RAS 是“Remote Access Services”这个古老的微软术语的简写，中文含意是“远程访问服务”，现在绝大多数人都将其叫作“VPN客户端”。

    显而易见的，微软公司在自己的企业内部网络当中，储存了无数价值连城的 知识产权和技术财富，其中包括其全部的操作系统和应用程序的源代码。很自然的，有无数的黑客都对这些财富垂涎三尺，不断地持续攻击着微软公司的企业内部网路。而微软公司也在竭尽全力地通过深度的防御技术来保护自己最具有价值的财产：他们构筑起了坚固的网络防火墙，并通过 IPsec 将内部网络分割开来。此外，在整个企业网络当中，任何可疑行为都处于严密的监视之下，并且有经常性的扫描检测以预防恶意软件之类的危险的侵袭。

    你知道我所说的“持续攻击”意味着什么吗？去年，微软公司的IT部门的人士告诉我，他们每个月会承受超过10万起针对性的网络攻击。而现在，微软公司会在每天所接收到的1000万封电子邮件当中，过滤掉900万封带有垃圾信息和病毒的电子邮件。是的，这意味着在全部的电子邮件当中，有大约90%都是垃圾邮件。

    在这样一个环境当中，你可能已经认识到，本文开头所提到的 VPN 网络连接很可能会将微软公司暴露在严重的安全危机之中。那么，微软公司是怎样在一方面为自己的在远方员工和合作伙伴提供 VPN 访问通道的同时，另外一方面又减轻这种危险的呢？这个问题的答案是多方面的。

一、双因素验证

    微软公司 VPN 所具有的第一层保护措施是“双因素验证措施（two-factor authentication）”。在2000年秋天发生了那起声名狼藉的入侵事件过后，微软公司安装了一套基于数字证书的公共密匙系统，并且为每一位需要进行远程访问企业网络的员工和合作伙伴，以及那些需要临时提高访问权限的外部人士，都颁发了智能识别卡（smart card）。

    双因素验证措施要求你在数字密码之外，还具有某种实物形式的授权证明。在上述情况中，它所指的就是智能识别卡片（smart card）和你的密码。

  （上面我所提到的那起著名的入侵事件，被《华尔街日报》和诸多媒体都报道过，包括 Computer World。相关的新闻报道说，那名黑客通过使用一个偷来的用户名和密码，获得了访问微软内部企业网络的权限，并且还浏览到一部分微软源代码，但并不能对这些代码进行修改。不过微软公司官方却否认了相关报道中的内容。）

    “今天，我们会要求相关用户具有一个有效的智能识别卡片以及相应的个人识别号码，并且该名用户还必须具有从远程使用网络的相关网络证明和授权许可。”微软公司内部安全主管 Mark Estberg 表示。“我们正在通过使用新的 Longhorn Server 系统，在企业内部测试部署新的双因素验证系统。这套新的验证系统将具有来自 ISA/Whale （其在2006年被微软所收购）的SSL VPN 功能，以及用于终端扫描的网络访问保护功能（Network Access Protection）。而我们也通过整合 Active Directory 和 网络策略服务 Windows 服务器来执行后端验证和授权功能。

    你可能会希望微软公司采用仿生性安全系统（biometric security）。微软公司表示他们正在评估这套系统。不过在现在这个阶段，微软还是在坚持使用智能识别卡（smart cards）。

    二、“沙盒”连接（'Sandbox' connections）

    微软公司对自己企业 VPN 网络的第二个层面的保护措施是“沙盒连接（'Sandbox' connections）”。该项措施是由 Windows Server 2003 系统的“网络访问免疫控制功能（Network Access Quarantine Control）”所实现的。当一台连网的计算机可以访问任何企业内部网络资源之前，一个特定的程序会首先扫描这台电脑，以检验其安全性