為了保障單位網(wǎng)絡(luò)安全，網(wǎng)管員常常會(huì)利用桌面防火墻、殺毒軟件等傳統(tǒng)技術(shù)，控制終端用戶的網(wǎng)絡(luò)接入，以確保終端系統(tǒng)能夠符合網(wǎng)絡(luò)安全策略。但這種防護(hù)措施一般要耗費(fèi)不小的精力，同時(shí)也很難取得讓人滿意的效果。在以Windows Server 2008系統(tǒng)作為服務(wù)器的組網(wǎng)環(huán)境下，利用該系列軟件平臺(tái)新設(shè)計(jì)的網(wǎng)絡(luò)訪問(wèn)保護(hù)技術(shù)（以下簡(jiǎn)稱為NAP技術(shù)），能輕松地讓不安全終端遠(yuǎn)離單位網(wǎng)絡(luò)。

安全保護(hù)原理

作 為Windows Server 2008系統(tǒng)的一種新技術(shù)，NAP允許網(wǎng)絡(luò)管理員使用一些健康安全策略，為上網(wǎng)訪問(wèn)的終端計(jì)算機(jī)定義必須的系統(tǒng)配置和程序，該技術(shù)通過(guò)掃描和判斷終端系統(tǒng)的安全狀況，在認(rèn)為終端系統(tǒng)不符合安全要求時(shí)，禁止其接入單位網(wǎng)絡(luò)，直到其符合安全標(biāo)準(zhǔn)要求。這種技術(shù)能夠在非法程序入侵網(wǎng)絡(luò)之前，十分有效地保護(hù)單位網(wǎng)絡(luò)的運(yùn)行安全。從功能組成來(lái)看，該技術(shù)包括健康策略驗(yàn)證功能、網(wǎng)絡(luò)隔離與補(bǔ)救功能以及持續(xù)的遵從性功能等，其中健康策略驗(yàn)證功能負(fù)責(zé)按事先制定的安全健康標(biāo)準(zhǔn)，對(duì)終端系統(tǒng)進(jìn)行掃描，符合該功能要求的終端系統(tǒng)統(tǒng)一被當(dāng)作是安全可信的終端計(jì)算機(jī)，而不符合一項(xiàng)或多項(xiàng)要求的終端系統(tǒng)，會(huì)被認(rèn)為是安全性不好的終端計(jì)算機(jī)。這些健康策略能夠掃描到終端系統(tǒng)有沒(méi)有安裝防火墻、殺毒軟件以及反間諜程序，以及這些程序有沒(méi)有處于工作狀態(tài)，或者它們是否進(jìn)行了及時(shí)更新等等；甚至NAP技術(shù)的這種功能還允許用戶自由擴(kuò)展，用戶能針對(duì)這種技術(shù)開(kāi)發(fā)屬于自己的獨(dú)特插件功能，來(lái)有針對(duì)性地對(duì)終端系統(tǒng)進(jìn)行掃描。

網(wǎng)絡(luò)隔離與補(bǔ)救功能，主要是用來(lái)定義終端系統(tǒng)網(wǎng)絡(luò)連接狀態(tài)的，當(dāng)終端系統(tǒng)被判斷為安全狀況不好時(shí)，該功能可以將終端計(jì)算機(jī)從單位網(wǎng)絡(luò)中隔離開(kāi)來(lái)，直到其安裝狀況恢復(fù)為良好為止。要是沒(méi)有網(wǎng)絡(luò)隔離與補(bǔ)救功能，安全性差的終端系統(tǒng)將不受任何限制地接入單位網(wǎng)絡(luò)，這個(gè)時(shí)候非法程序就有機(jī)會(huì)通過(guò)不安全終端系統(tǒng)，來(lái)攻擊單位網(wǎng)絡(luò)中的其他終端計(jì)算機(jī)，顯然這是相當(dāng)危險(xiǎn)的。持續(xù)的遵從性功能，主要是強(qiáng)制終端系統(tǒng)在接入單位網(wǎng)絡(luò)后，要始終如一地符合安全健康標(biāo)準(zhǔn)，而不能在初始接入網(wǎng)絡(luò)的那一刻符合要求；當(dāng)終端系統(tǒng)日后安全性變差時(shí)，該功能將重新把終端計(jì)算機(jī)從網(wǎng)絡(luò)隔離開(kāi)來(lái)，直到其安全狀態(tài)恢復(fù)良好。

