1、 PDF下载中心 Page 1 of 2 NAP 为中小企业提供网络接入防护 对任何一个 IT 安全策略来说,保护网络都是非常重要的一个目的,而且也有数量众多的良好机制可以让你使用,以便更好的控制到底谁可以访问网络,以及他们如何访问网络。不幸的是,中小型企业常常沮丧的发现,可供它们挑选的第三方产品往往不是过于复杂,就是过于昂贵。举例来说,如果使用 Cisco 的 NAC(网络访问控制,Network Admission Control)就需要花费数千美金。对那些小型企业来说,这明显属于一笔不可承受的巨额费用。 不过,如果你打算将你的网络操作系统升级到下一版本的 Windows Server(现
2、在被称为“Longhorn”)的话,你会很高兴看到网络接入防护 NAP(Network Access Protection 的简写)平台将被内置在系统中,并可以和 Windows Vista 协同使用,或和那些运行了 NAP 客户端插件的 Windows XP客户端协同使用( 这些 NAP 客户端插件计划在新服务器操作系统发布时同步推出,而 XP NAP 客户端目前已经进入了 Beta 测试阶段)。而 Windows Server 2003 也可能成为一个 NAP 客户端。 SMB 可以利用这个 Longhorn 服务器或 Vista 的核心部件,以确保连接到网络上的客户端们达到相应的健康和安
3、全标准。 保护网络存取的重要性 连接到本地网络上的每一台计算机都是一个潜在的威胁。如果它上面感染了病毒或者间谍软件,如果它没有适当的防火墙保护,没有打上最新的补丁或者更新等等,那么整个网络都将被置于危险笼罩之下。对那些本地直连的电脑你还有一些控制的办法,但是对那些通过远程连接连上本地局域网的电脑该怎么办?对那些员工曾接上过家里的网络或者公共网络,随后又带到办公室来的笔记本电脑,你又该怎么办? 要保护你的网络,你就必须设定一个策略,在任何电脑可以连入本地网之前,都必须保证其满足一定的“健康”标准。但是你不能指望用户们都自觉遵守这一条,所以你必须有一个强制性的机制来检测一个系统是否已经满足了标准,
4、并以此来决定是阻止其连入网络,或是对其放行。这就是 NAP 的用武之地;也是微软的健康策略平台。 NAP 给人的第一印象,会让人觉得它听起来和 Windows Server 2003 的网路接入隔离控制(NAQC,Network Access Quarantine Control)非常的相似,因 NAQC 被用于在通过远程拨号或通过 VPN 连接Windows Server 2003 系统时强制执行某策略,但 NAP 是一种完全不同的技术,而且它的用处更广泛。NAQC 仅适用于远程存取客户端,而 NAP 则是被设计用于保护连到网络上所有系统的健康。 举例来说,通过 NAP,你可以对特定设备强制
5、执行 IPsec 策略以进行安全通信,对无线客户端则强制执行 801.1x 策略,同时对 VPN 的客户端强制执行某些健康策略。你也可以在某台电脑试图更新或者通过 DHCP 获取一个新 IP 地址时(无论何时),都使用 DHCP 强制功能,来执行强制健康策略。同时,NAP 也有和 Cisco 的 NAC 一起协同工作的能力。 如果使用 NAQC,你将不得不自行书写脚本,并使用命令行工具来人工配置相关行为。你可以同时使用 NAQC 和 NAP,但是绝大多数情况下,NAP 都可以完全取代 NAQC。 PDF下载中心 Page 2 of 2 NAP 如何工作 NAP 允许你定义对连上网络电脑所打算施
6、行的策略,并根据具体的策略,对每一台联网的电脑进行检查。而如果碰到了不满足要求的电脑,你也有其他的选择。比如: * 你可以依旧允许它访问网络,但是在 Log 中标记具体的信息,以便你可以追踪它,以查看它是否最终满足了要求。 * 你也可以仅允许它访问一个受限的网络,而不是访问整个网络。这一点很有用,这样你可以在受限网络中提供相关资源(比如,相关的安全更新或者反病毒软件,或者某些系统补丁),以便用户对电脑进行修正以便最终满足要求。也可以对不满足要求的电脑做出限制,让它访问网络的时间只能在规定的长度之内。 * 或者通过使用 SMS 或其他管理系统,对不满足要求的系统进行自动更新,最终使得系统满足要求
7、。 NAP 的部件 在 Windows Vista 和 Longhorn Server 中用于 校验一台电脑健康状态的部件叫做 SHA(system health agents)和 SHV(system health validators)。第三方软件生产商可以在软件中提供 SH A和SHV,以便和 NAP 协同工作。 SHA 运行在 NAP 客户端,并提供客户端的健康状态信息。SHV 则运行在服务器上,并对 SHA 所提供的信息是否满足你的策略进行校验。而健康策略则被配置在 NPS 服务器上。NPS 服务器的部件包括一个 NAP 管理服务器,以及 NAP 强制服务器。用户和电脑帐户信息,包括
8、网络存取属性,则被存储在活动目录之中。 你也可以使用来自权威认证机构的健康证书来证明自己。在这种情况下,你需要一台 Longhorn 服务器来作为健康注册机构,并运行 IIS 来获取这些认证。 而为那些运行在受限网络中的电脑提供资源,从而确保这些电脑修正后可以满足要求的服务器,则被叫做“补救服务器”(remediation servers)。 总结 NAP 是一个很好的解决方案,可以用来根据电脑的健康状态而控制它的网络存取,并完全接管 NAQC留下的一切。这是一个 Windows Longhorn Server 以及 Windows Vista 中内置的部件,所以使用这些操作系统的 SMB 将能够利用它的优点,而无需另外单独购买或者部署其他第三方的产品。NAP 提供了可伸缩性以及与其他技术(比如 Cisco 的 NAC)的协同工作性,以便在你的网络不断扩张时,你可以继续提供公司所需的防护水准。 原文地址:http:/
