论文部分内容阅读
摘 要:网络访问保护可以让系统根据客户端的健康情况决定其访问的网络资源范围,本文重点对网络访问保护机制的功能和工作原理进行了研究,后对以虚拟专用网络的访问保护机制设置方法和VPN服务器配置为例进行具体设置研究。
关键词:网络访问保护;VPN服务器
1 网络访问保护(NAP)概述
网络访问保护(Network Access Protection,NAP)让服务器管理人员可以强制客户端的计算机环境必须符合健康策略的要求,要求客户端计算机必须是健康的,否则客户端只能够访问受限制的网络资源,以免不健康的客户端危害到内部网络安全。Windows Server 2012系统与Windows8、Windows7、Windows Vista和Windows XP SP3等客户端都支持NAP功能。NAP可通过多个条件来决定客户端是否为健康的计算机。
2 NAP基本架构
NAP的基本架构,主要分为NAP客户端、NAP强制执行点与NAP健康策略服务器3部分。
NAP客户端需启用(System Health Agent,SHA)系统健康代理程序,负责监控客户端的健康情况(Statement of Health,SoH),并将其发送给NAP强制执行点内的服务器或设备。不同的NAP客户端有多种不同的协议将SoH传送给NAP强制执行点内的服务器,VPN客户端利用PEAP通信协议将SoH传送给VPN服务器,DHCP客户端利用DHCP通信协议将SoH传送给DHCP服务器。
NAP强制执行点可以是DHCP服务器、VPN服务器、HRA服务器、远程桌面网关、支持802.1X的交换器或无线访问接入点(AP)。NAP强制执行点接收到客户端的SoH后,便将其传给NAP健康策略服务器来检查客户端是否符合健康策略的安全要求与其所拥有的网络访问权限,并根据NAP健康策略服务器的响应来强制执行NAP策略,赋予客户端该有的网络访问权限。NAP强制执行点利用RADIUS通信协议将SoH传送给NAP健康策略服务器,故需为RADIUS客户端或RADIUS代理服务器。
NAP健康策略服务器,通过网络策略服务器(NPS)配置健康策略,需启动(System Health Validator,SHV),并通过SHV来检查NAP客户端发送来的SoH,决定客户端是否符合健康策略要求。NAP健康策略服务器必须也是RADIUS服务器,以便接收通过RADIUS协议传送来的NAP客户端SoH,并通过RADIUS将检查结果与客户端所拥有的网络访问权限发送给NAP强制执行点。
3 NAP不健康客户端修复与客户端的健康情况监控
不符合健康策略要求的NAP客户端只能访问受限制的网络资源,通过访问限制让不健康客户端通过更新服务器来安装所需组件,以便转变为符合健康策略的要求。也可以通过NPS网络策略的NAP设置来自动修复NAP客户端的不健康情况,让其成为健康的NAP客户端能够与NAP强制执行点通信。
已经连接到网络的健康客户端,若因为健康策略有变动,造成该客户端不符合最新健康策略的要求,客户端提出网络资源访问请求时,NAP便能够觉察到其为不健康客户端,此时NAP会限制客户端的网络访问权限或执行自动修复工作。
4 NAP强制执行点的运行
不同的NAP强制执行点在NAP运行过程中各有不同的工作方式。
DHCP服务器根据DHCP客户端的健康情况来给予不同的IP配置设置,让健康客户端拥有完整的网络访问服务器权限,不健康客户端只能访问受限制的网络资源。
VPN服务器会根据VPN客户端的健康情况来给予不同网络访问权限,健康客户端有完整的网络访问权限,不健康客户端可通过更新服务器通信或通过网络策略内的IP筛选器来限制能够访问的网络范围。
HRA服务器客户端利用IPsec来与其他计算机通信,可以采用计算机证书的验证方法,而且可以限制必须采用系統健康身份验证的计算机证书。IPsec客户端会将其健康状态与申请证书请求发送过HRA服务器,若客户端是健康的,HRA服务器便会替客户端向CA来申请证书,然后将证书发放给客户端。HRA服务器只会发放证书给健康的IPsec客户端,当健康客户端变成不健康时,其所拥有的系统健康身份证计算机证书也会自动被删除。
