确保连接到专用网络的计算机能正常运行是网络管理员亟待解决的问题。例如,正常运行的计算机安装适当的安全防护软件(如防病毒保护软件),当前操作系统更新以及正确的配置(如启用基于主机的防火墙)。由于此问题可能涉及到可以访问各种 Internet 热点网及其他专用网络的笔记本电脑的便携性特点,以及通过家用计算机使用远程访问连接,因而使人望而却步。如果连接的计算机运行状况不正常,则该计算机所属的专用网络将随时可能遭受恶意软件(如网络病毒和蠕虫)的各种攻击。当前版本的Microsoft® Windows® 没有允许网络管理员执行下列操作的内置功能: 集中配置一组策略,用于指定系统正常状况。 在能够访问专用网络或专用网络资源之前,验证系统状况正常。 隔离包含资源的受限网络上的运行不正常的计算机,以使该计算机恢复正常运行状态。 Windows Server™ "Longhorn" 的网络访问保护 (NAP) 平台提供各种组件和基础结构,可帮助管理员进行验证,并强制执行与网络访问策略的兼容性。管理员可以创建解决方案以验证连接到其网络的计算机、提供所需更新或访问所需资源,并限制不符合条件的计算机的网络访问。NAP 的验证和强制功能可与来自其他供应商的软件集成或与自定义程序集成。 注意:NAP 不是针对防止恶意用户破坏网络而设计的。它专用于帮助管理员保持专用网络上的计算机的正常运行。NAP 与网络访问的身份验证和授权一起使用,如针对无线访问使用 IEEE 802.1X。NAP 不阻止运行正常的计算机上经过身份验证和授权的用户向网络上载恶意程序,也不阻止其做出其他不合适行为。 NAP 部署环境中包括下列计算机: NAP 客户端计算机支持适用于动态主机配置协议 (DHCP) 配置、远程访问虚拟专用网络 (VPN) 连接以及利用网际协议安全 (IPSec) 保证通信安全的 NAP 平台。 NAP 服务器充当 NAP 服务器的计算机运行 Windows Server "Longhorn",对于不符合当前系统运行状况要求的计算机,Windows Server "Longhorn" 支持进行强制受限网络访问。 IAS 服务器充当 IAS 服务器的计算机运行 Windows Server "Longhorn",带有 Internet 身份验证服务 (IAS),支持系统策略配置和 NAP 客户端的运行状况验证协调。 策略服务器充当策略服务器的计算机可为 IAS 服务器提供当前系统运行情况,并包含可供 NAP 客户端访问以纠正其非正常运行状态所需的修补程序、配置和应用程序。示例包括防病毒签名分布服务器和软件更新服务器。 运行状况证书服务器充当运行状况证书服务器的计算机运行 Windows Server "Longhorn",并向基于 IPsec 的 NAP 客户端颁发运行状况证书。 NAP 客户端是指运行 Windows Vista™、Windows Server "Longhorn" 或含 Service Pack 2 (SP2) 的 Windows XP(包含不可用于 Windows Vista Beta 1 或 Windows Server "Longhorn" Beta 1 的更新)的计算机。下图显示了 NAP 客户端上的 NAP 平台的体系结构。 NAP 客户端体系结构包含: 系统运行状况代理 (SHA) 组件层每个 SHA 都针对每种类型的系统运行状况要求而定义。例如,可能有用于防病毒签名的 SHA 和用于操作系统更新的独立 SHA。具体 SHA 可与具体策略服务器相匹配。例如,用于检查防病毒签名的 SHA 与包含最新防病毒签名文件的策略服务器匹配。 隔离代理基于源自每个 SHA 的信息保持 NAP 客户端的当前运行情况,并推动“强制隔离客户端”(QEC) 和 SHA 层之间的通信。 QEC 组件层每个 QEC 都针对不同类型的网络访问而定义。例如,有用于 DHCP 配置、VPN 连接和 IPsec 通信的 QEC。