NAP技術(shù)屬于典型的客戶機(jī)/服務(wù)器架構(gòu)，它對(duì)終端計(jì)算機(jī)使用的系統(tǒng)沒(méi)有過(guò)多要求，而對(duì)服務(wù)器主機(jī)則必須要求使用Windows Server 2008系 統(tǒng)。NAP技術(shù)的客戶環(huán)境包含系統(tǒng)安全代理環(huán)境、強(qiáng)制客戶環(huán)境、隔離代理環(huán)境。安全代理環(huán)境用來(lái)掃描和聲明終端系統(tǒng)的安全健康標(biāo)準(zhǔn)，每一個(gè)安全代理可以制定一個(gè)安全健康標(biāo)準(zhǔn)，也可以制定多個(gè)安全健康標(biāo)準(zhǔn)。強(qiáng)制客戶環(huán)境與網(wǎng)絡(luò)訪問(wèn)設(shè)備協(xié)商訪問(wèn)，每一種強(qiáng)制環(huán)境可以指定為不同類型的網(wǎng)絡(luò)接入，比方說(shuō)可以是VPN強(qiáng)制接入、DHCP強(qiáng)制接入、Ts Gateway強(qiáng)制接入，也可以是IPSec強(qiáng)制接入，網(wǎng)絡(luò)管理員能夠單獨(dú)或者同時(shí)使用這些強(qiáng)制接入，限制不符合安全健康標(biāo)準(zhǔn)的計(jì)算機(jī)訪問(wèn)單位網(wǎng)絡(luò)。隔離代理環(huán)境主要是報(bào)告終端系統(tǒng)健康狀態(tài)以及和前面兩種環(huán)境之間的協(xié)作。

部署安全環(huán)境

NAP的安全環(huán)境要求其實(shí)相當(dāng)簡(jiǎn)單，只要單位網(wǎng)絡(luò)中存在一臺(tái)Windows Server 2008服務(wù)器系統(tǒng)即可，在該服務(wù)器主機(jī)中可以同時(shí)部署安裝DHCP服務(wù)器和NPS服務(wù)器，也可以一起運(yùn)行強(qiáng)制組件和策略組件。要想通過(guò)組策略對(duì)局域網(wǎng)中的終端用戶進(jìn)行管理，還可以在服務(wù)器系統(tǒng)中同時(shí)安裝組策略管理器和域控制器，當(dāng)然，在條件允許的情況下，也可以將它們分別安裝在局域網(wǎng)的其他性能符合要求的服務(wù)器主機(jī)中。

考慮到單位局域網(wǎng)的終端計(jì)算機(jī)，多是從DHCP服務(wù)器那里申請(qǐng)得到動(dòng)態(tài)IP地址來(lái)上網(wǎng)的，為了加強(qiáng)對(duì)動(dòng)態(tài)地址的有效管理，局域網(wǎng)中必須至少要存在一臺(tái)具有ARP檢測(cè)和DHCP Snooping功能的交換機(jī)，來(lái)保證終端計(jì)算機(jī)一定要從DHCP服務(wù)器那里獲取上網(wǎng)參數(shù)。在對(duì)服務(wù)器系統(tǒng)和相關(guān)功能組件進(jìn)行安裝調(diào)試后，就能對(duì)DHCP服務(wù)和NPS服務(wù)進(jìn)行有針對(duì)性配置了。要想通過(guò)組策略管理終端用戶的話，還要事先將域控制器安裝調(diào)試好。

