比如說,攻擊者可以先攻擊一台沒有及時更新補丁的家庭計算機或公司內部的計算機,然後利用這台計算機連線到私有網路,發起攻擊。在現實工作中,管理員通常缺乏足夠的時間和資源來彌補這些漏洞。
Network Access Protection (NAP)for Windows Server 2008和Windows Vista提供了一個組件和應用程式接口,幫組管理員確保強制的安全健康策略得以貫徹。
開發人員和管理員可以創建一個解決方案,來檢查連線到網路的計算機,並且提供所需要的更新資源(叫健康更新資源),對於不更新的計算機限制接入。同時,NAP的強制更新功能可以和其他廠商的軟體整合,來幫助實現對接入計算機特定系統和軟體進行檢查。
其目的是為了最終實現:監視計算機訪問網路是否符和健康策略要求;自動更新計算機,使其符合健康策略要求;或者,限制不符合安全策略要求的計算機,將其限制在受限制的網路中。
很多用戶會認為NAP是防止惡意攻擊手段,實際不盡然,雖然NAP確實能夠輔助達到防範的目的,但NAP本身不是被設計用來防治惡意使用者破壞安全網路的,它被設計用於幫助管理員維護網路上的計算機的健康。它不能防治一個已經符合安全要求的計算機上的惡意用戶釋放攻擊,或執行其他不適當的行為。
在Windows 2008的NAP環境,是一種典型的客戶機/伺服器架構,其基本結構如圖1所示。
客戶環境包括SHA(系統安全代理),QA(隔離代理)和EC(強制客戶),各個組件的作用如下:
系統安全代理(SHA)檢查和聲明客戶的健康狀態(補丁狀態、病毒簽名、系統設定等),每一個SHA定義一個系統健康要求或一組系統健康要求。比如一個SHA定義防病毒簽名,一個SHA指定作業系統更新等等。Windows Vista 和 Windows Server 2008 包含了一個Windows Security Health Valuator SHA。其他的軟體廠商或微軟可以提供額外的SHA到NAP平台。
強制客戶端運用強制執行的方法,每個NAP EC被定義為不同的網路接入或連線類型。
修補伺服器用來安裝需要的更新和設定以及應用程式,將客戶計算機轉化為健康狀態,不符合SHA檢查要求的計算機被路由到修補伺服器。
網路接入設備是有智力判斷賦予或拒絕客戶訪問網路的請求(防火牆,交換機或一台伺服器)的設備。
系統健康伺服器通過定義客戶端上的系統組件的健康要求,提供客戶端所要依從的策略。
NPS server包括QS和System Health Validator。QS sits在IAS Policy伺服器上,執行SHV檢查下來相配的動作,SHV檢查安全代理生成的聲明。
很多人會覺得Windows 2008的NAP是一個全新的東西,但實際上,上文提到的四種客戶端的強制方式,它們中的大多數都是以前某項技術的延續,了解這種技術發展的脈絡,對於我們理解NAP的強制方式有很大的幫助。
首先,我們來看一看第一種強制方式:DHCP的方式:在Windows 2000和Windows 2003的DHCP伺服器上,引入了一種分配IP位址選項(option)的方式,類(class),我們可以在伺服器上設定“用戶定義類”或“廠商定義類”,並為這些類設定獨特的Options。
當時就有很多的用戶自己嘗試著採用這個class類技術,讓企業內部的私有計算機屬於一個類,外來訪客的計算機得到的IP位址的選項將和企業內部計算機得到的地址選項不同,這樣來控制訪客計算機的行為。
而Windows 2008的基於DHCP的NAP可以看成該項技術的發展和延伸。其基本思想就是將不符合健康檢查要求的計算機歸屬於一個類,給這個類的計算機特殊的Options,用路由器的默認網關等選項來約束,這樣,這些計算機就被限制在特定的網路中了。
其次,第二種NAP的強制方式是採用IPSEC,這種方式算是最具有微軟特色的NAP的解決方案了,其他廠商的類似產品,往往需要網路基礎架構的支持,比如Cisco的NAC等等,但採用IPSEC解決方案的NAP,可以完全擺脫網路基礎架構的束縛,在主機層面上實現網路的接入保護。
其實,這種方式的NAP實際上也是傳統的Windows上的IPSEC技術延伸,在傳統的Windows IPSEC的驗證方式上,有三種方式,分別為AD、CA和預共享密鑰。在驗證通過後,可以通過設定“客戶端”、“伺服器”、“安全伺服器”的策略來控制計算機之間的通訊。
