科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道Windows Server 2008 的 NAP概述

Windows Server 2008 的 NAP概述

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

网络访问保护 (NAP) 是 Windows Vista、Microsoft Windows XP 和 Windows Server 2008 操作系统中内置的策略执行平台,它通过强制计算机符合系统健康要求更好地保护网络资产。

2008年5月9日

关键字: NAP Windows

  • 评论
  • 分享微博
  • 分享邮件

网络访问保护 (NAP) 是 Windows Vista、Microsoft Windows XP 和 Windows Server 2008 操作系统中内置的策略执行平台,它通过强制计算机符合系统健康要求更好地保护网络资产。借助网络访问保护,您可以创建自定义的健康策略以在允许访问或通信之前验证计算机的健康状况、自动更新符合要求的计算机以确保持续的符合性,也可以将不符合要求的计算机限制到受限网络,直到它们变为符合为止。

网络访问保护包括一个应用程序接口 (API) 集,开发人员和供应商可以用来为健康策略验证、网络访问限制以及现在的健康符合性创建完整的解决方案。

若要基于系统健康状况验证对网络的访问,网络体系结构需要提供以下功能区域:

健康策略验证: 确定计算机是否符合健康策略要求。

网络访问限制:限制不符合的计算机的访问。

自动修正: 提供必要的更新以允许不符合的计算机变为符合。

正在进行的符合: 自动更新符合的计算机以便它们符合健康策略要求中正在进行的更改。

*

网络访问保护的方案

NAP 经过精心设计为客户提供最灵活的解决方案,它可以与提供系统运行状况代理 (SHA) 和系统健康验证器 (SHV) 或识别其发布的 API 集的任何供应商的软件进行互操作。例如,使用网络访问保护的第三方解决方案可能是防病毒、补丁管理、VPN 和网络设备。网络访问保护帮助为以下常见情况提供解决方案:

检查移动便携式计算机的健康和状态
借助网络访问保护,网络管理员可以在任何便携式计算机重新连接到公司网络时检查其运行状况,而不会牺牲便携式计算机的便携性和灵活性。

确保桌面计算机正在进行的健康状况
通过添加管理软件,您可以生成自动报告、对不符合要求的计算机自动进行更新以及当管理员更改健康策略时,可以为计算机提供最新的更新,从而防止访问公共资源带来的健康威胁。

确定正在访问的便携式计算机的健康状况
借助网络访问保护,管理员可以确定正在访问的便携式计算机是否有权访问网络,如果没有权限,则可以限制其对受限网络的访问,而不需要对正在访问的便携式计算机进行任何更新或配置更改。

验证非托管的家庭计算机的符合性和健康状况
通过使用网络访问保护,网络管理员可以在每次家庭计算机对网络进行 VPN 连接时检查所需的程序、注册表设置、文件或这些内容的组合,他们也可以限制到受限网络的连接,直到符合系统健康要求为止。

网络访问保护组件


Network Access Protection Components

NPS/RADIUS

Windows Server 2008 网络策略服务器 (NPS) 的远程身份验证拨入用户服务 (RADIUS) 组件没有 NAP 强制服务器 (ES) 或 NAP 强制客户端 (EC) 组件。它与 NAP ES 和 NAP EC 组件结合作为策略服务器工作。管理员必须以 NPS 服务器上策略的形式定义系统健康要求。当计算机尝试获得健康证书或连接到 802.1X 访问点、虚拟专用网 (VPN) 服务器或动态主机配置协议 (DHCP) 服务器服务时,NPS 服务器提供健康状况策略检查并与 Active Directory 目录服务协作。

健康状况组件

系统健康状况代理 (SHA): 声明健康状况(补丁状态、病毒签名、系统配置等等)。

系统健康验证器 (SHV): 验证健康状况代理所进行的声明。

系统健康状况服务器: 定义客户端上系统组件的健康状况要求。

修正服务器: 安装必要的补丁、配置和应用程序,并使客户端成为健康状态。

强制组件

强制客户端 (EC): 与网络访问设备协商访问。

网络访问设备:提供对健康端点的网络访问。(可以是交换机,也可以是访问点。)

健康注册机构: 向通过健康检查的客户端颁发证书。

平台组件

隔离代理 (QA): 报告客户端健康状态以及 SHA 和 EC 之间的协作。

隔离服务器 (QS): 根据 SHV 验证的情况限制客户端的网络访问。

网络访问保护强制机制

网络访问保护提供一个灵活的平台,该平台支持多个访问强制机制,包括但不限于:

基于身份验证的主机的 Internet 协议安全 (IPsec)

经过 IEEE 802.1X 身份验证的网络连接

远程访问的虚拟专用网 (VPN)

动态主机配置协议 (DHCP)

