要在Internet边缘服务器提供安全、可靠的共享连接,可以通过安全的SMB over QUIC来取代传统的TCP网络传输。
QUIC 是 IETF 标准化协议,与 TCP 相比具有许多优势:
- 所有数据包始终加密,握手使用 TLS 1.3 进行身份验证
- 可靠和不可靠应用程序数据并行流式传输
- 在第一个往返行程 (0-RTT) 中交换应用数据
- 改进了拥塞控制和丢失恢复
- 在客户端 IP 地址或端口发生更改后仍然存在
==SMB over QUIC 的设计主要为远程办公、移动设备用户和高安全性组织提供“SMB VPN”==。 服务器证书通过在Internet 的 UDP 端口 443 而不是传统的 TCP 端口 445 创建 TLS 1.3 加密的隧道。 这样,加密隧道内所有 SMB 流量(包括隧道内的身份验证和授权)都不会在底层网络暴露。
默认情况下,文件服务器管理员必须主动选择启用 SMB over QUIC。并且客户端无法通过建立连接的方式强制文件服务器启用 SMB over QUIC。
而且默认情况下,Windows 客户端不会default通过SMB over QUIC的方式来请求文件服务器,只有通过如下指令指定:
指令1:
NET USE /TRANSPORT:QUIC
指令2:
New-SmbMapping -TransportType QUIC
文件服务器要启用SMB over QUIC,有如下先决条件:
- 运行 Windows Server 2022 数据中心:Azure 版
- 客户端至少是Windows 11 计算机
- 管理Windows Admin Center
- 公钥基础架构,用于颁发证书(如 Active Directory Certificate Server)或访问受信任的第三方证书颁发者(如 VeriSign、DigiCert、Let's Encrypt 等)。
Windows配置SMB over QUIC、Windows 11客户端通过SMB over QUIC连接等方法,待后续测试环境搭建部署OK后再做分享。
SMB over QUIC未来必定会在域环境下大放异彩,甚至有很高的机会作为取代FTP的解决方案。如果你看过企业防火墙上发布在Internet上的FTP服务器的攻击记录,我想作为管理者,很想有一个可以比FTP更安全,更方便的解决方案。
不过使用上,对大多数企业都会面临一个卡关条件:运行 Windows Server 2022 数据中心:Azure 版 。期待Microsoft未来能在更多版本上启用SMB over QUIC。
以上及时关于SMB over QUIC帮助实现文件服务器在公网安全共享的分享,希望对大家掌握新知识有所帮助。
