【IT168 专稿】本篇为上次Direct Access成功搭建之后(123),添加IPsec NAP功能,为Direct Access客户端提供安全加固方案,保证内部网络安全。
一 、NAP(Network Access Protection)功能简述
网络访问保护 (NAP)。NAP 是一种创建、强制和修正客户端健康策略的技术,包含在 Windows Vista? 客户端操作系统和 Windows Server? 2008 操作系统中。通过 NAP,系统管理员可以设置并自动强制运行状况策略,策略中可以包含软件要求、安全更新要求、计算机配置要求以及其他设置。可以为不符合健康策略的客户端计算机提供受限网络访问,直到更新其配置并且使其符合策略时为止。根据您选择部署 NAP 的方式,可以自动更新不兼容的客户端,使用户可以快速重新获得完全网络访问,而不必手动更新或重新配置其计算机。
二、IPsec NAP网络概念简述
IPsec NAP网络环境把网络逻辑的分成3个网络,分别是安全网络、边界网络、受限网络。
" 安全网络:此网络的计算机,符合含有一个系统健康证书并且可以使用IPsec进行安全通信。通常Active Directory 域中的大多数服务器例如证书服务和邮件服务器处于安全网络中。
" 边界网络:此网络中的计算机含有系统健康证书,但是需要能访问整个网络资源,因此不需要进行认证和IPsec保护通信,通常这个网络类型中的计算机需要评估和更新NAP客户端计算机的系统健康状态,所以NPS和HRA服务器处在这个网络中,但是需要对他们进行严格控制,以免对内部网络带来安全威胁。
" 受限网络:处于此网络中的计算机没有经过安全健康检查,并且没有系统健康证书,在获得补救服务器更新之前,网络访问受限制。
三、IPsec NAP工作过程简述
1、 NAP客户端发送当前健康状态至HRA(健康注册颁发机构);
2、 HRA发送客户端的健康状态至健康策略服务器(NPS);
3、 健康策略服务器评估客户端的当前健康状态信息,以决定其是否符合健康策略,并把结果发回给SHA,如果不符合,在发回的消息中也包含健康补救(Remediation) 的指令;
4、 如果符合健康策略,则HRA为NAP客户端分发健康证书,则客户端可以使用此证书与其他符合健康策略的计算机开始初始化IPSEC连接;
5、 如果不符合健康策略,HRA通知NAP客户端如何校正其健康状态并不发给客户端健康证书,因此客户端不能初始化IPSEC连接,但是客户端可以与补救服务器通信,以校正客户端的健康状态;
6、 NAP 客户端发送相关的更新请求至补救服务器;
7、 补救服务器提供符合健康策略的更新给NAP 客户端,NAP客户端更新其健康状态;
8、 NAP客户端发送其更新过的健康状态信息至SHA,SHA发送客户端的健康状态信息至NAP健康策略服务器;
9、 假设其符合健康状态策略,则发送结果至SHA,并颁发健康证书给客户端,客户端可以使用此证书开始IPSEC通信。
四、环境描述
此次实验依托前次Direct Access 实验环境,只需要额外添加一台NPS服务器,具体设置如下:
软件配置:
" NPS1:安装有Windows server 2008 R2的成员服务器,同时为NPS和HRA角色
小贴士:NPS为网络策略服务器,可以为客户端运行状况、连接请求身份验证和连接请求授权创建并强制使用组织范围的网络访问策略。
HRA为健康注册机构,作为一个注册机构,HRA 负责验证客户端凭据,然后将证书申请转发到代表客户端的证书机构 (CA)。通过检查网络策略服务器 (NPS),HRA 可验证证书申请以确定 NAP 客户端是否与网络健康要求兼容。
网络配置:
" NPS1:10.0.0.4/24(CIDR表示法,同255.255.255.0)
NAP软件需求:
" NAP服务器:Windows Server 2008或更高版本。
" NAP客户端:Windows XP SP3或更高版本,Windows Vista Business或更高版本,Windows 7或更高版本。
" Active Directory:至少有基于Windows server 2003 的DC,并为GC角色.
注意:此环境中所有服务器均使用Windows server 2008 R2企业版,客户端使用Windows 7旗舰版。
五、前期准备:服务器配置
DC1配置
1. 在AD中创建一个全局安全组:IPsec NAP Examption,将NPS、HRA及DC服务器放入此组,以标识不管他们的健康状况如何,都可以获得一个系统健康证书,与网络内的任何计算机通信,并处于边界网络中。此实验需要将NPS1;DA1;APP1;DC1放入该组。
2. 配置证书模板,在【证书模板】中,复制工作站证书,起名:系统健康证书。如图1

图1
3. 切换到【扩展】选项卡中,编辑【应用程序策略】,点击【添加】,找到【系统健康身份验证】,点击【确定】,如图2.双击【系统健康身份验证】确认其对象标识符为:1.3.6.1.4.1.311.47.1.1.如图3
图2
图3
4. 回到新模板属性中,切换到【安全】选项卡,添加【IPsec NAP Examption】安全组,并赋予【读取、注册、自动注册】权限,这样改组成员就不需要检查系统健康状态而获取到一个系统健康证书了。如图4
图4
5. 在证书模板中新建刚才创建的【系统健康证书】。如图5
图5
6. 配置组策略,新建一个【NAP Policy】GPO,启用其证书自动注册功能。依次展开【NAP Policy】-【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【公钥策略】,在右侧的明细中,双击【证书服务器客户端-自动注册】,将其启用,并勾选下面两个选项。如图6
图6
7. 此时在【IPsec NAP Examption】组中的计算机使用【gpupdate /force】强制刷新组策略,即可看到自动颁发的系统健康证书。图9中为NPS服务器自动申请到得证书。如图7
图7
至此,NAP IPsec DC配置完成,并且大家已经初步了解了NAP IPsec功能特性。下一篇,将描述NAP服务器的搭建配置,敬请期待。