Windows Server 2008 R2 作为 VPN 服务器

Question 1

PPTP 是所有协议中“最不”安全的；但当您使用 EAP-* 身份验证协议时，它对于除 FIPS-140 数据之外的所有数据都足够安全。MS-CHAPv2 也非常安全。但它依赖于密码，这几乎总是弱点（还有社会工程学，它非常有效）。

L2TP 更安全，您应该使用证书而不是 PSK 来部署它。这需要 PKI，设置起来并不太难。它比 PPTP 更安全，但只是因为需要证书或 PSK。

SSTP 基本上与 L2TP 一样安全，它再次使用证书，仍然需要 PKI。它的主要优势在于它可与廉价防火墙（或严格配置的防火墙）配合使用，这些防火墙可阻止 GRE 和 UDP 流量（分别用于 PPTP 和 L2TP）。

最佳做法是仅在服务器上单独安装 AD（或与 DNS 一起安装）；但人们经常安装其他服务而不会出现重大问题。请记住，如果此 Internet 连接服务器受到威胁，您的 AD DB 也会自动受到威胁。

Answer

PPTP 是所有协议中“最不”安全的；但当您使用 EAP-* 身份验证协议时，它对于除 FIPS-140 数据之外的所有数据都足够安全。MS-CHAPv2 也非常安全。但它依赖于密码，这几乎总是弱点（还有社会工程学，它非常有效）。

L2TP 更安全，您应该使用证书而不是 PSK 来部署它。这需要 PKI，设置起来并不太难。它比 PPTP 更安全，但只是因为需要证书或 PSK。

SSTP 基本上与 L2TP 一样安全，它再次使用证书，仍然需要 PKI。它的主要优势在于它可与廉价防火墙（或严格配置的防火墙）配合使用，这些防火墙可阻止 GRE 和 UDP 流量（分别用于 PPTP 和 L2TP）。

最佳做法是仅在服务器上单独安装 AD（或与 DNS 一起安装）；但人们经常安装其他服务而不会出现重大问题。请记住，如果此 Internet 连接服务器受到威胁，您的 AD DB 也会自动受到威胁。

Question 2

这是安全性/互操作性/设置开销之间的权衡

点对点隧道协议如果您可以设置 GRE 数据包转发和端口转发 TCP 1723，则可能是最具互操作性的并且可以通过 NAT 之类的方式很好地运行。只要您使用 MSCHAPv2（您可以在 Windows Server 2008 上使用），那么它可能就没问题。

L2TP需要 PKI 设置，并且有一些额外步骤如果您希望 VPN 服务器位于 NAT 网络上，则需要执行以下操作。

顺时针是新手，可能介于设置开销/互操作性之间。如果您希望面向未来，那么这就是您的选择。但不知道它是否支持 Mac OS。

使用 AD 作为 VPN 服务器可能不是最佳做法，但在 SOHO 环境中，VPN 服务器通常是 DC（想想 SBS）。

Answer

这是安全性/互操作性/设置开销之间的权衡

点对点隧道协议如果您可以设置 GRE 数据包转发和端口转发 TCP 1723，则可能是最具互操作性的并且可以通过 NAT 之类的方式很好地运行。只要您使用 MSCHAPv2（您可以在 Windows Server 2008 上使用），那么它可能就没问题。

L2TP需要 PKI 设置，并且有一些额外步骤如果您希望 VPN 服务器位于 NAT 网络上，则需要执行以下操作。

顺时针是新手，可能介于设置开销/互操作性之间。如果您希望面向未来，那么这就是您的选择。但不知道它是否支持 Mac OS。

使用 AD 作为 VPN 服务器可能不是最佳做法，但在 SOHO 环境中，VPN 服务器通常是 DC（想想 SBS）。

相关内容