在部署DHCP服務(wù)下的安全保護(hù)環(huán)境時(shí)，首先要在Windows Server 2008服務(wù)器系統(tǒng)中安裝配置好DHCP服務(wù)。依次單擊“開(kāi)始”、“程序”、“管理工具”、“服務(wù)器管理器”命令，打開(kāi)本地服務(wù)器管理器窗口。在該窗口左側(cè)顯示區(qū)域中，將鼠標(biāo)定位在“角色”分支上，在指定分支選項(xiàng)下面選中“DHCP服務(wù)”，再定義好DNS服務(wù)器，同時(shí)依照工作實(shí)際決定是否啟用WinS服務(wù)。如果單位局域網(wǎng)工作在IPv4網(wǎng)絡(luò)環(huán)境下，建議大家選中“對(duì)此服務(wù)器禁用DHCPv6無(wú)狀態(tài)模式”選項(xiàng)，確認(rèn)后DHCP服務(wù)角色將會(huì)自動(dòng)安裝成功。

圖1 向?qū)гO(shè)置對(duì)話框

圖2 勾選相關(guān)選項(xiàng)

接著啟動(dòng)運(yùn)行DHCP服務(wù)，要是服務(wù)器工作在域模式下，還要對(duì)DHCP服務(wù)器執(zhí)行授權(quán)操作，畢竟在缺省狀態(tài)下，DHCP服務(wù)沒(méi)有被開(kāi)啟運(yùn)行。依次單擊“開(kāi)始”、“控制面板”命令，進(jìn)入系統(tǒng)控制面板窗口，用鼠標(biāo)雙擊“管理工具”圖標(biāo)，在彈出的管理工具列表中，雙擊“DHCP服務(wù)”圖標(biāo)，展開(kāi)DHCP服務(wù)控制臺(tái)窗口。在這里，重新創(chuàng)建一個(gè)新的作用域，為其設(shè)置一個(gè)合適名稱，同時(shí)將它的地址池參數(shù)配置好，其中地址池的IP范圍參數(shù)，必須要根據(jù)實(shí)際需要來(lái)進(jìn)行針對(duì)性設(shè)置，類似網(wǎng)關(guān)地址、DNS服務(wù)器地址、域名等參數(shù)，都可以在作用域選項(xiàng)設(shè)置區(qū)域集中配置，以提高網(wǎng)絡(luò)管理維護(hù)效率。如果需要?jiǎng)?chuàng)建多個(gè)不同的作用域，只要依照上面的操作一一配置即可。配置好DHCP服務(wù)后，記得對(duì)其工作狀態(tài)進(jìn)行一下測(cè)試，直到其能正確為終端計(jì)算機(jī)分配動(dòng)態(tài)IP地址才行。

開(kāi)啟NAP角色

盡 管Windows Server 2008系統(tǒng)的NAP技術(shù)自身不具有安全防護(hù)的“本領(lǐng)”，可它的預(yù)防免疫功能還是受到了不少人的青睞，于是通過(guò)NAP技術(shù)開(kāi)啟安全防護(hù)功能，確保單位局域網(wǎng)運(yùn)行安全，就成為很多網(wǎng)管員的共識(shí)。

要開(kāi)啟安全防護(hù)功能，需要先在Windows Server 2008系統(tǒng)中，安裝啟用NAP角色，因?yàn)樵撓到y(tǒng)默認(rèn)并沒(méi)有自動(dòng)啟用該角色。依次單擊“開(kāi)始”、“程序”、“管理工具”、“服務(wù)器管理器”命令，打開(kāi)服務(wù)器管理器界面。將鼠標(biāo)定位于左側(cè)列表中的“角色”分支上，按下對(duì)應(yīng)設(shè)置區(qū)域的“添加角色”按鈕，切換到如圖1所示的向?qū)гO(shè)置框，依照向?qū)崾静浑y看出，要想開(kāi)啟NAP角色，既要確保服務(wù)器系統(tǒng)已成功執(zhí)行了在線更新操作，又要確保服務(wù)器系統(tǒng)已正確配置好了上網(wǎng)參數(shù)，并擁有登錄服務(wù)器系統(tǒng)的賬號(hào)和密碼。

