微軟公司目前正在為Vista和Longhorn Server開發(fā)一種遠程訪問隧道協(xié)議。該協(xié)議將使用戶設(shè)備能夠安全地通過一個VPN從Internet上的任何地點訪問網(wǎng)絡(luò)，完全不需擔心常見的端口阻攔問題。
SSTP的優(yōu)勢
在第14期《網(wǎng)絡(luò)世界》的技術(shù)特寫中，記者給大家介紹了微軟最新的SSTP（安全套接字隧道協(xié)議）協(xié)議。事實上，SSTP可以創(chuàng)建一個在HTTPS上傳送的VPN隧道，從而消除與基于PPTP（點對點隧道協(xié)議）或L2TP（第2層隧道協(xié)議）VPN連接有關(guān)的諸多問題。因為這些協(xié)議有可能受到某些位于客戶端與服務(wù)器之間的Web代理、防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）路由器的阻攔。
然而，這種SSTP只適用于遠程訪問，不能支持站點與站點之間的VPN隧道。微軟公司希望，當IPSec VPN連接受到防火墻或路由器的阻攔后，SSTP可以幫助客戶減少與IPSec VPN有關(guān)的問題。此外，SSTP也不會產(chǎn)生保留的問題，因為它不會改變最終用戶的VPN控制權(quán)。基于VPN隧道的SSTP可直接插入當前的微軟VPN客戶端和服務(wù)器軟件的接口中。
微軟計劃在Windows Vista Service Pack 1和Longhorn Server中正式發(fā)布對SSTP的支持。到目前為止，Vista SP1的發(fā)布日期還沒有確定，但Longhorn可望于今年下半年正式上市。SSTP將包含在Longhorn Server Beta 3中，并于2007年上半年開始發(fā)布。
微軟公司的官員指出，他們希望與伙伴進行合作，將SSTP添加到Vista以外的其它客戶端設(shè)備上，但微軟并未透露這些伙伴的名稱。
成為RRAS的一部分
據(jù)悉，SSTP將是微軟Longhorn Server中路由及遠程訪問服務(wù)器（RRAS）的一部分。這種協(xié)議是基于SSL（安全套接層）協(xié)議開發(fā)出來的，所有的SSTP流量都會使用TCP的443端口。
據(jù)微軟公司透露，盡管已經(jīng)在SSTP中融入了帶64位內(nèi)容長度編碼標準的SSL 3.0和HTTP 1.1，但微軟公司并不準備推進SSTP的標準化。微軟認為，由于SSTP只是一種隧道協(xié)議，因此它不能直接與SSL VPN相提并論。
微軟公司RRAS主任項目經(jīng)理Samir Jain指出：“由于SSTP可以通過SSL提供全網(wǎng)絡(luò)的VPN訪問能力，RRAS可以向客戶提供基本的SSL VPN解決方案，或者成為更復(fù)雜的SSL VPN解決方案的一個組成部分，并向其提供一般性的SSL隧道。SSTP還可以在服務(wù)器中提供支持，對特定的IP地址和子網(wǎng)加以阻攔。”
Jain的看法是，SSTP允許點對點協(xié)議（PPP）的流量，也就是準備在面向流的SSL會話上進行封裝的數(shù)據(jù)報。這樣，便可以很方便地穿透防火墻。加密過程是在SSL上完成的，用戶驗證時則使用PPP。
因此利用SSTP，微軟便可以提供完整的IPv6支持，使SSTP隧道能夠在IPv6網(wǎng)絡(luò)上運行。此外，IPv6和PPPv6也可以通過SSTP隧道發(fā)送。
Jain認為，SSTP并不是針對特定應(yīng)用的，它可以支持任意應(yīng)用或協(xié)議的隧道傳輸。目前微軟在HTTPS使用的是一種類似的連接，用于將遠程過程調(diào)用從希望訪問Exchange的Outlook客戶端路由出去，但這種技術(shù)只適用于Exchange。
微軟還計劃將SSTP與即將推出的網(wǎng)絡(luò)訪問保護（NAP）技術(shù)集成在一起，后者可以為客戶端提供健康檢查，只有通過檢查的客戶端才可獲得訪問網(wǎng)絡(luò)的許可。
Jain說：“SSTP是一種RRAS內(nèi)的連接協(xié)議，而RRAS可以充當網(wǎng)絡(luò)中的NAP策略執(zhí)行點。”他認為，只需要一個策略集便可涵蓋SSTP、PPTP和L2TP隧道。
Jain指出，SSTP可以運行在從客戶端到服務(wù)器的單個HTTPS通道上，從而改善網(wǎng)絡(luò)的利用率，而且它還可以支持智能卡和RSA securID令牌等驗證技術(shù)。SSTP還支持目前的RAS特性，例如遠程訪問策略和利用連接管理器管理套件（Connection Manager Administration Kit）生成配置檔案。