本篇為上篇Direct Access成功搭建之后(點(diǎn)擊)，添加IPsec NAP功能，為Direct Access客戶端提供安全加固方案，保證內(nèi)部網(wǎng)絡(luò)安全。

一 、NAP(Network Access Protection)功能簡(jiǎn)述

網(wǎng)絡(luò)訪問(wèn)保護(hù) (NAP)。NAP 是一種創(chuàng)建、強(qiáng)制和修正客戶端健康策略的技術(shù)，包含在 Windows Vista? 客戶端操作系統(tǒng)和 Windows Server 2008 操作系統(tǒng)中。通過(guò) NAP，系統(tǒng)管理員可以設(shè)置并自動(dòng)強(qiáng)制運(yùn)行狀況策略，策略中可以包含軟件要求、安全更新要求、計(jì)算機(jī)配置要求以及其他設(shè)置。可以為不符合健康策略的客戶端計(jì)算機(jī)提供受限網(wǎng)絡(luò)訪問(wèn)，直到更新其配置并且使其符合策略時(shí)為止。根據(jù)您選擇部署 NAP 的方式，可以自動(dòng)更新不兼容的客戶端，使用戶可以快速重新獲得完全網(wǎng)絡(luò)訪問(wèn)，而不必手動(dòng)更新或重新配置其計(jì)算機(jī)。

更多詳情，請(qǐng)見(jiàn)http://www.ixpub.net/viewthread.php?tid=1038193&extra=

二、IPsec NAP網(wǎng)絡(luò)概念簡(jiǎn)述

IPsec NAP網(wǎng)絡(luò)環(huán)境把網(wǎng)絡(luò)邏輯的分成3個(gè)網(wǎng)絡(luò)，分別是安全網(wǎng)絡(luò)、邊界網(wǎng)絡(luò)、受限網(wǎng)絡(luò)。

" 安全網(wǎng)絡(luò)：此網(wǎng)絡(luò)的計(jì)算機(jī)，符合含有一個(gè)系統(tǒng)健康證書(shū)并且可以使用IPsec進(jìn)行安全通信。通常Active Directory 域中的大多數(shù)服務(wù)器例如證書(shū)服務(wù)和郵件服務(wù)器處于安全網(wǎng)絡(luò)中。

" 邊界網(wǎng)絡(luò)：此網(wǎng)絡(luò)中的計(jì)算機(jī)含有系統(tǒng)健康證書(shū)，但是需要能訪問(wèn)整個(gè)網(wǎng)絡(luò)資源，因此不需要進(jìn)行認(rèn)證和IPsec保護(hù)通信，通常這個(gè)網(wǎng)絡(luò)類型中的計(jì)算機(jī)需要評(píng)估和更新NAP客戶端計(jì)算機(jī)的系統(tǒng)健康狀態(tài)，所以NPS和HRA服務(wù)器處在這個(gè)網(wǎng)絡(luò)中，但是需要對(duì)他們進(jìn)行嚴(yán)格控制，以免對(duì)內(nèi)部網(wǎng)絡(luò)帶來(lái)安全威脅。

" 受限網(wǎng)絡(luò)：處于此網(wǎng)絡(luò)中的計(jì)算機(jī)沒(méi)有經(jīng)過(guò)安全健康檢查，并且沒(méi)有系統(tǒng)健康證書(shū)，在獲得補(bǔ)救服務(wù)器更新之前，網(wǎng)絡(luò)訪問(wèn)受限制。

#p#

三、IPsec NAP工作過(guò)程簡(jiǎn)述

1、 NAP客戶端發(fā)送當(dāng)前健康狀態(tài)至HRA(健康注冊(cè)頒發(fā)機(jī)構(gòu));

2、 HRA發(fā)送客戶端的健康狀態(tài)至健康策略服務(wù)器(NPS);

3、 健康策略服務(wù)器評(píng)估客戶端的當(dāng)前健康狀態(tài)信息，以決定其是否符合健康策略，并把結(jié)果發(fā)回給SHA，如果不符合，在發(fā)回的消息中也包含健康補(bǔ)救(Remediation) 的指令;

4、 如果符合健康策略，則HRA為NAP客戶端分發(fā)健康證書(shū)，則客戶端可以使用此證書(shū)與其他符合健康策略的計(jì)算機(jī)開(kāi)始初始化IPSEC連接;

5、 如果不符合健康策略，HRA通知NAP客戶端如何校正其健康狀態(tài)并不發(fā)給客戶端健康證書(shū)，因此客戶端不能初始化IPSEC連接，但是客戶端可以與補(bǔ)救服務(wù)器通信，以校正客戶端的健康狀態(tài);

6、 NAP 客戶端發(fā)送相關(guān)的更新請(qǐng)求至補(bǔ)救服務(wù)器;

7、 補(bǔ)救服務(wù)器提供符合健康策略的更新給NAP 客戶端，NAP客戶端更新其健康狀態(tài);

8、 NAP客戶端發(fā)送其更新過(guò)的健康狀態(tài)信息至SHA，SHA發(fā)送客戶端的健康狀態(tài)信息至NAP健康策略服務(wù)器;

9、 假設(shè)其符合健康狀態(tài)策略，則發(fā)送結(jié)果至SHA，并頒發(fā)健康證書(shū)給客戶端，客戶端可以使用此證書(shū)開(kāi)始IPSEC通信。

