WIN配置NAPWord格式文档下载.docx

WIN配置NAPWord格式文档下载.docx

《WIN配置NAPWord格式文档下载.docx》由会员分享，可在线阅读，更多相关《WIN配置NAPWord格式文档下载.docx（90页珍藏版）》请在冰豆网上搜索。

网络访问保护的重要性

对于网络管理人员来说，必须确认接入企业网络的所有计算机都是否更新为最新的系统状态，以及符合企业的"

健康策略（HealthPolicy）"

需求，这是一个非常耗费时间的挑战。

如果没有注意连接到企业网络的计算机其更新状态是否保持为最新，则是最常见到危害网络完整性的问题之一。

如果用户没有更新其"

操作系统更新（OperatingSystemUpdates）"

与防病毒软件代码更新为最新状态，则企业的网络将暴露于网络攻击与恶意软件（例如网络病毒）感染的风险之中。

WindowsServer2008与WindowsVista的NAP提供程序与"

应用程序编程界面（API）"

以协助管理人员设置，当用户执行网络访问或通信时，可强制其遵守企业网络计算机健康管理策略。

通过使用NAP，程序开发人员或网络管理员可以"

建立验证连接至他们所属网络的计算机"

提供符合企业计算机健康管理策略所需的更新"

限制不符合企业计算机健康管理策略要求的计算机其访问或通信能力"

。

NAP强制的功能可与其他厂商软件或与自定义的程序整合，而网络管理员可以客制化其所建立及部署的计算机健康维护解决方案，例如，监控计算机是否符合健康策略访问网络，或自动更新其软件以符合健康策略要求，或导向不符合健康策略要求的计算机隔离至一个被限制的网络等。

17.1.1 

网络访问保护可应用的情境

NAP可协助提供下面几种常见情境一个适当的解决方案：

验证漫游笔记本电脑的健康状态。

便携性和随时接入是笔记本电脑的两大优点，但是这些特性同时也可能引起计算机的安全威胁。

企业所属的笔记本电脑，可能经常需要离开企业办公场所执行操作，然后再返回企业网络操作。

因此，在回到企业办公场所前可能暂时不接收最新的系统、软件更新或系统配置更改，如果此时其又运行于未受保护的网络，例如Internet时，就有可能感染恶意程序或软件。

