SMB over QUIC帮助实现文件服务器在公网安全共享

要在Internet边缘服务器提供安全、可靠的共享连接，可以通过安全的SMB over QUIC来取代传统的TCP网络传输。

QUIC 是 IETF 标准化协议，与 TCP 相比具有许多优势：

• 所有数据包始终加密，握手使用 TLS 1.3 进行身份验证
• 可靠和不可靠应用程序数据并行流式传输
• 在第一个往返行程 (0-RTT) 中交换应用数据
• 改进了拥塞控制和丢失恢复
• 在客户端 IP 地址或端口发生更改后仍然存在

SMB over QUIC 的设计主要为远程办公、移动设备用户和高安全性组织提供“SMB VPN”。 服务器证书通过在Internet 的 UDP 端口 443 而不是传统的 TCP 端口 445 创建 TLS 1.3 加密的隧道。 这样，加密隧道内所有 SMB 流量（包括隧道内的身份验证和授权）都不会在底层网络暴露。

默认情况下，文件服务器管理员必须主动选择启用 SMB over QUIC。并且客户端无法通过建立连接的方式强制文件服务器启用 SMB over QUIC。

而且默认情况下，Windows 客户端不会default通过SMB over QUIC的方式来请求文件服务器，只有通过如下指令指定：
指令1：

 NET USE /TRANSPORT:QUIC

指令2：

 New-SmbMapping -TransportType QUIC 

文件服务器要启用SMB over QUIC，有如下先决条件：

• 运行 Windows Server 2022 数据中心：Azure 版
• 客户端至少是Windows 11 计算机
• 管理Windows Admin Center
• 公钥基础架构，用于颁发证书（如 Active Directory Certificate Server）或访问受信任的第三方证书颁发者（如 VeriSign、DigiCert、Let’s Encrypt 等）。

Windows配置SMB over QUIC、Windows 11客户端通过SMB over QUIC连接等方法，待后续测试环境搭建部署OK后再做分享。

SMB over QUIC未来必定会在域环境下大放异彩，甚至有很高的机会作为取代FTP的解决方案。如果你看过企业防火墙上发布在Internet上的FTP服务器的攻击记录，我想作为管理者，很想有一个可以比FTP更安全，更方便的解决方案。

不过使用上，对大多数企业都会面临一个卡关条件：运行 Windows Server 2022 数据中心：Azure 版 。期待Microsoft未来能在更多版本上启用SMB over QUIC。

推荐阅读

• 解决Windows Server 2022启动PowerShell出现乱码问题
• 限制Domain Admin登录非域控服务器和用户计算机
• 我们常说的网络资产，具体是如何定义的？
• VRRP（虚拟路由器冗余协议）标准协议工作机制与优势介绍
• 专门为Web应用程序提供安全保护的设备-WAF
• HTTP状态码301(永久重定向)不同Web服务器的配置方法