在認(rèn)定服務(wù)器系統(tǒng)符合各項(xiàng)條件后，單擊“下一步”按鈕，在其后界面中檢查“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”選項(xiàng)有沒(méi)有被勾選。正常情況下，Windows Server 2008系統(tǒng)不會(huì)自動(dòng)勾選“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”，因?yàn)镹AP角色默認(rèn)不會(huì)被自動(dòng)安裝；只有選中“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”項(xiàng)目，按“下一步”按鈕，才能啟用該角色。接下來(lái)，向?qū)?duì)話框會(huì)提示允許提供本地和遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)權(quán)限，允許使用網(wǎng)絡(luò)策略服務(wù)器和路由和遠(yuǎn)程訪問(wèn)服務(wù)，同時(shí)允許使用客戶端健康等各項(xiàng)安全策略；點(diǎn)擊“下一步”按鈕，彈出如圖2所示界面，將“網(wǎng)絡(luò)策略服務(wù)器”和相關(guān)選項(xiàng)都勾選起來(lái)，再單擊“安裝”按鈕，這樣NAP角色就會(huì)被安裝啟用了。

之后，Windows Server 2008服務(wù)器系統(tǒng)會(huì)彈出提示，說(shuō)明就能使用該角色來(lái)對(duì)網(wǎng)絡(luò)訪問(wèn)保護(hù)操作進(jìn)行針對(duì)行配置了，并且DHCP服務(wù)也會(huì)被自動(dòng)內(nèi)置到網(wǎng)絡(luò)策略服務(wù)器中來(lái)，所以網(wǎng)管員需要及時(shí)對(duì)各個(gè)參數(shù)進(jìn)行合適配置，才能讓NAP角色發(fā)揮出應(yīng)有的作用。

配置安全策略

圖3 展開(kāi)NAP對(duì)話框

圖4 選擇使用選項(xiàng)

在對(duì)NAP角色的策略進(jìn)行配置時(shí)，先雙擊系統(tǒng)管理工具列表中的“網(wǎng)絡(luò)策略服務(wù)器”圖標(biāo)，選中其后界面中的“NPS（本地）”選項(xiàng)，在標(biāo)準(zhǔn)配置區(qū)域?qū)ⅰ熬W(wǎng)絡(luò)訪問(wèn)保護(hù)”勾選起來(lái)，同時(shí)按下“配置NAP”按鈕（如圖3所示），展開(kāi)NAP配置向?qū)?duì)話框。依照向?qū)崾?，將網(wǎng)絡(luò)連接方法設(shè)置為“動(dòng)態(tài)主機(jī)配置協(xié)議”，將策略名稱設(shè)置為默認(rèn)數(shù)值。要是網(wǎng)絡(luò)策略服務(wù)器與DHCP服務(wù)器沒(méi)有部署在同一臺(tái)服務(wù)器主機(jī)中時(shí)，一定要記得將DHCP服務(wù)器設(shè)置為Radius客戶端，否則只要單擊“下一步”按鈕即可。下面，指定好需要安全防護(hù)的DHCP作用域名稱，默認(rèn)狀態(tài)下，NAP角色會(huì)自動(dòng)防護(hù)DHCP服務(wù)器下的所有作用域，剩余的配置都使用默認(rèn)數(shù)值，直到最后單擊“完成”按鈕，這樣服務(wù)器系統(tǒng)會(huì)自動(dòng)創(chuàng)建好網(wǎng)絡(luò)策略和健康策略等。