QEC 通常与某种特定类型的 NAP 服务器匹配。例如,DHCP QEC 设计为与基于 DHCP 的 NAP 服务器一起工作。 为指示系统运行情况的特定元素(例如计算机上正在运行的防病毒软件或上次应用的操作系统更新)的状态,SHA 会创建“运行状况声明”(SoH) 并将其传递给“隔离代理”。“隔离代理”维护 SoH 列表 NAP 服务器是运行 Windows Server "Longhorn" 的计算机。NAP 平台体系结构包括新组件和现有组件的更新版本。下图显示了 NAP 平台的服务器端支持的体系结构,它由 NAP 服务器上的组件和 IAS 服务器组成。 NAP 服务器有一个“强制隔离客户端”(QES) 组件层。每个 QES 都针对不同类型的网络访问而定义。例如,有用于 DHCP 配置和 VPN 连接的 QES。QES 与具备 NAP 能力的特定类型客户端匹配。例如,DHCP QES 设计为与基于 DHCP 的 NAP 客户端一起工作。 NAP 服务器上的 QES 从 NAP 客户端上与其相应的 QEC 获取 SoH 列表,并使用“远程身份验证拨号用户服务”(RADIUS) 将它们发送到 IAS 服务器。 IAS 服务器拥有下列组件: IAS 在 NAP 服务器和“隔离服务器”组件之间通信。 隔离服务器推动 IAS 与系统运行状况验证器 (SHV) 之间的通信,并根据已配置的一组系统运行状况策略进行系统运行状况分析。 SHV 组件层SHV 定义特定系统运行状况要求。例如,可能有用于防病毒签名的 SHV 和用于操作系统更新的 SHV。特定 SHV 可与策略服务器相匹配。例如,用于检查防病毒签名的 SHV 与存储最新防病毒更新版本号的服务器匹配。 “隔离服务器”可将 SoH 从 NAP 客户端传递到相应的 SHV。SHV 创建 SoH 响应 (SoHR) 并将它们传递给“隔离服务器”,该服务器可对照系统运行状况策略评估 SoHR,以确定是否限制 NAP 客户端的网络访问。“隔离代理”将 SoHR 传递给 NAP 客户端,以进行可能的系统运行状况修正。 要指定一组系统运行状况要求,网络管理员需配置 IAS 服务器上的系统运行状况策略。 NAP 提供下列类型的隔离: DHCP 隔离包含 DHCP QES 组件和 DHCP QEC 组件。使用 DHCP 隔离,每次计算机尝试租用或续租网络上的 IP 地址配置时,DHCP 服务器都可以强制执行网络访问要求。由于所有 DHCP 客户端计算机都必须租用 IP 地址,故 DHCP 隔离是最易于强制执行部署的方法。但是,DHCP 隔离仅可提供低效率的网络隔离。 VPN 隔离包含 VPN QES 组件和 VPN QEC 组件。使用 VPN 隔离,每次计算机尝试建立对网络的远程访问 VPN 连接时,VPN 服务器都可以强制执行网络访问要求。VPN 隔离可提供强大的网络隔离。使用 NAP 的 VPN 隔离不同于网络访问隔离控制(Windows Server? 2003 的功能之一)。有关详细信息,请参阅本文内的“比较 NAP 与网络访问隔离控制”。 IPsec 隔离包含运行状况证书服务器和 IPsec QEC。确定运行状况证书服务器正常时可为隔离客户端获取 X.509 证书。然后,当 NAP 客户端启动与专用网络上其他 NAP 客户端的受 IPsec 保护的通信之后,可使用这些证书验证 NAP 客户端。 IPsec 隔离可将网络通信限制在被视为运行状况正常的节点,同时由于利用 IPsec,所以您可以在每个 IP 地址或每个 TCP/UDP 端口号的基础上定义与正常运行的客户端的安全通信要求。与 DHCP 隔离和 VPN 隔离不同,IPsec 隔离可在客户端已连接并获得有效的 IP 地址配置后限制与正常运行的客户端的通信。IPsec 隔离是采用 NAP 的最强大的隔离形式。 