NAP-高可靠性,高安全性兼备的新一代网络安全接入解决方案汇.ppt

* * * * 强制选项 * 我们来看看 网络保护服务概览 当安装了Network policy and Access service，一些角色服务被启用，NPS是微软的RADIUS服务器和PROXY的实现。 NPS可以用来集中管理多样的网络接入，包括无线，vpn，dialup， 802。1x身份验证交换机。 另外，NPS可以被用来部署 (PEAP)-MS-CHAP v2的安全身份验证密码，为无线连接提供保护。 NPS也为部署NAP包含关键组件。 在安装了NPS role service后，下列技术可以部署： NAP Policy server，NAP 评估NAP-Capable客户发来的SoH（statements of health） 使用Network Policy server MMC，可以设置802.1x的连接请求策略，（802.11无线及802.3有线以太网的网络访问） NPS作为RADIUS服务器，为无线，身份验证交换机，远程拨叫用户和VPN用户提供集中的连接验证，授权和记账。 NPS作为RADIUS Proxy，连接请求策略可以被设置为告诉NPS服务器，转发连接请求到某个特定的Radius server。 Routing and Remote Access 提供远程访问服务 路由 Health Registration Authority (HRA)是NAP的组件，用于颁发健康证书给客户。HRA仅用于NAP的强制方式为IPSEC强制。 * NAP架构概览 客户环境包括SHA（系统安全代理）,QA（隔离代理）和EC（强制客户） SHA检查和声明客户的健康状态（补丁状态，病毒签名，系统设置等） 每一个SHA定义一个系统健康要求或一组系统健康要求。比如一个SHA定义防病毒签名，一个 SHA指定操作系统更新。Windows Vista 和 Windows Server 2008 包含了一个Windows Security Health Validator SHA. 其他的软件厂商或微软可以提供额外的SHA到NAP平台。 Enforcement Client（EC）运用强制执行的方法，每个NAP EC被定义为不同的网络接入或连接类型。 Remediation Server安装需要的更新，设置，应用程序，将客户计算机变化为健康状态，当一个客户机被限制，它就被路由到Remediation Server。 Network Access Device and server有智力判断赋予或拒绝客户访问网络的请求（防火墙or an appliance） System Health Server通过定义客户端上的系统组件的健康要求，提供客户依从策略 NPS server包括QS和System Health Validator.QS sits在IAS Policy服务器上，执行SHV检查下来相配的动作，SHV检查安全代理生成的声明。 * * ＮＡＰ可以使用ＤＨＣＰ来强制健康策略，可以帮助抵御病毒，蠕虫和恶意软件的攻击 DHCP强制包含DHCP NAPS ES组件和DHCP NAP EC组件 使用DHCP 强制，DHCP server可以在计算机尝试租借和更新IP地址强制健康策略要求。 DHCP强制是最容易的强制，因为DHCP强制依赖IP路由表中的条目，所以是最薄弱的限制。 在NAP客户和DHCP服务器之间，NAP客户端使用DHCP message来获得一个合法的IP V4地址设置，并指示它的健康状态， NAP server使用DHCP message分配设置为限制网络的IPV4地址设置，并且指示remediation server。 * Answer：DHCP Option * * IPSEC 强制，将物理网络分割为3个逻辑网络。 一台计算机在一个时刻只能在三个逻辑网络之一之中。 Secure network: 有健康证书的计算机集合，并且要求incoming连接为IPSEC验证尝试采用健康证书。在一个被管理网络，大多数服务器和客户机属于AD域，在secure network中。 Boundary network：有健康证书，但不需要incoming连接尝试采用健康证书来进行IPSEC验证尝试。在boundary network中的计算机必须能访问整个网络的计算机。 Restricted networks: 没有健康证书，包含不符合NAP规范的客户计算机的集合 在安全网络中的计算机可以初始连接三个逻辑网络中的任何计算机，初始连接在安全网络或边界网络中的计算机采用IPSEC和健康证书。初始化连接在限制网络中计算机不采用IPSEC 在安全网络中的计算机将接受在安全和边界网络