接著需要配置終端計(jì)算機(jī)系統(tǒng)訪問(wèn)單位網(wǎng)絡(luò)的條件，這主要是通過(guò)健康驗(yàn)證器來(lái)進(jìn)行。進(jìn)入網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)界面，將鼠標(biāo)定位到“網(wǎng)絡(luò)訪問(wèn)保護(hù)”、“系統(tǒng)健康驗(yàn)證程序”、“Windows安全健康程序”、“設(shè)置”節(jié)點(diǎn)上，在對(duì)應(yīng)設(shè)置區(qū)域打開(kāi)“默認(rèn)配置”的右鍵菜單，點(diǎn)選“屬性”命令，按下“配置”按鈕，對(duì)終端操作系統(tǒng)進(jìn)行配置。在這里，能詳細(xì)指定終端系統(tǒng)訪問(wèn)單位網(wǎng)絡(luò)的各種條件，例如選擇使用“已啟用自動(dòng)更新”、“防病毒程序已啟用”、“已為所有網(wǎng)絡(luò)連接啟用防火墻”等選項(xiàng)設(shè)置，如圖4所示。如果單位網(wǎng)絡(luò)對(duì)安全性能要求較高時(shí)，建議大家選中這里的所有安全設(shè)置選項(xiàng)，日后終端計(jì)算機(jī)系統(tǒng)符合了所有安全選項(xiàng)驗(yàn)證，NAP角色才會(huì)認(rèn)為該計(jì)算機(jī)系統(tǒng)是健康的、安全的。

當(dāng)NAP角色認(rèn)定終端系統(tǒng)符合不健康策略時(shí)，還可以為其提供相關(guān)修正措施，讓其重新符合健康策略標(biāo)準(zhǔn)。在這里，不妨通過(guò)設(shè)置更新服務(wù)器方式，來(lái)強(qiáng)制不健康終端系統(tǒng)去訪問(wèn)那些補(bǔ)丁程序服務(wù)器。只要先進(jìn)入網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)，將鼠標(biāo)定位在“網(wǎng)絡(luò)訪問(wèn)保護(hù)”、“更新服務(wù)器組”分支上，打開(kāi)該分支的右鍵菜單，選擇“新建”命令，展開(kāi)如圖5所示的設(shè)置對(duì)話框，單擊“添加”按鈕，輸入病毒庫(kù)更新服務(wù)器或系統(tǒng)補(bǔ)丁服務(wù)器IP地址，確認(rèn)后保存設(shè)置即可。一旦完成了病毒更新以及系統(tǒng)補(bǔ)丁程序的下載安裝操作后，終端系統(tǒng)日后重新訪問(wèn)單位網(wǎng)絡(luò)時(shí)，NAP角色將會(huì)認(rèn)為它是健康系統(tǒng)，從而允許其再次接入單位網(wǎng)絡(luò)了。

為了讓DHCP服務(wù)配合NAP角色工作，還需要在以前配置基礎(chǔ)上，對(duì)DHCP服務(wù)進(jìn)行更深入的設(shè)置。展開(kāi)DHCP服務(wù)控制臺(tái)界面，打開(kāi)特定作用域的右鍵菜單，點(diǎn)選“屬性”命令，在“網(wǎng)絡(luò)訪問(wèn)保護(hù)”標(biāo)簽頁(yè)面下，將“對(duì)此作用域啟用”選項(xiàng)選中，同時(shí)勾選“使用默認(rèn)網(wǎng)絡(luò)訪問(wèn)保護(hù)配置文件”選項(xiàng)，確認(rèn)后返回DHCP服務(wù)控制臺(tái)界面，之后打開(kāi)“作用域選項(xiàng)”的右鍵菜單，點(diǎn)選“配置選項(xiàng)”命令，在其后界面的高級(jí)標(biāo)簽頁(yè)面中，將用戶類別修改為“默認(rèn)的網(wǎng)絡(luò)訪問(wèn)保護(hù)級(jí)別”，將“006 DNS服務(wù)器”數(shù)值設(shè)置為和前面DHCP服務(wù)器中用到的DNS服務(wù)器地址。

