17.2 网络访问保护架构与组成组件

http://book.51cto.com  2010-03-18 20:04  吕政周  电子工业出版社  我要评论(0)
  • 摘要:《Windows Server 2008系统管理员实用全书》第17章配置与实现网络访问保护,网络访问保护是一个以客户端计算机的识别,以及符合企业管理策略为控制访问网络资源基础的新平台及解决方案。本节为大家介绍网络访问保护架构与组成组件。
  • 标签:Windows Server  系统管理员  Windows Server 2008系统管理员实用全书
17.2  网络访问保护架构与组成组件
NAP是一个在Windows Server 2008、Windows Vista及Windows XP with Service Pack 3等系统中,用于提供确认访问企业网络的计算机其系统健康状态的新组件。NAP 提供整合的方式确认尝试连入或与企业网络通信的计算机其健康状态,同时可限制其访问能力,直到该台计算机符合企业所制定的健康策略需求为止。
如果要以确认计算机的系统健康状态作为访问企业网络的基础,则企业的网络基础架构需要提供下列的4个功能。
确认健康状态:确认尝试连入或与企业网络通信的计算机其健康状态。
网络访问限制:限制不符合企业计算机健康策略需求的计算机,其对企业网络的访问能力。
自动修复:自动提供不符合企业计算机健康策略需求的计算机,其所需要的"更新(例如,启动Windows 防火墙功能)",且不需使用者手动修复处理。
持续的符合:"持续的符合(Ongoing Compliance)"代表需提供自动化的更新机制,让目前已符合企业计算机健康策略需求的计算机能够持续符合更新后的计算机健康策略需求。
Microsoft提供的NAP通过提供客户端及服务器端平台来达成上述的4个功能。此外,也允许其他第三方与其整合,以建立一个使用系统健康状态作为控制访问企业网络基础的平台。图17-1为Microsoft NAP平台的架构,以下将介绍并说明Microsoft NAP平台的组成。
 
图17-1  导入Microsoft NAP平台的企业网络架构图
支持NAP平台功能用以确认计算机系统健康状态为控制网络访问方法的计算机或网络访问装置。例如,安装Windows Vista、Windows XP with Service Pack 3、Windows Server 2008等系统的计算机。而NAP客户端的组成包括"客户端强制组件(Enforcement Client,EC)"、"系统健康代理组件(System Health Agent,SHA)"、"NAP Agent"、"SHA API(SHA Application Programming Interface)"及"NAP EC API"等组件。而NAP客户端在NAP平台的架构如图17-2所示。
 
