相成

摘 要：網(wǎng)絡(luò)訪問(wèn)保護(hù)可以讓系統(tǒng)根據(jù)客戶(hù)端的健康情況決定其訪問(wèn)的網(wǎng)絡(luò)資源范圍，本文重點(diǎn)對(duì)網(wǎng)絡(luò)訪問(wèn)保護(hù)機(jī)制的功能和工作原理進(jìn)行了研究，后對(duì)以虛擬專(zhuān)用網(wǎng)絡(luò)的訪問(wèn)保護(hù)機(jī)制設(shè)置方法和VPN服務(wù)器配置為例進(jìn)行具體設(shè)置研究。

關(guān)鍵詞：網(wǎng)絡(luò)訪問(wèn)保護(hù)；VPN服務(wù)器

1 網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）概述

網(wǎng)絡(luò)訪問(wèn)保護(hù)（Network Access Protection，NAP）讓服務(wù)器管理人員可以強(qiáng)制客戶(hù)端的計(jì)算機(jī)環(huán)境必須符合健康策略的要求，要求客戶(hù)端計(jì)算機(jī)必須是健康的，否則客戶(hù)端只能夠訪問(wèn)受限制的網(wǎng)絡(luò)資源，以免不健康的客戶(hù)端危害到內(nèi)部網(wǎng)絡(luò)安全。Windows Server 2012系統(tǒng)與Windows8、Windows7、Windows Vista和Windows XP SP3等客戶(hù)端都支持NAP功能。NAP可通過(guò)多個(gè)條件來(lái)決定客戶(hù)端是否為健康的計(jì)算機(jī)。

2 NAP基本架構(gòu)

NAP的基本架構(gòu)，主要分為NAP客戶(hù)端、NAP強(qiáng)制執(zhí)行點(diǎn)與NAP健康策略服務(wù)器3部分。

NAP客戶(hù)端需啟用（System Health Agent，SHA）系統(tǒng)健康代理程序，負(fù)責(zé)監(jiān)控客戶(hù)端的健康情況（Statement of Health，SoH），并將其發(fā)送給NAP強(qiáng)制執(zhí)行點(diǎn)內(nèi)的服務(wù)器或設(shè)備。不同的NAP客戶(hù)端有多種不同的協(xié)議將SoH傳送給NAP強(qiáng)制執(zhí)行點(diǎn)內(nèi)的服務(wù)器，VPN客戶(hù)端利用PEAP通信協(xié)議將SoH傳送給VPN服務(wù)器，DHCP客戶(hù)端利用DHCP通信協(xié)議將SoH傳送給DHCP服務(wù)器。

NAP強(qiáng)制執(zhí)行點(diǎn)可以是DHCP服務(wù)器、VPN服務(wù)器、HRA服務(wù)器、遠(yuǎn)程桌面網(wǎng)關(guān)、支持802.1X的交換器或無(wú)線訪問(wèn)接入點(diǎn)（AP）。NAP強(qiáng)制執(zhí)行點(diǎn)接收到客戶(hù)端的SoH后，便將其傳給NAP健康策略服務(wù)器來(lái)檢查客戶(hù)端是否符合健康策略的安全要求與其所擁有的網(wǎng)絡(luò)訪問(wèn)權(quán)限，并根據(jù)NAP健康策略服務(wù)器的響應(yīng)來(lái)強(qiáng)制執(zhí)行NAP策略，賦予客戶(hù)端該有的網(wǎng)絡(luò)訪問(wèn)權(quán)限。NAP強(qiáng)制執(zhí)行點(diǎn)利用RADIUS通信協(xié)議將SoH傳送給NAP健康策略服務(wù)器，故需為RADIUS客戶(hù)端或RADIUS代理服務(wù)器。