管理员可以单独或一起使用这些技术限制不符合的计算机。网络策略服务器在 Windows Server 2003 和 Windows Server 2008 中是 Internet 身份验证服务 (IAS) 的替代品,作为所有这些技术的健康策略服务器。

网络访问保护要求服务器运行 Windows Server 2008,要求客户端运行 Windows Vista、Windows XP Service Pack 2 (SP2) 或 Windows Server 2008。

IPsec 强制

IPsec 强制由健康证书服务器和 IPsec NAP EC 组成。当确定客户端符合时,健康证书服务器颁发 X.509 证书隔离它们。然后当 NAP 客户端开始与 Intranet 上的其他 NAP 客户端通信时,使用这些证书对 NAP 客户端进行身份验证。

IPsec 强制将网络上的通信限制为被认为是符合的那些节点,原因是它想利用 IPsec,您可以为每个 IP 地址或每个 TCP/UDP 端口号上的符合客户端定义与其安全通信的要求。成功连接并且获得有效的 IP 地址配置之后,IPsec 强制限制与符合计算机的通信。IPsec 强制是网络访问保护中最强形式的网络访问限制。

802.1X 强制

802.1X 强制由 NPS 服务器和 EAPHost NAP EC 组件组成。使用 802.1X 强制,NPS 服务器指导 802.1X 访问点(以太网交换机或无线访问点)在 802.1X 客户端上放置受限制的访问配置文件,直到它执行一组修正功能为止。受限制的访问配置文件可以由一组 IP 数据包筛选器或虚拟 LAN (VLAN) 标识符组成,用于限制 802.1X 客户端的通信。802.1X 强制为通过 802.1X 连接访问网络的所有计算机的网络访问提供比较强的限制。

VPN 强制

VPN 强制由 VPN NAP ES 组件和 VPN NAP EC 组件组成。使用 VPN 强制,VPN 服务器可以在计算机尝试对网络进行 VPN 连接时强制健康策略要求。VPN 强制为通过 VPN 连接访问网络的所有计算机的网络访问提供比较强的限制。

DHCP 强制

DHCP 强制由 DHCP NAP ES 组件和 DHCP NAP EC 组件组成。使用 DHCP 强制,DHCP 服务器可以在计算机尝试租用或续订网络上的 IP 地址配置时强制健康策略要求。DHCP 强制是最简单的部署强制,因为所有 DHCP 客户端计算机必须租用 IP 地址。由于 DHCP 强制依赖于 IP 路由表中的条目,因此它是网络访问保护中最弱的网络访问限制形式。

网络访问保护的其他组件和资源

网络访问保护由其他服务器组件、其他客户端组件、修正服务器和策略服务器组成。管理员可以在实施网络访问保护时配置一些或所有下列组件。NAP 管理服务器

NAP 管理服务器是 NPS 服务器的一个组件,它协调所有系统健康验证器 (SHV) 的输出并确定 NAP 强制服务器 (NAP ES) 组件是否应该基于配置的健康策略要求限制客户端的访问。

系统健康验证器
系统健康验证器 (SHV) 是一个服务器软件,它验证 SHA 提交的健康状况 (SoH) 是否符合所需的健康状况。SHV 在 NPS 服务器上运行,因此必须协调所有 SHV 的输出。SHV 使用健康状况响应 (SoHR) 指出是符合所需的健康状况还是不符合所需的健康状况,并且提供修正说明。

健康策略
健康策略指定无限制访问所需的条件。在 NPS 服务器上配置健康策略。网络可能有多个健康策略。例如,VPN 强制和 DHCP 强制可能使用不同的健康策略。

帐户数据库
帐户数据库存储用户和计算机的帐户及其网络访问属性。对于 Windows Server 2008 域而言,Active Directory 作为帐户数据库。

健康证书服务器
健康证书服务器是健康注册机构 (HRA)(运行 Windows Server 2008 和 Internet 信息服务 (IIS) 的计算机)和证书颁发机构 (CA) 的组合。CA 可以安装在运行 Windows Server 2008 的计算机上,也可以安装在单独的计算机上。健康证书服务器为符合要求的计算机获得健康证书。可以使用健康证书代替健康状况 (SoH) 来证明客户端符合系统健康要求。

修正服务器
修正服务器由服务器、服务或受限网络上不符合的计算机可以访问的其他资源组成。这些资源执行名称解析或存储使计算机符合健康要求所需的最新软件更新或组件。例如,辅助域名系统 (DNS) 服务器、防病毒签名文件服务器和软件更新服务器都可能是修正服务器。SHA 可以直接与修正服务器通信,也可以使用安装的客户端软件的工具。

策略服务器
SHV 与策略服务器通信以验证来自相应的 SHA 的 SoH。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章