VPN是企業(yè)提供給員工在外工作時(shí)，聯(lián)機(jī)存取企業(yè)內(nèi)部網(wǎng)絡(luò)各項(xiàng)資源的方法之一，它不僅可以保證傳輸中的資料在加密的安全通道中來進(jìn)行，更可以進(jìn)一步整合Radius服務(wù)，來提供像數(shù)字證書、智能卡（Smart Card）或是RSA雙因子動(dòng)態(tài)密碼等安全驗(yàn)證機(jī)制，而對(duì)于遠(yuǎn)程的使用者來說，又可以通過最簡易的操作完成聯(lián)機(jī)登錄，因?yàn)闊o論他們使用的操作系統(tǒng)是Windows還是Linux，只要新增一個(gè)VPN網(wǎng)絡(luò)聯(lián)機(jī)，在聯(lián)機(jī)登錄前輸入個(gè)人的賬戶密碼即可。

遠(yuǎn)程用戶登錄安全隱患

雖然采用VPN網(wǎng)絡(luò)的聯(lián)機(jī)方式，對(duì)于遠(yuǎn)程的合法使用者來說是既安全又便利，但是隨著各種網(wǎng)絡(luò)威脅層出不窮，讓即便是通過身份安全驗(yàn)證的合法使用者，都可能在完成聯(lián)機(jī)登錄VPN網(wǎng)絡(luò)之后，隨之而來的病毒、蠕蟲、DDoS等攻擊事件到企業(yè)內(nèi)部網(wǎng)絡(luò)之中，讓網(wǎng)絡(luò)陷入癱瘓的危機(jī)之中。造成安全問題的主要原因，便是我們對(duì)于VPN網(wǎng)絡(luò)的安全部署，往往僅著重在遠(yuǎn)程使用者的身份安全驗(yàn)證，而忽略了遠(yuǎn)程客戶端計(jì)算機(jī)本身存在可能的安全問題。

本文所介紹的NAP安全整合方案，服務(wù)器端適用于Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2，客戶端則試用于Windows XP SP3、Windows Vista、Windows 7以及Windows 8以上版本。

開啟網(wǎng)絡(luò)存儲(chǔ)保護(hù)功能

想要有效解決上述的VPN網(wǎng)絡(luò)安全威脅，需要開啟VPN網(wǎng)絡(luò)第二道的遠(yuǎn)程計(jì)算機(jī)安檢程序，那就是內(nèi)建于Windows Server 2008以上版本的網(wǎng)絡(luò)存取保護(hù)（NAP，Network Access Protect）功能，通過它與現(xiàn)行Windows Server 2008以上版本的VPN整合，讓所有遠(yuǎn)程使用者在通過VPN身分驗(yàn)證之后，還必須進(jìn)一步根據(jù)企業(yè)網(wǎng)絡(luò)政策（Network Policy）的定義，來強(qiáng)制檢驗(yàn)所有在任何時(shí)間聯(lián)機(jī)的遠(yuǎn)程計(jì)算機(jī)是否符合安全規(guī)定，這些規(guī)定包括了病毒數(shù)據(jù)庫是否已更新、Windows Update是否已完成、本機(jī)防火墻是否已啟動(dòng)等。一旦在聯(lián)機(jī)的檢驗(yàn)過程之中，發(fā)現(xiàn)存在不符合網(wǎng)絡(luò)安全政策的項(xiàng)目時(shí)（如病毒數(shù)據(jù)庫沒有更新），系統(tǒng)將會(huì)進(jìn)一步按照安全原則設(shè)定，來強(qiáng)制限制遠(yuǎn)程使用者僅能夠存取特定的網(wǎng)絡(luò)資源（如WSUS主機(jī)），或是開始強(qiáng)制遠(yuǎn)程計(jì)算機(jī)進(jìn)入到自動(dòng)更新的處理程序，這包括了病毒特征的更新、系統(tǒng)升級(jí)等。直到下一次再重新聯(lián)機(jī)登錄VPN網(wǎng)絡(luò)時(shí)，其檢驗(yàn)結(jié)果符合了目前的網(wǎng)絡(luò)規(guī)范，再重新給予完整的內(nèi)部網(wǎng)絡(luò)資源存取。

有關(guān)在網(wǎng)絡(luò)存取保護(hù)（NAP） 與 Windows Server之VPN的安全整合方案架構(gòu)，首先主要是結(jié)合了Windows Server 2008以上版本的路由及遠(yuǎn)程訪問（Routing and Remote Access）服務(wù)，來負(fù)責(zé)擔(dān)任VPN服務(wù)器。接著在相同的Active Directory網(wǎng)域之中，設(shè)置一部網(wǎng)絡(luò)規(guī)范服務(wù) 器（NPS，Network Policy Server），來作為系統(tǒng)管理員配置安全原則的控制主機(jī)。

最后，只要在完成NAP客戶端的部署之后，系統(tǒng)管理人員便可以根據(jù)企業(yè)網(wǎng)絡(luò)政策的定義，來自動(dòng)強(qiáng)制檢驗(yàn)在任何時(shí)間聯(lián)機(jī)的遠(yuǎn)程計(jì)算機(jī)是否符合安全規(guī)定，一旦檢驗(yàn)結(jié)果發(fā)現(xiàn)有遠(yuǎn)程計(jì)算機(jī)沒有符合安全規(guī)定時(shí)，將依照原則設(shè)定來強(qiáng)制限制它們對(duì)于企業(yè)網(wǎng)絡(luò)資源的存取。

NAP保護(hù)VPN網(wǎng)絡(luò)前的準(zhǔn)備工作

關(guān)于NAP與VPN網(wǎng)絡(luò)整合的環(huán)境設(shè)置，可以參考如圖1所示的網(wǎng)絡(luò)環(huán)境范例。以下說明必須準(zhǔn)備的服務(wù)器與相關(guān)組件的安裝項(xiàng)目。

圖1 NAP與VPN的測試環(huán)境

域控制器、DNS Server、CA Server這三個(gè)角色可以使用Windows Server 2003或是Windows Server 2008、Windows Server 2012來安裝都是可以的。

網(wǎng)絡(luò)規(guī)范服務(wù)器（NPS）與DHCP Server這兩個(gè)角色必須使用Windows Server 2008或Windows Server 2012來設(shè)置，您也可以考慮在這部服務(wù)器上安裝Windows Server 2008版本的CA服務(wù)（Active Directory憑證服務(wù)）。

在VPN服務(wù)器部份則必須采用Windows Server 200或Windows Server 2012所提供的路由及遠(yuǎn)程訪問服務(wù)來設(shè)置，并且需要預(yù)安裝與設(shè)定好兩個(gè)網(wǎng)卡的TCP/IP，網(wǎng)絡(luò)區(qū)段可以自行定義。

在遠(yuǎn)程客戶端計(jì)算機(jī)的上，必須采用Windows XP SP3以上版本的操作系統(tǒng)。