует возможность добавления удаленной машины в состав домена, используя технологию Offline Domain Join и при следующей загрузке клиент станет частью корпоративной сети, используя технологию DirectAccess.
Если же в вашем сетевом окружении живут клиенты, отличные от Windows, а также мобильные устройства на Android или же iOS, использовать DirectAccess не получится. Тут можно рассмотреть иные решения, такие как Juniper network connect, или же Cisco AnyConnect. Для конфигурации клиента в таком случае потребуется дополнительная установка клиентской части, а также соблюдение ряда дополнительных требований.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Подключение пользователей к корпоративному облаку