通过使用NAP，网络管理人员可以在该计算机连接回企业网络时确认其健康状态、是否使用VPN方式连接企业网络，或是其实际上已返回办公场所执行连接。

验证企业桌面计算机的健康状态。

虽然大多数企业所属的桌面计算机通常不会离开企业的办公场所执行操作，但是对企业网络仍会产生安全威胁。

为能最小化这些威胁，网络管理员必须维护这些计算机，确保其系统及应用程序的更新保持为最新状态，以及安装必要软件。

否则，这些计算机将处于从Web网站、电子邮件，或是从共享文件夹的文件，以及其他公开访问资源受感染的风险之中。

通过使用NAP，网络管理人员可以通过自动化的方式，检查及确认每一台桌面计算机是否符合企业计算机健康管理策略。

网络管理员可以检查记录文件，以确认不符合健康管理策略要求的计算机。

而通过其他管理软件，网络管理员可以自动产生通知信息及自动修复不符合的计算机为符合策略需求。

验证来访计算机的健康状态。

企业经常需要允许顾问、商业伙伴，以及来访客户的计算机，让其连接至企业网络。

这些访客带来的笔记本电脑可能不符合系统健康要求，而呈现出安全的风险。

通过使用NAP，网络管理人员可以确认这些参访但不符合企业计算机健康管理策略的计算机，并限制其仅能访问受到限制的网络。

验证不受企业管理的家庭计算机健康状态。

企业员工的家庭计算机并非企业ADDS域中的成员计算机。

不过企业员工却可能使用家庭计算机以远程连接的方式访问企业网络资源，因此，这些未被管理的企业员工的家庭计算机是企业网络管理人员一项额外的挑战。

此外，因为他们不提供企业网管人员物理控制的机制，缺乏物理访问该计算机将会让想要强制其遵守执行企业健康管理策略的要求更加困难，例如要求在该计算机上使用防病毒软件。

然而通过使用NAP，网络管理员可以在每当这些计算机连接至企业网络时，确认健康状态，并限制其仅能访问被限制的网络，直到其系统符合企业的健康计算机管理策略为止。

17.1.2 

网络访问保护的限制

NAP不是针对恶意软件感染而设计，而是用来维护网络安全的预防技术。

它是设计用来协助网络管理人员，自动维护企业网络计算机的健康与维护网络整体的完整性。

例如，如果一台计算机所安装的所有软件及配置设置，都符合"

健康政策（HealthPolicy）"

要求，则这台计算机被视为符合规定，并且被允许访问企业网络中授权的资源。

NAP无法防止授权的用户使用符合规定的计算机传递恶意软件到企业网络，或从事其他不适当的行为。

17.2 

网络访问保护架构与组成组件

NAP是一个在WindowsServer2008、WindowsVista及WindowsXPwithServicePack3等系统中，用于提供确认访问企业网络的计算机其系统健康状态的新组件。

NAP提供整合的方式确认尝试连入或与企业网络通信的计算机其健康状态，同时可限制其访问能力，直到该台计算机符合企业所制定的健康策略需求为止。

如果要以确认计算机的系统健康状态作为访问企业网络的基础，则企业的网络基础架构需要提供下列的4个功能。

确认健康状态：

确认尝试连入或与企业网络通信的计算机其健康状态。

网络访问限制：

限制不符合企业计算机健康策略需求的计算机，其对企业网络的访问能力。

自动修复：

自动提供不符合企业计算机健康策略需求的计算机，其所需要的"

更新（例如，启动Windows防火墙功能）"

，且不需使用者手动修复处理。

持续的符合：

"

持续的符合（OngoingCompliance）"

代表需提供自动化的更新机制，让目前已符合企业计算机健康策略需求的计算机能够持续符合更新后的计算机健康策略需求。

Microsoft提供的NAP通过提供客户端及服务器端平台来达成上述的4个功能。

此外，也允许其他第三方与其整合，以建立一个使用系统健康状态作为控制访问企业网络基础的平台。

图17-1为MicrosoftNAP平台的架构，以下将介绍并说明MicrosoftNAP平台的组成。

图17-1 

导入MicrosoftNAP平台的企业网络架构图

支持NAP平台功能用以确认计算机系统健康状态为控制网络访问方法的计算机或网络访问装置。

例如，安装WindowsVista、WindowsXPwithServicePack3、WindowsServer2008等系统的计算机。

而NAP客户端的组成包括"

客户端强制组件（EnforcementClient，EC）"

系统健康代理组件（SystemHealthAgent，SHA）"

NAPAgent"

SHAAPI（SHAApplicationProgrammingInterface）"

及"

NAPECAPI"

等组件。

而NAP客户端在NAP平台的架构如图17-2所示。

图17-2 

NAP客户端架构图

以下将介绍组成NAP客户端的各个组件。

NAPenforcementclient（EC）components：

而"

客户端强制组件（EC）"

是用来强制客户端的审核机制的，每一个EC都被定义不同类别的网络访问或沟通方法，例如：

NAPECforDHCP-basedIPv4addressconfiguration。

NAPECforremoteaccessVPNconnections。

NAPECforIPsec-protectedcommunications。

NAPECfor802.1X-authenticatedconnections。

NAPECforTSGatewayconnections。

而这些组件就存在于客户端的系统中，以便执行管理员指定项目的安全审核功能。

SystemHealthAgent：

系统健康代理，又称SHA，用于检查客户端所传回的健康状态，例如，系统更新状态、病毒特征更新版本，以及系统设置状态等，而隔离代理组件则与SHA和EC协同运行。

此隔离代理组件为跨平台组件。

每一个SHA都会定义一个系统健康要求条件或一组系统健康要求条件，如病毒特征版本更新及操作系统更新。

SHA甚至也可以使其符合"

