快速业务通道

优秀的接班人——Windows Server 2008

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26
候,势必给企业内网的安全带来非常大的考验。好在NAP及时出现在我们的视线中。

要想描述清楚NAP系统是不容易的,简单来说NAP是一组服务器的集合,其核心服务器称为网络策略服务器(NPS),配合NPS工作的有健康注册管理机构(HRA)、安全修正服务器以及运行在客户端的安全状况收集程序——系统健康代理(SHA)等。一个典型的NAP系统通常有以下几个部分:

NAP客户端

若要访问网络,首先由NAP代理从运行在NAP客户端计算机本地的系统健康代理(SHA)收集有关该客户端健康状况的信息。NAP代理是一种在本地计算机上运行的服务,能够收集来自 SHA 的信息。安装在客户端计算机上的每SHA都提供当前设置或设计用于监视的活动的相关信息。NAP代理服务将汇总该计算机的健康状态信息并将此信息传递给一个或多个NAP强制客户端。强制客户端是与 NAP 强制点交互以便在网络上进行访问或通信的软件。

强制技术

可用于作为判断依据决定如何匹配NAP策略的五种网络访问技术。这五种网络访问技术是:

Internet 协议安全性(IPSec)。

802.1X

VPN

DHCP

远程桌面网关(RD 网关)

每个NAP策略都可以指定到某一种网络访问技术,当客户端接入网络后,就会被判断出其使用了那种网络访问技术,从而对应到相应的NAP策略。

NAP 强制点

NAP强制点是一个服务器或硬件设备,它向NAP客户端计算机提供某个级别的网络访问权限。每个NAP强制技术的执行都对应使用不同类型的NAP强制点。在使用 802.1X 强制的 NAP 中,NAP 强制点是兼容 IEEE 802.1X 的交换机或无线访问点。IPSec、DHCP 和 RD 网关强制方法的 NAP 强制服务器也必须运行配置为 RADIUS 代理或 NAP 健康策略服务器的 NPS。使用 VPN 强制的 NAP 不要求在 VPN 服务器上安装 NPS。可以在某个网络上使用一种、几种或者所有执行方法。

健康注册管理机构(HRA)

健康注册机构(HRA)负责验证客户端凭据,然后将证书申请转发到代表客户端的证书机构(CA)。通过检查网络策略服务器(NPS),HRA 可验证证书申请以确定 NAP 客户端是否与网络健康要求兼容。如果发现客户端兼容,HRA 将从 CA 申请特殊类型的证书(称为健康证书)。由 NAP 客户端计算机使用的健康证书用于受 IPSec 保护的网络上的通信。在此功能中,HRA 将作为 NAP 强制服务器,使用 NAP Internet 协议安全(IPSec)强制方法。

NAP 健康策略服务器

NAP健康策略服务器是一台运行 Windows Server 2008 或 Windows Server 2008 R2 的计算机,并且已安装和配置了NPS角色服务,用于评估NAP客户端计算机的健康状况。所有的NAP强制技术至少需要一个健康策略服务器。NAP健康策略服务器使用策略和设置对 NAP客户端计算机提交的网络访问请求进行评估。

NAP修正服务器

NAP 修正服务器能够向被判断为不安全的客户端计算机提供安全更新服务。当然,标识为安全的的客户端计算机也可以访问修正服务器。NAP修正服务器的示例包括:

防病毒签名服务器。如果健康策略要求计算机必须有最新的防病毒签名,则标识为不安全的计算机必须具有对提供这些更新的服务器的访问权限。

Windows Server Update Services。如果健康策略要求计算机必须有最新的安全更新或其他软件更新,可以通过将 WSUS 放置在更新网络上来提供这些更新。

System Center 组件服务器。System Center Configuration Manager 管理点、软件更新点和分发点用于承载使计算机兼容所需的软件更新。使用配置管理器部署 NAP 时,支持 NAP 的计算机要求访问运行这些站点系统角色的计算机才能下载其客户端策略、扫描软件更新安全性以及下载所需的软件更新。

域控制器。不安全的计算机可能会要求访问位于不安全网络上的域服务以进行身份验证,以便从组策略下载策略或维护域配置文件设置。

DNS 服务器。不安全的计算机必须

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号