Windows Server 2008 R2远程访问方案

使用 SSTP 的 SSL 加密的 HTTP VPN

SSL 最初作为基于 Web 的协议引入，用于使用非对称加密创建客户端与服务器之间的安全连接。它通常由网站用来保护金融和其他私人交易的安全。传统上，SSL 加密的网站会使用以 https: 而不是 http: 开头的 URL。当今，实际上有两种不同的技术被统称为“SSL VPN”。第一种技术是应用程序特定的 VPN，用于发布供用户使用浏览器作为客户端连接的基于 Web 的应用程序，其中应用程序流量在受 SSL 保护的 HTTP 内传输。

SSL 还可用于为远程访问连接创建 VPN 隧道。第二种技术与传统的 VPN 更为相像，其中客户端计算机发送的所有流量均封装在受 SSL 保护的 HTTP 内，并发送至组织的 Intranet。SSL 隧道可用于访问非 Web 应用程序。SSL VPN 流行的部分原因在于无需安装胖 VPN 客户端(SSTP 客户端目前内置在 Windows 中)，而且它们被认为比传统的 VPN 更具用户友好性。

SSL 在 OSI 网络模型的应用层运行。它的一大优势在于大多数防火墙和代理支持通过端口 443 传输 SSL 流量，因此无需对防火墙进行特殊配置即可使用。有些 Internet 服务提供商不支持基本路由封装 (GRE) 封装的数据包(用于 PPTP)，因而可能导致出现防火墙、Web 代理和网络地址转换 (NAT) 问题。同样，IKE 流量和 L2TP/IPsec 所用的封装式安全措施负载 (ESP) 封装的数据包可能无法通过受防火墙、代理和 NAT 限制的一些端口。

随着基于 SSL 的 VPN 成为行业趋势，Microsoft 在 Windows Server 2008/Vista SP1 中引入了使用 SSL VPN 协议的 PPP 以及安全套接字隧道协议 (SSTP)。它被集成到 RRAS 并实际上使用 SSL 的继承者 - 传输层安全性 (TLS)。SSTP 可处理 IPv4 和 IPv6 数据包。它支持网络访问保护 (NAP)，并可以使用与 PPTP 和 L2TP(例如 EAP-TLS)相同的身份验证协议;但是，它仅用于远程客户端访问，且不支持站点到站点 VPN。

SSTP 服务器必须具有一个网站证书(旨在实现“服务器身份验证”的目的)，以供 SSTP 客户端在建立 SSL 会话期间对服务器进行验证。SSTP 客户端必须信任 SSTP VPN 服务器使用的证书。这意味着必须在 SSTP 客户端上安装根 CA 的证书。建立 SSL 会话之后将进行用户身份验证，从而保护加密的隧道内的凭据。

SSTP 部署所涉及的步骤取决于特定配置。下文包含了各种特定情况的详细信息：

如何部署使用 NAT 路由器的基于 SSTP 的 VPN 服务器

　　http://blogs.technet.com/rrasblog/archive/2007/09/26/how-to-deploy-sstp-based-vpn-server-behind-a-nat-router.aspx

如何部署使用 SSL 终止器的基于 SSTP 的 VPN 服务器

　　http://blogs.technet.com/rrasblog/archive/2007/03/07/configuring-sstp-in-a-reverse-proxy-scenario.aspx

如何部署使用网络负载平衡 (NLB) 的基于 SSTP 的 VPN 服务器

　　http://support.microsoft.com/kb/947029

如何在同一台计算机上部署基于 SSTP 的 VPN 服务器与 Internet 信息服务 (IIS)

　　http://blogs.technet.com/rrasblog/archive/2007/11/08/configuring-iis-on-the-sstp-server-implications-and-how-to-resolve.aspx