更新服务器（RemediationServer）"

上的条件需求一致，如检查客户端的病毒特征是否符合更新服务器上所拥有的病毒特征版本一致等。

SHA当然也不一定要和更新服务器上的设置一致才算是符合条件需求，如客户端检查本机上网卡设备是否已启用个人防火墙功能之类的设置需求项目。

此外，Microsoft当然也提供了其他软件厂商可用单独开发的SHA以整合NAP运行。

NAPAgent：

维护NAP客户端目前的健康状态信息，以及协助让NAPEC及SHA两个组件间可以正常沟通。

NAPAgent提供下列服务：

从每一个SHA收集SoH（StatementofHealth），并缓存所收集到的信息。

当SHA提供新的SoH或更新SoH时，先前所缓存的SoH信息会被更新。

存储SSoH（SystemStatementofHealth）信息，以及依照需求将其提供给NAPEC。

当"

被限制网络（LimitedNetwork）"

访问状态更改时，发送通知给SHA。

发送SoHR（StatementofHealthResponse）给适当的SHA。

SHAAPI：

其由NAP平台所提供，且内置于NAP平台的SDK（SoftwareDevelopmentKit）中。

其提供一套允许SHA向NAP注册及指出"

系统健康状态（SystemHealthStatus）"

、响应NAPAgent查询系统健康状态需求，以及替NAPAgent传送"

系统健康修复信息（SystemHealthRemediationInformation）"

给SHA的"

函数调用（FunctionCalls）"

通过使用SHAAPI，Microsoft允许厂商建立及安装额外的SHA。

而NAP平台SDK的完整信息，可参考网址：

NAPECAPI：

其由NAP平台所提供，且内置于NAP平台的SDK之中。

其提供一套允许NAPEC向NAPAgent注册，以及向NAPAgent要求"

系统健康状态"

，与传送"

系统健康修复信息"

给NAPAgent的"

函数调用"

通过使用NAPECAPI，Microsoft允许其他厂商使用其建立及安装额外的NAPEC。

2．NAPenforcementpoints

此为使用模拟NAP健康策略服务器的NPS来评估NAP客户端的健康状态、网络访问及通信是否被允许，以及设置不符合计算机健康状态的NAP客户端必须执行的"

修补动作（RemediationActions）"

而NAPenforcementpoints可以是下列几种类型。

HealthRegistrationAuthority：

也称为HRA，是一台安装WindowsServer2008系统及包含从"

证书颁发机构（CertificationAuthority，CA）"

所获得符合计算机健康状态的计算机健康证书的IIS计算机。

VPN服务器：

是一台安装WindowsServer2008系统及执行路由与远程访问服务，并被设置允许远程访问VPN连接连至企业内部网络的计算机。

DHCP服务器：

是一台安装WindowsServer2008系统，以及用于自动提供IP地址及其相关配置设置的DHCP服务器服务的计算机。

网络访问装置：

例如支持802.1X的"

以太网络交换机（EthernetSwitch）"

或"

无线网络访问点（WirelessAccessPoint）"

NAPhealthpolicyservers

此简称为NPS，是一台安装WindowsServer2008操作系统，且安装存储着给NAP使用的健康需求策略及提供健康状态确认的网络策略服务器服务的计算机。

NPS在WindowsServer2008是被设计用来替换WindowsServer2003所提供的IAS（InternetAuthenticationService；

又称为"

RemoteAuthenticationDial-InUserServiceserver，RADIUS服务器"

）及"

RADIUSproxy"

的。

NPS也可以在提供网络访问时，提供模拟"

验证（Authentication）"

授权（Authorization）"

记账（Accounting）"

服务器，上述又可称为AAA服务器。

系统健康服务器（SystemHealthServer）"

依照安全条件需求的"

策略设置（CompliancePolicies）"