802.1X交换器或无线访问接入点需支持Microsofr Network Access Protection,可以让健康与不健康客户端连接到802.1X交换器或无线访问接入点时,分别被划分到不同的VLAN,通过VLAN来隔离健康与不健康客户端,以免不健康客户端危害到网络安全。
5 虚拟专用网络NAP的配置
配置过程包括域控制器DNS服务器、NAP健康策略服务器、VPN服务器和客户端。
(1)域控制器安装。在服务器管理器中选择服务器角色界面,勾选与服务选项在最后的安装界面中单击将此服务器升级为域控制器,重新启动,以系统管理员身份登录。打开服务器管理器,在选择服务器角色界面勾选DHCP服务器,在安装进度界面中完成DHCP设置来执行授权操作。在DHCP中设置DNS服务器IP地址和默认网关地址。
(2)NAP健康策略服务器搭建。以系统管理员身份登录系统,打开服务器管理器选择仪表板出的添加角色和功能,勾选网络策略与访问服务完成安装。在文件菜单中选择添加/删除管理单元,从列表中选择证书完成证书申请。切换到网络策略服务器,选择网络访问保护配置NAP,在网络连接方法中选择虚拟专用网络(VPN),选择RADIUS客户端输入IP地址勾选默认的Windows安全健康验证程序与启用对客户端计算机的自动修复。建立RADIUS客户端、健康策略、连接策略和网络策略。
(3)设定IP筛选器。在网络策略服务器界面中选中NAP VPN不符合,在打开的对话框中单击IP筛选器的输入筛选器按钮,新建IP筛选器,输入不符合时可访问的IP地址,勾选仅允许下列数据包。安装相同的方法设置NAP VPN不支持NAP网络策略来设置IP筛选器。
(4)VPN服务器设置。以管理员身份登录系统,打开服务器管理器,单击仪表板添加角色和功能,勾选远程访问,确认安装。切换到路由和远程访问,选中VPNS1配置并启用路由和远程访问。IP地址分配选择自动,勾选设置此服务器与RADIUS服务器一起工作。在DHCP中继代理处开放从VPN服务器来的索取选项请求。选用PEAP-MS-CHAPv2方法验证身份,Windows防火墙开放与PPTP VPN流量。
关键词:网络访问保护;VPN服务器
1 网络访问保护(NAP)概述
网络访问保护(Network Access Protection,NAP)让服务器管理人员可以强制客户端的计算机环境必须符合健康策略的要求,要求客户端计算机必须是健康的,否则客户端只能够访问受限制的网络资源,以免不健康的客户端危害到内部网络安全。Windows Server 2012系统与Windows8、Windows7、Windows Vista和Windows XP SP3等客户端都支持NAP功能。NAP可通过多个条件来决定客户端是否为健康的计算机。
2 NAP基本架构
NAP的基本架构,主要分为NAP客户端、NAP强制执行点与NAP健康策略服务器3部分。
NAP客户端需启用(System Health Agent,SHA)系统健康代理程序,负责监控客户端的健康情况(Statement of Health,SoH),并将其发送给NAP强制执行点内的服务器或设备。不同的NAP客户端有多种不同的协议将SoH传送给NAP强制执行点内的服务器,VPN客户端利用PEAP通信协议将SoH传送给VPN服务器,DHCP客户端利用DHCP通信协议将SoH传送给DHCP服务器。
NAP强制执行点可以是DHCP服务器、VPN服务器、HRA服务器、远程桌面网关、支持802.1X的交换器或无线访问接入点(AP)。NAP强制执行点接收到客户端的SoH后,便将其传给NAP健康策略服务器来检查客户端是否符合健康策略的安全要求与其所拥有的网络访问权限,并根据NAP健康策略服务器的响应来强制执行NAP策略,赋予客户端该有的网络访问权限。NAP强制执行点利用RADIUS通信协议将SoH传送给NAP健康策略服务器,故需为RADIUS客户端或RADIUS代理服务器。
