《2.描述网络访问控制及保护(NAP)的原理及实现的过程.ppt》由会员分享,可在线阅读,更多相关《2.描述网络访问控制及保护(NAP)的原理及实现的过程.ppt(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 描述网络访问控制及保护描述网络访问控制及保护 (NAP)的原理及实现的过程的原理及实现的过程使用网络访问保护使用网络访问保护(NAP)实现实现 DirectAccess远程用户现在可以通过更安全的方远程用户现在可以通过更安全的方式访问您公司的网络。式访问您公司的网络。DirectAccess DirectAccess 是是 Windows 7 Windows 7 和和 Windows Server 2008 R2 Windows Server 2008 R2 中的新中的新功能。通过这项功能,远程用户无功能。通过这项功能,远程用户无需连接到虚拟专用网络需连接到虚拟专用网络(VPN)(VPN),
2、就,就可以安全地访问可以安全地访问 Intranet Intranet 资源。资源。此外,此外,Windows Server 2008 R2 和和 Windows 7 中还内置了网络访问保护中还内置了网络访问保护(NAP)功能。当功能。当客户端计算机尝试连接网络或与网络通信客户端计算机尝试连接网络或与网络通信时,时,NAP 可监视和评估该计算机的运行状可监视和评估该计算机的运行状态。态。二者结合将获得更强大的功能。使用二者结合将获得更强大的功能。使用 NAP 实现实现 DirectAccess,让您可以指定只有符合,让您可以指定只有符合系统健康要求的系统健康要求的 DirectAccess 客
3、户端才能通客户端才能通过过 Internet 访问访问 Intranet 资源。资源。NAP的工作原理:1.NPS 服务将传入请求消息与为其配置的连接请求策服务将传入请求消息与为其配置的连接请求策略组进行比较。对于略组进行比较。对于 NAP,请求消息应该与指定,请求消息应该与指定 NPS 服务本地执行身份验证和授权的连接请求策略匹配。服务本地执行身份验证和授权的连接请求策略匹配。连接请求策略还会影响连接要求。例如,对于连接请求策略还会影响连接要求。例如,对于 802.1X 和和 VPN 强制,连接请求策略要求使用以受保护强制,连接请求策略要求使用以受保护的可扩展身份验证协议的可扩展身份验证协议
4、(PEAP)为基础的身份验证方法。为基础的身份验证方法。如果正在连接的客户端不使用如果正在连接的客户端不使用 PEAP,则连接请求将被,则连接请求将被拒绝拒绝 2.NPS 服务评估请求信息中的运行状况信服务评估请求信息中的运行状况信息,该请求信息由包含运行状况信息的系统息,该请求信息由包含运行状况信息的系统运行状况声明运行状况声明(SSoH)组成。组成。NPS 服务将运行状况信息传递至其上安装服务将运行状况信息传递至其上安装的的 SHV,而,而 SHV 将把运行状况评估信息返回将把运行状况评估信息返回给给 NPS 服务。服务。3.NPS 服务将请求消和来自服务将请求消和来自 SHV 的运行状况
5、评估信息与相应的网络策的运行状况评估信息与相应的网络策略组进行比较。运行状况评估信息与略组进行比较。运行状况评估信息与基于基于 NAP 的网络策略的运行状况策略的网络策略的运行状况策略条件进行比较。条件进行比较。运行状况策略条件指定运行状况兼运行状况策略条件指定运行状况兼容或不兼容的条件。容或不兼容的条件。NPS 服务将第一服务将第一个匹配的网络策略应用到请求消息。个匹配的网络策略应用到请求消息。:4.根据基于根据基于 NAP 的匹配网络策略及其相关的匹配网络策略及其相关的的 NAP 设置,设置,NPS 服务将创建系统运行状况服务将创建系统运行状况声明响应声明响应(SSoHR)。此响应包括来自
6、此响应包括来自 SHV 的运行状况评估信息,的运行状况评估信息,并指明并指明 NAP 客户端的访问是否受限制,以及客户端的访问是否受限制,以及 NAP 客户端是否应该自动尝试修正其运行状客户端是否应该自动尝试修正其运行状况。况。5.NPS 5.NPS 服务将把服务将把 RADIUS RADIUS 响应响应消息和消息和 SSoHR SSoHR 发送给发送给 NAP NAP 强制点。强制点。如果客户端的访问受限制,则响应如果客户端的访问受限制,则响应消息还可以包含指定消息还可以包含指定 NAP NAP 客户端访客户端访问受限情况的指令。问受限情况的指令。6.NAP 6.NAP 强制点将强制点将 S
7、SoHR SSoHR 发送发送到到 NAP NAP 客户端。客户端。如果如果 DirectAccess DirectAccess 客户端不合规:客户端不合规:1.HRA 1.HRA 将健康评估结果发送给将健康评估结果发送给 DirectAccess DirectAccess 客户端,其中包括健康更正客户端,其中包括健康更正指令;但指令;但 HRA HRA 不会获得健康证书。不会获得健康证书。2.2.根据已安装的健康评估组件根据已安装的健康评估组件DirectAccess DirectAccess 客户端可能需要访问更新服客户端可能需要访问更新服务器以更正其健康状态。如果是这样,务器以更正其健康
8、状态。如果是这样,DirectAccess DirectAccess 客户端将向合适的更新服务客户端将向合适的更新服务器发送更新请求。器发送更新请求。3.3.更新服务器向更新服务器向 DirectAccess DirectAccess 客户客户端提供所需的设置或更新,以便符端提供所需的设置或更新,以便符合系统健康要求。合系统健康要求。Internet Internet 流量流量 4.4.DirectAccess DirectAccess 客户端将更新后的客户端将更新后的健康状态信息发送给健康状态信息发送给 HRAHRA。Internet Internet 流量流量 5.5.HRA HRA 将更
9、新后的健康状态信息发将更新后的健康状态信息发送给送给 NAP NAP 健康策略服务器。假设已健康策略服务器。假设已进行了所有必需的更新,进行了所有必需的更新,NAP NAP 健康健康策略服务器将确定策略服务器将确定 DirectAccess DirectAccess 客户端是合规的,并将结果发送给客户端是合规的,并将结果发送给 HRAHRA。您您可以使用很多强制方法部署可以使用很多强制方法部署 NAP,以对连接或通信强制实施系统健康要求。以对连接或通信强制实施系统健康要求。IPsec 强制方法使用健康证书(在增强型强制方法使用健康证书(在增强型密钥用法密钥用法 EKU 字段中包含系统健康身字段中包含系统健康身份验证对象标识符份验证对象标识符 OID 的数字证书),的数字证书),要求对要求对 Intranet 流量进行流量进行 IPsec 保护的保护的 IPsec 连接安全性规则,以及使用健康证连接安全性规则,以及使用健康证书的书的 IPsec 对等身份验证。对等身份验证。NAP 和和 IPsec 强制强制 这种这种组合可强制使组合可强制使 Intranet 上计算机上计算机之间的通信符合系统健康要求。不符合之间的通信符合系统健康要求。不符合系统健康要求和缺少健康证书的计算机系统健康要求和缺少健康证书的计算机无法在无法在 Intranet 上发起通信。上发起通信。谢谢观赏谢谢观赏!