描述网络访问控制及保护NAP的原理及实现的过程.pptVIP

描述网络访问控制及保护 (NAP)的原理及实现的过程 使用网络访问保护 (NAP) 实现 DirectAccess 远程用户现在可以通过更安全的方式访问您公司的网络。DirectAccess 是 Windows 7 和 Windows Server 2008 R2 中的新功能。通过这项功能，远程用户无需连接到虚拟专用网络 (VPN)，就可以安全地访问 Intranet 资源。 此外，Windows Server 2008 R2 和 Windows 7 中还内置了网络访问保护 (NAP) 功能。当客户端计算机尝试连接网络或与网络通信时，NAP 可监视和评估该计算机的运行状态。 二者结合将获得更强大的功能。使用 NAP 实现 DirectAccess，让您可以指定只有符合系统健康要求的 DirectAccess 客户端才能通过 Internet 访问 Intranet 资源。 NAP的工作原理： 1.NPS 服务将传入请求消息与为其配置的连接请求策略组进行比较。对于 NAP，请求消息应该与指定 NPS 服务本地执行身份验证和授权的连接请求策略匹配。 连接请求策略还会影响连接要求。例如，对于 802.1X 和 VPN 强制，连接请求策略要求使用以受保护的可扩展身份验证协议 (PEAP) 为基础的身份验证方法。如果正在连接的客户端不使用 PEAP，则连接请求将被拒绝 2.NPS 服务评估请求信息中的运行状况信息，该请求信息由包含运行状况信息的系统运行状况声明 (SSoH) 组成。 NPS 服务将运行状况信息传递至其上安装的 SHV，而 SHV 将把运行状况评估信息返回给 NPS 服务。 3.NPS 服务将请求消和来自 SHV 的运行状况评估信息与相应的网络策略组进行比较。运行状况评估信息与 基于 NAP 的网络策略的运行状况策略条件进行比较。 运行状况策略条件指定运行状况兼容或不兼容的条件。NPS 服务将第一个匹配的网络策略应用到请求消息。 ： 4.根据基于 NAP 的匹配网络策略及其相关的 NAP 设置，NPS 服务将创建系统运行状况声明响应 (SSoHR)。 此响应包括来自 SHV 的运行状况评估信息， 并指明 NAP 客户端的访问是否受限制，以及 NAP 客户端是否应该自动尝试修正其运行状况。 5.NPS 服务将把 RADIUS 响应消息和 SSoHR 发送给 NAP 强制点。如果客户端的访问受限制，则响应消息还可以包含指定 NAP 客户端访问受限情况的指令。 6.NAP 强制点将 SSoHR 发送到 NAP 客户端。 如果 DirectAccess 客户端不合规： 1.HRA 将健康评估结果发送给 DirectAccess 客户端，其中包括健康更正指令；但 HRA 不会获得健康证书。 2.根据已安装的健康评估组件DirectAccess 客户端可能需要访问更新服务器以更正其健康状态。如果是这样，DirectAccess 客户端将向合适的更新服务器发送更新请求。 3. 更新服务器向 DirectAccess 客户端提供所需的设置或更新，以便符合系统健康要求。[Internet 流量] 4. DirectAccess 客户端将更新后的健康状态信息发送给 HRA。[Internet 流量]　　 5. HRA 将更新后的健康状态信息发送给 NAP 健康策略服务器。假设已进行了所有必需的更新，NAP 健康策略服务器将确定 DirectAccess 客户端是合规的，并将结果发送给 HRA。 您可以使用很多强制方法部署 NAP，以对连接或通信强制实施系统健康要求。IPsec 强制方法使用健康证书（在增强型密钥用法 [EKU] 字段中包含系统健康身份验证对象标识符 [OID] 的数字证书），要求对 Intranet 流量进行 IPsec 保护的 IPsec 连接安全性规则，以及使用健康证书的 IPsec 对等身份验证。 NAP 和 IPsec 强制 这种组合可强制使 Intranet 上计算机之间的通信符合系统健康要求。不符合系统健康要求和缺少健康证书的计算机无法在 Intranet 上发起通信。 谢谢观赏!