四、環(huán)境描述

此次實(shí)驗(yàn)依托前次Direct Access 實(shí)驗(yàn)環(huán)境，只需要額外添加一臺(tái)NPS服務(wù)器，具體設(shè)置如下：

軟件配置：

" NPS1：安裝有Windows server 2008 R2的成員服務(wù)器，同時(shí)為NPS和HRA角色

小貼士：NPS為網(wǎng)絡(luò)策略服務(wù)器，可以為客戶端運(yùn)行狀況、連接請(qǐng)求身份驗(yàn)證和連接請(qǐng)求授權(quán)創(chuàng)建并強(qiáng)制使用組織范圍的網(wǎng)絡(luò)訪問(wèn)策略。

HRA為健康注冊(cè)機(jī)構(gòu)，作為一個(gè)注冊(cè)機(jī)構(gòu)，HRA 負(fù)責(zé)驗(yàn)證客戶端憑據(jù)，然后將證書(shū)申請(qǐng)轉(zhuǎn)發(fā)到代表客戶端的證書(shū)機(jī)構(gòu) (CA)。通過(guò)檢查網(wǎng)絡(luò)策略服務(wù)器 (NPS)，HRA 可驗(yàn)證證書(shū)申請(qǐng)以確定 NAP 客戶端是否與網(wǎng)絡(luò)健康要求兼容。

網(wǎng)絡(luò)配置：

" NPS1：10.0.0.4/24(CIDR表示法，同255.255.255.0)

NAP軟件需求：

" NAP服務(wù)器：Windows Server 2008或更高版本。

" NAP客戶端：Windows XP SP3或更高版本，Windows Vista Business或更高版本，Windows 7或更高版本。

" Active Directory：至少有基于Windows server 2003 的DC，并為GC角色.

注意：此環(huán)境中所有服務(wù)器均使用Windows server 2008 R2企業(yè)版，客戶端使用Windows 7旗艦版。

#p#

五、前期準(zhǔn)備：服務(wù)器配置

DC1配置

1. 在AD中創(chuàng)建一個(gè)全局安全組：IPsec NAP Examption,將NPS、HRA及DC服務(wù)器放入此組，以標(biāo)識(shí)不管他們的健康狀況如何，都可以獲得一個(gè)系統(tǒng)健康證書(shū)，與網(wǎng)絡(luò)內(nèi)的任何計(jì)算機(jī)通信，并處于邊界網(wǎng)絡(luò)中。此實(shí)驗(yàn)需要將NPS1;DA1;APP1;DC1放入該組。

2. 配置證書(shū)模板，在【證書(shū)模板】中，復(fù)制工作站證書(shū)，起名：系統(tǒng)健康證書(shū)。如圖1

3. 切換到【擴(kuò)展】選項(xiàng)卡中，編輯【應(yīng)用程序策略】，點(diǎn)擊【添加】，找到【系統(tǒng)健康身份驗(yàn)證】，點(diǎn)擊【確定】，如圖2.雙擊【系統(tǒng)健康身份驗(yàn)證】確認(rèn)其對(duì)象標(biāo)識(shí)符為：1.3.6.1.4.1.311.47.1.1.如圖3
 

4. 回到新模板屬性中，切換到【安全】選項(xiàng)卡，添加【IPsec NAP Examption】安全組，并賦予【讀取、注冊(cè)、自動(dòng)注冊(cè)】權(quán)限，這樣改組成員就不需要檢查系統(tǒng)健康狀態(tài)而獲取到一個(gè)系統(tǒng)健康證書(shū)了。如圖4
 

5. 在證書(shū)模板中新建剛才創(chuàng)建的【系統(tǒng)健康證書(shū)】。如圖5
 

6. 配置組策略，新建一個(gè)【NAP Policy】GPO，啟用其證書(shū)自動(dòng)注冊(cè)功能。依次展開(kāi)【NAP Policy】-【計(jì)算機(jī)配置】-【策略】-【W(wǎng)indows 設(shè)置】-【安全設(shè)置】-【公鑰策略】，在右側(cè)的明細(xì)中，雙擊【證書(shū)服務(wù)器客戶端-自動(dòng)注冊(cè)】，將其啟用，并勾選下面兩個(gè)選項(xiàng)。如圖6

7. 此時(shí)在【IPsec NAP Examption】組中的計(jì)算機(jī)使用【gpupdate /force】強(qiáng)制刷新組策略，即可看到自動(dòng)頒發(fā)的系統(tǒng)健康證書(shū)。圖9中為NPS服務(wù)器自動(dòng)申請(qǐng)到得證書(shū)。如圖7
 

至此，NAP IPsec DC配置完成，并且大家已經(jīng)初步了解了NAP IPsec功能特性。下一篇，將描述NAP服務(wù)器的搭建配置，敬請(qǐng)期待。

【編輯推薦】

1. Win2008 R2之DA實(shí)戰(zhàn)：域環(huán)境準(zhǔn)備
2. Win2008 R2之DA實(shí)戰(zhàn)：服務(wù)器部署篇
3. Win2008 R2之DA實(shí)戰(zhàn)：服務(wù)器環(huán)境準(zhǔn)備篇