NAP健康策略服務(wù)器，通過(guò)網(wǎng)絡(luò)策略服務(wù)器（NPS）配置健康策略，需啟動(dòng)（System Health Validator，SHV），并通過(guò)SHV來(lái)檢查NAP客戶(hù)端發(fā)送來(lái)的SoH，決定客戶(hù)端是否符合健康策略要求。NAP健康策略服務(wù)器必須也是RADIUS服務(wù)器，以便接收通過(guò)RADIUS協(xié)議傳送來(lái)的NAP客戶(hù)端SoH，并通過(guò)RADIUS將檢查結(jié)果與客戶(hù)端所擁有的網(wǎng)絡(luò)訪問(wèn)權(quán)限發(fā)送給NAP強(qiáng)制執(zhí)行點(diǎn)。

3 NAP不健康客戶(hù)端修復(fù)與客戶(hù)端的健康情況監(jiān)控

不符合健康策略要求的NAP客戶(hù)端只能訪問(wèn)受限制的網(wǎng)絡(luò)資源，通過(guò)訪問(wèn)限制讓不健康客戶(hù)端通過(guò)更新服務(wù)器來(lái)安裝所需組件，以便轉(zhuǎn)變?yōu)榉辖】挡呗缘囊蟆Ｒ部梢酝ㄟ^(guò)NPS網(wǎng)絡(luò)策略的NAP設(shè)置來(lái)自動(dòng)修復(fù)NAP客戶(hù)端的不健康情況，讓其成為健康的NAP客戶(hù)端能夠與NAP強(qiáng)制執(zhí)行點(diǎn)通信。

已經(jīng)連接到網(wǎng)絡(luò)的健康客戶(hù)端，若因?yàn)榻】挡呗杂凶儎?dòng)，造成該客戶(hù)端不符合最新健康策略的要求，客戶(hù)端提出網(wǎng)絡(luò)資源訪問(wèn)請(qǐng)求時(shí)，NAP便能夠覺(jué)察到其為不健康客戶(hù)端，此時(shí)NAP會(huì)限制客戶(hù)端的網(wǎng)絡(luò)訪問(wèn)權(quán)限或執(zhí)行自動(dòng)修復(fù)工作。

4 NAP強(qiáng)制執(zhí)行點(diǎn)的運(yùn)行

不同的NAP強(qiáng)制執(zhí)行點(diǎn)在NAP運(yùn)行過(guò)程中各有不同的工作方式。

DHCP服務(wù)器根據(jù)DHCP客戶(hù)端的健康情況來(lái)給予不同的IP配置設(shè)置，讓健康客戶(hù)端擁有完整的網(wǎng)絡(luò)訪問(wèn)服務(wù)器權(quán)限，不健康客戶(hù)端只能訪問(wèn)受限制的網(wǎng)絡(luò)資源。

VPN服務(wù)器會(huì)根據(jù)VPN客戶(hù)端的健康情況來(lái)給予不同網(wǎng)絡(luò)訪問(wèn)權(quán)限，健康客戶(hù)端有完整的網(wǎng)絡(luò)訪問(wèn)權(quán)限，不健康客戶(hù)端可通過(guò)更新服務(wù)器通信或通過(guò)網(wǎng)絡(luò)策略?xún)?nèi)的IP篩選器來(lái)限制能夠訪問(wèn)的網(wǎng)絡(luò)范圍。

HRA服務(wù)器客戶(hù)端利用IPsec來(lái)與其他計(jì)算機(jī)通信，可以采用計(jì)算機(jī)證書(shū)的驗(yàn)證方法，而且可以限制必須采用系統(tǒng)健康身份驗(yàn)證的計(jì)算機(jī)證書(shū)。IPsec客戶(hù)端會(huì)將其健康狀態(tài)與申請(qǐng)證書(shū)請(qǐng)求發(fā)送過(guò)HRA服務(wù)器，若客戶(hù)端是健康的，HRA服務(wù)器便會(huì)替客戶(hù)端向CA來(lái)申請(qǐng)證書(shū)，然后將證書(shū)發(fā)放給客戶(hù)端。HRA服務(wù)器只會(huì)發(fā)放證書(shū)給健康的IPsec客戶(hù)端，當(dāng)健康客戶(hù)端變成不健康時(shí)，其所擁有的系統(tǒng)健康身份證計(jì)算機(jī)證書(shū)也會(huì)自動(dòng)被刪除。