图17-2  NAP客户端架构图
以下将介绍组成NAP客户端的各个组件。
NAP enforcement client(EC)components:而"客户端强制组件(EC)"是用来强制客户端的审核机制的,每一个EC都被定义不同类别的网络访问或沟通方法,例如:
NAP EC for DHCP-based IPv4 address configuration。
NAP EC for remote access *** connections。
NAP EC for IPsec-protected communications。
NAP EC for 802.1X-authenticated connections。
NAP EC for TS Gateway connections。
而这些组件就存在于客户端的系统中,以便执行管理员指定项目的安全审核功能。
System Health Agent:系统健康代理,又称SHA,用于检查客户端所传回的健康状态,例如,系统更新状态、病毒特征更新版本,以及系统设置状态等,而隔离代理组件则与SHA和EC协同运行。此隔离代理组件为跨平台组件。每一个SHA都会定义一个系统健康要求条件或一组系统健康要求条件,如病毒特征版本更新及操作系统更新。SHA甚至也可以使其符合"更新服务器(Remediation Server)"上的条件需求一致,如检查客户端的病毒特征是否符合更新服务器上所拥有的病毒特征版本一致等。SHA当然也不一定要和更新服务器上的设置一致才算是符合条件需求,如客户端检查本机上网卡设备是否已启用个人防火墙功能之类的设置需求项目。此外,Microsoft当然也提供了其他软件厂商可用单独开发的SHA以整合NAP运行。
NAP Agent:维护NAP客户端目前的健康状态信息,以及协助让NAP EC及SHA两个组件间可以正常沟通。NAP Agent提供下列服务:
从每一个SHA收集SoH(Statement of Health),并缓存所收集到的信息。当SHA提供新的SoH或更新SoH时,先前所缓存的SoH信息会被更新。
存储SSoH(System Statement of Health)信息,以及依照需求将其提供给NAP EC。
当"被限制网络(Limited Network)"访问状态更改时,发送通知给SHA。
发送SoHR(Statement of Health Response)给适当的SHA。
SHA API:其由NAP平台所提供,且内置于NAP平台的SDK(Software Development Kit)中。其提供一套允许SHA向NAP注册及指出"系统健康状态(System Health Status)"、响应NAP Agent查询系统健康状态需求,以及替NAP Agent传送"系统健康修复信息(System Health Remediation Information)"给SHA的"函数调用(Function Calls)"。通过使用SHA API,Microsoft允许厂商建立及安装额外的SHA。而NAP平台SDK的完整信息,可参考网址:http://msdn2.microsoft.com/en-us/library/aa369712.aspx
NAP EC API:其由NAP平台所提供,且内置于NAP平台的SDK之中。其提供一套允许NAP EC向NAP Agent注册,以及向NAP Agent要求"系统健康状态",与传送"系统健康修复信息"给NAP Agent的"函数调用"。通过使用NAP EC API,Microsoft允许其他厂商使用其建立及安装额外的NAP EC。
2.NAP enforcement points
此为使用模拟NAP健康策略服务器的NPS来评估NAP客户端的健康状态、网络访问及通信是否被允许,以及设置不符合计算机健康状态的NAP客户端必须执行的"修补动作(Remediation Actions)"。而NAP enforcement points可以是下列几种类型。
Health Registration Authority:也称为HRA,是一台安装Windows Server 2008系统及包含从"证书颁发机构(Certification Authority,CA)"所获得符合计算机健康状态的计算机健康证书的IIS计算机。
***服务器:是一台安装Windows Server 2008系统及执行路由与远程访问服务,并被设置允许远程访问***连接连至企业内部网络的计算机。
DHCP服务器:是一台安装Windows Server 2008系统,以及用于自动提供IP地址及其相关配置设置的DHCP服务器服务的计算机。
网络访问装置:例如支持802.1X的"以太网络交换机(Ethernet Switch)"或"无线网络访问点(Wireless Access Point)"。
NAP health policy servers
此简称为NPS,是一台安装Windows Server 2008操作系统,且安装存储着给NAP使用的健康需求策略及提供健康状态确认的网络策略服务器服务的计算机。NPS在Windows Server 2008 是被设计用来替换Windows Server 2003所提供的IAS(Internet Authentication Service;又称为"Remote Authentication Dial-In User Service server,RADIUS服务器")及"RADIUS proxy"的。NPS也可以在提供网络访问时,提供模拟"验证(Authentication)"、"授权(Authorization)"及"记账(Accounting)"服务器,上述又可称为AAA服务器。
"系统健康服务器(System Health Server)"依照安全条件需求的"策略设置(Compliance Policies)"给予提供客户端相关系统所需组件。"网络策略服务器(Network Policy Server,NPS)"包含两部分:"隔离服务器(Quarantine Server,QS)"和"系统健康验证器(System Health Validator,SHV)",隔离服务器即为Microsoft的IAS,在上面设置其策略政策以提供集中式的连入验证,以及访问授权以符合无线网络和***等各种不同类型网络连接。最后的QS则是与健康确认者SHV协同运行,使SHV可获得并审核来自于SHA的状态。
3.Health Requirement Servers
Health Requirement Servers此简称为HRS,其指出需要被检查软件的版本。例如,它可以追踪最新版的防病毒软件病毒标识符或操作系统更新文件。
Active Directory域服务
Active Directory域服务存储了用户账户及计算机账户的安全信息,以及NAP组策略相关设置。虽然没有要求确认计算机健康状态,但Active Directory域服务在"IPSec-protected traffic"、"IEEE 802.1X-authenticated network connections"、"Remote access *** connections"等NAP的实施环境中是必要的组件。
Restricted network
此为被隔离的逻辑或物理网络。而在该网络中包含了下列的组件:
"更新服务器(Remediation Server)":该主机包含可让不符合企业计算机健康状态管理策略需求的NAP客户端,以"修复(Remediate)"其计算机健康状态至符合需求的健康状态所需的"健康更新资源(Health Update Resources)"的计算机。例如软件更新服务器或防病毒软件病毒标识符发布服务器都符合更新服务器的需求。
"被限制访问网络能力的NAP客户端(NAP Clients With Limited Access)":因不符合企业计算机健康状态策略需求而被隔离至"被限制网络(Restricted Network)"的计算机。
【责任编辑:云霞 TEL:(010)68476606】

0

收藏

51bom

492篇文章,15W+人气,0粉丝