二、“沙盒”连接（'Sandbox' connections）

    微软公司对自己企业 VPN 网络的第二个层面的保护措施是“沙盒连接（'Sandbox' connections）”。该项措施是由 Windows Server 2003 系统的“网络访问免疫控制功能（Network Access Quarantine Control）”所实现的。当一台连网的计算机可以访问任何企业内部网络资源之前，一个特定的程序会首先扫描这台电脑，以检验其安全性

    首先，这台电脑上所运行的操作系统必须是经过了核准的，并且还要安装好了所有的关键安全更新；同时，这个扫描程序也是和微软的产品补丁部署系统联合在一起的，诸如微软更新站点（Microsoft Update site）等等。此外，这台电脑上的 Windows 防火墙必须是开启的。最后，这台远程电脑还不能同时连接到任何其它 VPN 网络，或是正在使用任何其它形式的远程访问软件。

    如果扫描程序发现这台电脑存在任何缺陷和不足，它会尝试去进行修正。比如说，它会升级电脑的反病毒数据库，或是强制安装关键的系统安全补丁。如果用户拒绝进行这些更新，扫描程序就会自动终止其网络连接。一旦扫描程序确定了这台电脑是干净的，并且已经安装好了所有的安全补丁，这次网络连接就会被移除“沙盒”，真正地进入到企业的内部网络之中。

    所有的这些预先检测都可能会非常地耗费时间，并有可能会让用户们感到不快。根据微软公司的 IT 部门的说法，扫描一次 VPN 登录行为有时可能会耗费长达五分钟的时间，并且在极少数情况下，所花费时间甚至会长达15分钟，比如在这台电脑不符合某些标准，并且最近都没有登录过企业内部网络的情况下。

    通常情况下，如果一个网络连结花费了15分钟还无法登录的话，正常人的反应可能是早就将其给挂断了。并且，VPN 网络连结是一种非常有限的珍贵资源，不应该被白白浪费。因此，微软的 VPN 登录系统会为那些经常使用 VPN 网络的用户们加快登录进程。

    在每一次登陆的时候，网络服务器会记得有哪些是已经被扫描过的，从而在一段时间之内就不需要再次扫描了。因此，那些经常使用 VPN 网络的用户们，可以在一分钟之内登陆进微软的企业内部网络。