802.1X交換器或無(wú)線訪問(wèn)接入點(diǎn)需支持Microsofr Network Access Protection，可以讓健康與不健康客戶(hù)端連接到802.1X交換器或無(wú)線訪問(wèn)接入點(diǎn)時(shí)，分別被劃分到不同的VLAN，通過(guò)VLAN來(lái)隔離健康與不健康客戶(hù)端，以免不健康客戶(hù)端危害到網(wǎng)絡(luò)安全。

5 虛擬專(zhuān)用網(wǎng)絡(luò)NAP的配置

配置過(guò)程包括域控制器DNS服務(wù)器、NAP健康策略服務(wù)器、VPN服務(wù)器和客戶(hù)端。

（1）域控制器安裝。在服務(wù)器管理器中選擇服務(wù)器角色界面，勾選與服務(wù)選項(xiàng)在最后的安裝界面中單擊將此服務(wù)器升級(jí)為域控制器，重新啟動(dòng)，以系統(tǒng)管理員身份登錄。打開(kāi)服務(wù)器管理器，在選擇服務(wù)器角色界面勾選DHCP服務(wù)器，在安裝進(jìn)度界面中完成DHCP設(shè)置來(lái)執(zhí)行授權(quán)操作。在DHCP中設(shè)置DNS服務(wù)器IP地址和默認(rèn)網(wǎng)關(guān)地址。

（2）NAP健康策略服務(wù)器搭建。以系統(tǒng)管理員身份登錄系統(tǒng)，打開(kāi)服務(wù)器管理器選擇儀表板出的添加角色和功能，勾選網(wǎng)絡(luò)策略與訪問(wèn)服務(wù)完成安裝。在文件菜單中選擇添加/刪除管理單元，從列表中選擇證書(shū)完成證書(shū)申請(qǐng)。切換到網(wǎng)絡(luò)策略服務(wù)器，選擇網(wǎng)絡(luò)訪問(wèn)保護(hù)配置NAP，在網(wǎng)絡(luò)連接方法中選擇虛擬專(zhuān)用網(wǎng)絡(luò)（VPN），選擇RADIUS客戶(hù)端輸入IP地址勾選默認(rèn)的Windows安全健康驗(yàn)證程序與啟用對(duì)客戶(hù)端計(jì)算機(jī)的自動(dòng)修復(fù)。建立RADIUS客戶(hù)端、健康策略、連接策略和網(wǎng)絡(luò)策略。

（3）設(shè)定IP篩選器。在網(wǎng)絡(luò)策略服務(wù)器界面中選中NAP VPN不符合，在打開(kāi)的對(duì)話(huà)框中單擊IP篩選器的輸入篩選器按鈕，新建IP篩選器，輸入不符合時(shí)可訪問(wèn)的IP地址，勾選僅允許下列數(shù)據(jù)包。安裝相同的方法設(shè)置NAP VPN不支持NAP網(wǎng)絡(luò)策略來(lái)設(shè)置IP篩選器。

（4）VPN服務(wù)器設(shè)置。以管理員身份登錄系統(tǒng)，打開(kāi)服務(wù)器管理器，單擊儀表板添加角色和功能，勾選遠(yuǎn)程訪問(wèn)，確認(rèn)安裝。切換到路由和遠(yuǎn)程訪問(wèn)，選中VPNS1配置并啟用路由和遠(yuǎn)程訪問(wèn)。IP地址分配選擇自動(dòng)，勾選設(shè)置此服務(wù)器與RADIUS服務(wù)器一起工作。在DHCP中繼代理處開(kāi)放從VPN服務(wù)器來(lái)的索取選項(xiàng)請(qǐng)求。選用PEAP-MS-CHAPv2方法驗(yàn)證身份，Windows防火墻開(kāi)放與PPTP VPN流量。