给予提供客户端相关系统所需组件。

网络策略服务器（NetworkPolicyServer，NPS）"

包含两部分：

隔离服务器（QuarantineServer，QS）"

和"

系统健康验证器（SystemHealthValidator，SHV）"

，隔离服务器即为Microsoft的IAS，在上面设置其策略政策以提供集中式的连入验证，以及访问授权以符合无线网络和VPN等各种不同类型网络连接。

最后的QS则是与健康确认者SHV协同运行，使SHV可获得并审核来自于SHA的状态。

3．HealthRequirementServers

HealthRequirementServers此简称为HRS，其指出需要被检查软件的版本。

例如，它可以追踪最新版的防病毒软件病毒标识符或操作系统更新文件。

ActiveDirectory域服务

ActiveDirectory域服务存储了用户账户及计算机账户的安全信息，以及NAP组策略相关设置。

虽然没有要求确认计算机健康状态，但ActiveDirectory域服务在"

IPSec-protectedtraffic"

IEEE802.1X-authenticatednetworkconnections"

RemoteaccessVPNconnections"

等NAP的实施环境中是必要的组件。

Restrictednetwork

此为被隔离的逻辑或物理网络。

而在该网络中包含了下列的组件：

：

该主机包含可让不符合企业计算机健康状态管理策略需求的NAP客户端，以"

修复（Remediate）"

其计算机健康状态至符合需求的健康状态所需的"

健康更新资源（HealthUpdateResources）"

的计算机。

例如软件更新服务器或防病毒软件病毒标识符发布服务器都符合更新服务器的需求。

被限制访问网络能力的NAP客户端（NAPClientsWithLimitedAccess）"

因不符合企业计算机健康状态策略需求而被隔离至"

被限制网络（RestrictedNetwork）"

17.3 

NAP如何运行

通过本章前述的说明，读者可以了解WindowsVista与WindowsServer2008支持将NAP用于"

IPsec-protectedtraffic"

DHCPaddressconfigurations"

TerminalServerGatewayConnections"

这5种"

实施方法（EnforcementMethod）"

而以下将介绍与说明NAP平台组件在DHCPaddressconfigurations与IEEE802.1X-authenticatednetworkconnections实施方案中，如何提供系统健康状态报告、验证网络策略符合性、限制网络访问，以及自动修复的运行流程，让读者了解NAP的运行原理。

17.3.1 

DHCPaddressconfigurations实施方法的运行原理与流程

在MicrosoftNAP平台的"

实施方法中，是通过控制DHCP客户端计算机IPv4中"

路由表（RoutingTable）"

的内容来限制其访问企业网络的。

该方法强制设置DHCP客户端的路由器项目值为0.0.0.0。

所以，不符合计算机健康策略的DHCP客户端，其默认网关的IP地址将不会被设置预先定义好的默认网关IP地址。

此外，"

实施方法也将DHCP客户端计算机的IPv4的子网掩码值设置为255.255.255.255。

因此，不符合计算机健康策略的计算机需求的DHCP客户端，将无法连接上任何企业所属的IP网络。

如果要允许不符合计算机健康策略的计算机可以访问位于"

被限制网络"

的更新服务器，则DHCP服务器可以指定包含设置主机路由至"

的"

无分类静态路由DHCP选项（ClasslessStaticRoutesDHCPoption）"

的设置，例如DNS服务器的IP地址、更新服务器的IP地址等。

所以，通过控制不符合计算机健康策略的DHCP客户端其IP配置设置及路由表等信息，用以限制网络访问的最后结果是仅允许该DHCP客户端连接至对应到隶属于被限制网络中特定的IP地址。

如果该DHCP客户端计算机中的应用程序尝试发送数据至通过无分类静态路由DHCP选项所提供以外的其他IP地址时，则TCP/IP协议将传回路由错误的信息。

不过网络管理人员要注意的是，MicrosoftNAP所提供的"