要扩展 NAP 平台并创建用来评估已连接客户端的运行状况的新方法,第三方软件供应商必须为 NAP 客户端创建 SHA,为 IAS 服务器或者提供或授权网络访问的 NAP 服务器创建 SHV,并在必要时创建策略服务器。如果策略服务器已经存在(如防病毒签名部署服务器),则只需创建相应的 SHA 和 SHV 组件。在某些情况下不需要策略服务器,例如使用 SHV 检查 Windows 注册表设置时。 尽管它们的名称相似,但网络访问隔离控制(Windows Server 2003 的功能之一)与 NAP 存在显著差异。网络访问隔离控制允许网络管理员执行有限的运行状况强制措施,但仅限远程访问连接(拨号或 VPN)。 连接网络访问隔离控制客户端后,它即被限制为可通过 IP 数据包过滤器(远程访问服务器应用到客户端的连接)访问的目标的子集。远程访问客户端使用自定义拨号器运行脚本以验证系统运行状况,如“连接管理器管理工具包”(CMAK) 创建的“连接管理器”配置文件。在远程访问客户端的通告程序组件向远程访问服务器的侦听器组件发送通知消息后,远程访问服务器将删除限制。通知消息指示远程访问客户端已通过了所有系统运行状况测试。正在连接的客户端是否与系统运行状况策略兼容的所有处理均在客户端通过脚本完成。系统运行状况策略中的更改可能需要新的脚本,这种情况下必须创建新的“连接管理器”配置文件,并分发给所有远程访问客户端。 NAP VPN 客户端连接时,其运行状况将在 VPN 连接完成前评估。如果 NAP VPN 客户端运行正常,则它可以完全访问专用网络。如果 NAP VPN 客户端运行不正常,则客户端将被限制为可通过 IP 数据包过滤器(由 VPN 服务器应用到客户端连接)访问的目标的子集。客户端发送符合网络策略设置的 SoH 列表后,这些限制将被删除。IAS 服务器执行连接客户端与系统运行状况策略是否兼容的处理。系统运行状况策略中的更改将在请求 NAP VPN 客户端执行新更正操作时自动执行。 NAP 平台和网络访问隔离控制的不同之处如下: 网络访问隔离控制仅用于远程访问连接(拨号和 VPN)。NAP 是一种可强制系统运行状况与各种网络访问和网络通信方法兼容的平台。采用 NAP 的 VPN 隔离仅适用于远程访问 VPN 连接。 网络访问隔离控制需要创建脚本以检查系统运行状况策略的兼容性。NAP 不需要脚本。您可以通过在 IAS 服务器上配置系统运行状况策略取而代之。 网络访问隔离控制在脚本确定客户端的系统运行状况时使远程访问客户端处于隔离状态。VPN NAP 客户端的运行状况在连接建立时评估且仅在该客户端运行不正常时才会被隔离。 下表将网络访问隔离控制组件与采用 NAP 的 VPN 隔离的相应组件进行比较。 连接管理器配置文件 若使用 NAP,则无需连接管理器配置文件。NAP 功能已内置于 NAP 客户端的 VPN QEC 中。 远程访问客户端的通告程序组件 若使用 NAP,则远程访问客户端上没有与通告程序组件相当的组件。IAS 服务器可评估 VPN 客户端是否与系统运行状况策略兼容,并通知 VPN 服务器。 脚本 对于 NAP,VPN 客户端上不运行任何脚本。IAS 服务器可根据已配置的系统运行状况策略确定系统运行状况。 路由和远程访问服务 通过 VPN QES 进行的路由和远程访问服务 隔离远程访问策略 系统运行状况策略 远程访问服务器上的侦听器组件 对于 NAP,没有与侦听器组件(侦听来自 VPN 客户端的通知)相当的组件。
•
•
•
NAP 平台体系结构
•
•
•
•
•
NAP 客户端体系结构
•
•
•
NAP 服务器体系结构
•
•
•
•
•
•
比较 NAP 与网络访问隔离控制
•
•
•
tdHeader vAlign=top>
网络访问隔离控制组件
NAP 组件
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073