加強(qiáng)安全強(qiáng)制

圖5 設(shè)置對(duì)話框

圖6 系統(tǒng)服務(wù)屬性界面

大家知道，在使用動(dòng)態(tài)IP地址上網(wǎng)的環(huán)境下，DHCP服務(wù)器常常會(huì)被那些狡猾的用戶Snooping功能，該功能可以偵聽(tīng)到DHCP數(shù)據(jù)報(bào)文，同時(shí)能從接受到的數(shù)據(jù)報(bào)文中提取有效地址信息，它也可以將某個(gè)交換端口設(shè)置為信任端口或不信任端口，其中信任端口可以正常收發(fā)DHCP Offer數(shù)據(jù)報(bào)文，而不信任端口會(huì)自動(dòng)丟棄DHCP Offer數(shù)據(jù)報(bào)文。通過(guò)執(zhí)行“ip dhcp snooping vlan xxx”命令，可以強(qiáng)制特定VLAN中的終端計(jì)算機(jī)適用DHCP Snooping功能。如果要強(qiáng)制特定VLAN中的終端計(jì)算機(jī)，只能從DHCP服務(wù)器那里獲取上網(wǎng)參數(shù)，而不能自行使用靜態(tài)IP地址上網(wǎng)時(shí)，可以輸入字符串命令“ip arp inspection vlan xxx”。繞過(guò)，這顯然會(huì)影響NAP角色安全防護(hù)的效果。為了提升安全強(qiáng)制效果，我們還需要在交換機(jī)后臺(tái)系統(tǒng)中，對(duì)ARP檢測(cè)和DHCP Snooping功能進(jìn)行合適配置，讓DHCP Snooping功能過(guò)濾掉不可信任的DHCP信息，讓ARP檢測(cè)功能提供IP地址和MAC地址的綁定，以便建立動(dòng)態(tài)綁定關(guān)系。例如，在Cisco 3550交換機(jī)上進(jìn)行安全強(qiáng)制配置時(shí)，可以先進(jìn)入后臺(tái)系統(tǒng)配置模式，使用“ip dhcp snooping”命令，來(lái)開(kāi)啟交換機(jī)的DHCP

配置終端系統(tǒng)

無(wú)論終端計(jì)算機(jī)安裝使用的是哪種操作系統(tǒng)，都要確保其中的“Network Access Protection Agent”服務(wù)運(yùn)行正常，且要處于自動(dòng)工作模式，同時(shí)必須使用動(dòng)態(tài)IP地址上網(wǎng)，才能確保它們受到Windows Server 2008系統(tǒng)的NAP技術(shù)安全防護(hù)。在開(kāi)啟“Network Access Protection Agent”服務(wù)運(yùn)行狀態(tài)時(shí)，依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“services.msc”命令，展開(kāi)系統(tǒng)服務(wù)列表界面，從中找到目標(biāo)系統(tǒng)服務(wù)，并用鼠標(biāo)雙擊之，進(jìn)入如圖6所示的系統(tǒng)服務(wù)屬性界面。點(diǎn)擊“啟動(dòng)”按鈕，將目標(biāo)服務(wù)啟動(dòng)運(yùn)行起來(lái)，再將其啟動(dòng)類型參數(shù)選擇為“自動(dòng)”，單擊“確定”按鈕保存設(shè)置操作即可。

下面還要將終端計(jì)算機(jī)的上網(wǎng)參數(shù)必須調(diào)整為從DHCP服務(wù)器那里獲得IP地址。在進(jìn)行該操作時(shí)，逐一單擊“開(kāi)始”、“設(shè)置”、“網(wǎng)絡(luò)連接”命令，打開(kāi)本地網(wǎng)絡(luò)連接列表窗口，用鼠標(biāo)右擊本地連接圖標(biāo)，點(diǎn)擊快捷菜單中的“屬性”命令，彈出本地連接屬性對(duì)話框，在“常規(guī)”標(biāo)簽頁(yè)面中選擇“Internet協(xié)議（TCP/IP）”選項(xiàng)，按下“屬性”按鈕，彈出Internet協(xié)議選項(xiàng)設(shè)置對(duì)話框，選中“自動(dòng)獲得IP地址”選項(xiàng)和“自動(dòng)獲得DNS服務(wù)器地址”選項(xiàng)，確認(rèn)后保存設(shè)置操作即可。

經(jīng)過(guò)上述一系列的部署操作后，在某種程度上就可以讓不安全終端遠(yuǎn)離單位網(wǎng)絡(luò)了。當(dāng)然，NAP在實(shí)際工作中，還需要更完善和細(xì)致的策略設(shè)置，才能發(fā)揮出更理想的安全防護(hù)效果。