实施方法仅对使用IPv4协议的DHCP客户端有效，对于使用IPv6协议的DHCP客户端没有任何限制作用。

如果DHCP客户端的用户对其所使用的计算机拥有系统管理员的权限，则可以通过执行指令以手动的方式更改IPv4地址及路由表的相关信息，以获取企业网络没有限制的访问能力。

以下程序发生在当有支持MicrosoftNAP功能的DHCP客户端计算机，连上企业网络，并且尝试获得企业网络中有支持MicrosoftNAP功能的DHCP服务器所提供IPv4的IP地址与配置设置时。

Step1 

DHCP客户端所属NAP客户端的DHCPNAPEC会向NAPAgent组件查询SSoH信息。

Step2 

DHCP客户端所属NAP客户端的NAPAgent组件，将传送SSoH信息给DHCPNAPEC组件。

Step3 

DHCP客户端封装及传送包含作为Microsoftvendor-specificDHCP选项的SSoH信息的DHCPDiscover封包。

Step4 

企业网中有支持MicrosoftNAP功能的DHCP服务器会接收到Step03的DHCPDiscover封包。

而该DHCP服务器所属的DHCPNAPES（DHCPNAPEnforcementServer）组件，会从DHCPDiscover封包中取出SSoH信息，并将其包在RADIUSAccess-Request封包中，然后发送至NPS（NAPhealthpolicyserver）。

Step5 

NAPhealthpolicyserver所属的NPSService会接收到Step04的RADIUSAccess-Request封包，并从RADIUSAccess-Request封包中取出SSoH信息，再传给NAPhealthpolicyserver所属的NAPAdministrationServer组件。

Step6 

NAPAdministrationServer组件会将SSoH信息中的SoH，分别传给NAPhealthpolicyserver中所属适当的SHV（SystemHealthValidator）。

Step7 

SHV在接收到它们所属的SoH的内容信息后，会对其执行分析，然后传回SoHR（StatementofHealthResponse）给NAPAdministrationServer组件。

Step8 

NAPAdministrationServer组件会传送Step07的SoHR给NAPhealthpolicyserver所属的NPSService。

Step9 

NAPhealthpolicyserver所属的NPSService会比对SoHR与预先设置好的健康需求策略，以及建立SSoHR（SystemStatementofHealthResponse）。

Step10 

NAPhealthpolicyserver所属的NPSService会建立与传送包含SSoHR信息的RADIUSAccess-Accept封包给Step04的DHCP服务器。

Step11 

当DHCP服务器接收到RADIUSAccess-Accept封包时，会取出包含在内的SSoHR信息。

Step12 

DHCP服务器会传送包含IPv4格式的IP地址、相关配置信息及作为DHCPvendor-specific选项的SSoHR信息的DHCPOffer封包给Step01的DHCP客户端。

Step13 

DHCP客户端接收到Step12的DHCPOffer封包后，会响应一个含有要求提供一个IPv4格式的IP地址及相关参数要求的DHCPRequest封包。

Step14 

DHCP服务器在收到Step13的DHCPRequest封包后，会回应一个包含要提供给DHCP客户端的IPv4格式的IP地址与相关参数，以及SSoHR信息的DHCPAck封包给DHCP客户端。

Step15 

DHCP客户端在收到Step14的DHCPAck封包后，其所属NAP客户端的DHCPNAPEC组件会从所收到的DHCPAck封包中取出SSoHR信息，并将其传送给DHCP客户端所属NAP客户端的NAPAgent组件。

Step16 

NAPAgent组件再分别传送SoHR信息给DHCP客户端所属NAP客户端中适当的SHA组件。

如果NAP客户端的计算机健康状态符合企业所制定的计算机健康策略需求，则DHCP客户端所收到的DHCPAck封包将会包含正确默认网关IP地址的路由器DHCP选项，与NAP客户端被授权可以连接企业所属子网的子网掩码，但是不会包含"

无分类静态路由选项（ClasslessStaticRoutesoption）"

的设置信息。

因此