NAP健康策略服务器,通过网络策略服务器(NPS)配置健康策略,需启动(System Health Validator,SHV),并通过SHV来检查NAP客户端发送来的SoH,决定客户端是否符合健康策略要求。NAP健康策略服务器必须也是RADIUS服务器,以便接收通过RADIUS协议传送来的NAP客户端SoH,并通过RADIUS将检查结果与客户端所拥有的网络访问权限发送给NAP强制执行点。
3 NAP不健康客户端修复与客户端的健康情况监控
不符合健康策略要求的NAP客户端只能访问受限制的网络资源,通过访问限制让不健康客户端通过更新服务器来安装所需组件,以便转变为符合健康策略的要求。也可以通过NPS网络策略的NAP设置来自动修复NAP客户端的不健康情况,让其成为健康的NAP客户端能够与NAP强制执行点通信。
已经连接到网络的健康客户端,若因为健康策略有变动,造成该客户端不符合最新健康策略的要求,客户端提出网络资源访问请求时,NAP便能够觉察到其为不健康客户端,此时NAP会限制客户端的网络访问权限或执行自动修复工作。
4 NAP强制执行点的运行
不同的NAP强制执行点在NAP运行过程中各有不同的工作方式。
DHCP服务器根据DHCP客户端的健康情况来给予不同的IP配置设置,让健康客户端拥有完整的网络访问服务器权限,不健康客户端只能访问受限制的网络资源。
VPN服务器会根据VPN客户端的健康情况来给予不同网络访问权限,健康客户端有完整的网络访问权限,不健康客户端可通过更新服务器通信或通过网络策略内的IP筛选器来限制能够访问的网络范围。
HRA服务器客户端利用IPsec来与其他计算机通信,可以采用计算机证书的验证方法,而且可以限制必须采用系統健康身份验证的计算机证书。IPsec客户端会将其健康状态与申请证书请求发送过HRA服务器,若客户端是健康的,HRA服务器便会替客户端向CA来申请证书,然后将证书发放给客户端。HRA服务器只会发放证书给健康的IPsec客户端,当健康客户端变成不健康时,其所拥有的系统健康身份证计算机证书也会自动被删除。
802.1X交换器或无线访问接入点需支持Microsofr Network Access Protection,可以让健康与不健康客户端连接到802.1X交换器或无线访问接入点时,分别被划分到不同的VLAN,通过VLAN来隔离健康与不健康客户端,以免不健康客户端危害到网络安全。
5 虚拟专用网络NAP的配置
配置过程包括域控制器DNS服务器、NAP健康策略服务器、VPN服务器和客户端。
(1)域控制器安装。在服务器管理器中选择服务器角色界面,勾选与服务选项在最后的安装界面中单击将此服务器升级为域控制器,重新启动,以系统管理员身份登录。打开服务器管理器,在选择服务器角色界面勾选DHCP服务器,在安装进度界面中完成DHCP设置来执行授权操作。在DHCP中设置DNS服务器IP地址和默认网关地址。
(2)NAP健康策略服务器搭建。以系统管理员身份登录系统,打开服务器管理器选择仪表板出的添加角色和功能,勾选网络策略与访问服务完成安装。在文件菜单中选择添加/删除管理单元,从列表中选择证书完成证书申请。切换到网络策略服务器,选择网络访问保护配置NAP,在网络连接方法中选择虚拟专用网络(VPN),选择RADIUS客户端输入IP地址勾选默认的Windows安全健康验证程序与启用对客户端计算机的自动修复。建立RADIUS客户端、健康策略、连接策略和网络策略。
(3)设定IP筛选器。在网络策略服务器界面中选中NAP VPN不符合,在打开的对话框中单击IP筛选器的输入筛选器按钮,新建IP筛选器,输入不符合时可访问的IP地址,勾选仅允许下列数据包。安装相同的方法设置NAP VPN不支持NAP网络策略来设置IP筛选器。
(4)VPN服务器设置。以管理员身份登录系统,打开服务器管理器,单击仪表板添加角色和功能,勾选远程访问,确认安装。切换到路由和远程访问,选中VPNS1配置并启用路由和远程访问。IP地址分配选择自动,勾选设置此服务器与RADIUS服务器一起工作。在DHCP中继代理处开放从VPN服务器来的索取选项请求。选用PEAP-MS-CHAPv2方法验证身份,Windows防火墙开放与PPTP VPN流量。