其中,最自由的方式毫無疑問是採用CA認證中心所頒發的證書來進行驗證,我們可以很自然的想到,只要由一個CA自動給符合健康要求的計算機辦法健康證書,就可以實現限制非健康計算機通訊的要求。
而Windows 2008基於IPSEC的NAP的基本思想就是建立在頒發健康證書的基礎上的。
基於IPSEC的強制NAP將物理網路分割為3個邏輯網路,一台計算機在一個時刻只能在三個邏輯網路之一之中。
安全網路 是有健康證書的計算機集合,要求接入的計算機採用IPSEC驗證,並採用健康證書。(在一個被管理網路,大多數伺服器和客戶機屬於AD域,在安全網路中。)
邊界網路 有健康證書,但不需要接入到私有網路,進行IPSEC驗證嘗試。在邊界網路中的計算機必須能訪問整個網路的計算機,邊界網路通常只由HCS和NAP修復伺服器。
受限網路 沒有健康證書,包含不符合NAP規範的客戶計算機的集合。
大家會很自然的,將這種對網路的邏輯劃分的方法,和傳統IPSEC的client,server,securer server三個預定策略進行對比,會發現兩者非常相似。
第三種NAP的強制方式是針對VPN接入的客戶的,不受管理的家庭計算機對網路管理員又是一個挑戰,因為IT人員不能直接物理訪問到這些計算機。
使用NAP,當用戶使用VPN連線的時候,管理員可以檢查需要的程式,註冊表設定,檔案,家庭計算機會被限制在受限網路中,直到健康狀態符合要求。
本質上,VPN的NAP和Windows 2003時代的隔離VPN網路很相似,Windows 2003的隔離VPN網路需要很複雜的編寫腳本,對於大多數的系統管理員而言,實在是太麻煩了,而在Windows 2008的VPN NAP設定則要簡單多,對於管理員而言,更容易部署和實施。
相關詞條
-
NAP
NAP是網際網路的路由選擇層次體系中的通信交換點。每個網路接入點都由一個共享交換系統或者區域網路組成,用來交換業務量。通達網際網路主幹線的點。ISP互相連線的...
定義 技術原理 材料特點 材料用途 種類 -
網路訪問保護
網路訪問保護 (NAP) 是 Windows...網路上的客戶端計算機符合管理員定義的系統健康要求。NAP 策略為客戶端...。通過強制符合健康要求,NAP 可以幫助網路管理員降低因客戶端計算機配置...
網路訪問保護有何用途? 誰會對該功能感興趣? 是否有其他特殊注意事項? -
網際網路交換點
改進傳送效率和 缺點容忍. NAP是網際網路的路由選擇層次體系中的通信交...。通達網際網路主幹線的點。ISP互相連線的點。NAP可用作主要業務提供者的數據互換點。1999年初NAP和城域交換局(MAE)被統稱為公共網際網路交換點...
簡介 IXP目的 NAP 組成 NPA運營 -
骨幹網路體系結構
直接交換通信。 20世紀90年代初期的網際網路 骨幹網交換局與NAP(網路...的私有化計畫包括創建NAP(網路接入點),這些是網際網路交換局,具有支持商業和國際通信的開放接入策略。NAP就像是為不同航空公司服務的機場,航空公司...
背景 骨幹(因特)網拓撲結構 骨幹網交換局 骨幹網交換局與NAP(網路接入點) -
訪問控制技術
訪問控制技術,指防止對任何資源進行未授權的訪問,從而使計算機系統在合法的範圍內使用。意指用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限...
概念原理 類型機制 安全策略 認證服務 身份認證管理 -
Windows Server 2008組網技術詳解
訪問保護概述第11章 NAP技術的套用第12章 遠程訪問VPN連線第...內容介紹《Windows Server 2008組網技術詳解(系統與安...包括檔案系統管理、Windows防火牆、Windows系統監控、NAP...
-
CiscoIPv6網路實現技術
IPv6的特點1.7.1 dows上的IPv66.1.1 ux上的IPv66.4.1
前言 序言 內容簡介 目錄 -
WindowsServer2008組網技術詳解
《WindowsServer2008組網技術詳解》是2010年電子工業出版社出版的圖書,作者是張棟,劉曉輝。
內容簡介 圖書目錄 -
Vista
)。 Community Technology Preview(CTP):社區技術...
主要歷史 完整版本歷史 版本 產品配置要求 系統