相成

摘 要：網(wǎng)絡(luò)訪問保護可以讓系統(tǒng)根據(jù)客戶端的健康情況決定其訪問的網(wǎng)絡(luò)資源范圍，本文重點對網(wǎng)絡(luò)訪問保護機制的功能和工作原理進行了研究，后對以虛擬專用網(wǎng)絡(luò)的訪問保護機制設(shè)置方法和VPN服務(wù)器配置為例進行具體設(shè)置研究。

關(guān)鍵詞：網(wǎng)絡(luò)訪問保護；VPN服務(wù)器

1 網(wǎng)絡(luò)訪問保護（NAP）概述

網(wǎng)絡(luò)訪問保護（Network Access Protection，NAP）讓服務(wù)器管理人員可以強制客戶端的計算機環(huán)境必須符合健康策略的要求，要求客戶端計算機必須是健康的，否則客戶端只能夠訪問受限制的網(wǎng)絡(luò)資源，以免不健康的客戶端危害到內(nèi)部網(wǎng)絡(luò)安全。Windows Server 2012系統(tǒng)與Windows8、Windows7、Windows Vista和Windows XP SP3等客戶端都支持NAP功能。NAP可通過多個條件來決定客戶端是否為健康的計算機。

2 NAP基本架構(gòu)

NAP的基本架構(gòu)，主要分為NAP客戶端、NAP強制執(zhí)行點與NAP健康策略服務(wù)器3部分。

NAP客戶端需啟用（System Health Agent，SHA）系統(tǒng)健康代理程序，負(fù)責(zé)監(jiān)控客戶端的健康情況（Statement of Health，SoH），并將其發(fā)送給NAP強制執(zhí)行點內(nèi)的服務(wù)器或設(shè)備。不同的NAP客戶端有多種不同的協(xié)議將SoH傳送給NAP強制執(zhí)行點內(nèi)的服務(wù)器，VPN客戶端利用PEAP通信協(xié)議將SoH傳送給VPN服務(wù)器，DHCP客戶端利用DHCP通信協(xié)議將SoH傳送給DHCP服務(wù)器。

NAP強制執(zhí)行點可以是DHCP服務(wù)器、VPN服務(wù)器、HRA服務(wù)器、遠(yuǎn)程桌面網(wǎng)關(guān)、支持802.1X的交換器或無線訪問接入點（AP）。NAP強制執(zhí)行點接收到客戶端的SoH后，便將其傳給NAP健康策略服務(wù)器來檢查客戶端是否符合健康策略的安全要求與其所擁有的網(wǎng)絡(luò)訪問權(quán)限，并根據(jù)NAP健康策略服務(wù)器的響應(yīng)來強制執(zhí)行NAP策略，賦予客戶端該有的網(wǎng)絡(luò)訪問權(quán)限。NAP強制執(zhí)行點利用RADIUS通信協(xié)議將SoH傳送給NAP健康策略服務(wù)器，故需為RADIUS客戶端或RADIUS代理服務(wù)器。

NAP健康策略服務(wù)器，通過網(wǎng)絡(luò)策略服務(wù)器（NPS）配置健康策略，需啟動（System Health Validator，SHV），并通過SHV來檢查NAP客戶端發(fā)送來的SoH，決定客戶端是否符合健康策略要求。NAP健康策略服務(wù)器必須也是RADIUS服務(wù)器，以便接收通過RADIUS協(xié)議傳送來的NAP客戶端SoH，并通過RADIUS將檢查結(jié)果與客戶端所擁有的網(wǎng)絡(luò)訪問權(quán)限發(fā)送給NAP強制執(zhí)行點。

3 NAP不健康客戶端修復(fù)與客戶端的健康情況監(jiān)控

不符合健康策略要求的NAP客戶端只能訪問受限制的網(wǎng)絡(luò)資源，通過訪問限制讓不健康客戶端通過更新服務(wù)器來安裝所需組件，以便轉(zhuǎn)變?yōu)榉辖】挡呗缘囊?。也可以通過NPS網(wǎng)絡(luò)策略的NAP設(shè)置來自動修復(fù)NAP客戶端的不健康情況，讓其成為健康的NAP客戶端能夠與NAP強制執(zhí)行點通信。

已經(jīng)連接到網(wǎng)絡(luò)的健康客戶端，若因為健康策略有變動，造成該客戶端不符合最新健康策略的要求，客戶端提出網(wǎng)絡(luò)資源訪問請求時，NAP便能夠覺察到其為不健康客戶端，此時NAP會限制客戶端的網(wǎng)絡(luò)訪問權(quán)限或執(zhí)行自動修復(fù)工作。

4 NAP強制執(zhí)行點的運行

不同的NAP強制執(zhí)行點在NAP運行過程中各有不同的工作方式。

DHCP服務(wù)器根據(jù)DHCP客戶端的健康情況來給予不同的IP配置設(shè)置，讓健康客戶端擁有完整的網(wǎng)絡(luò)訪問服務(wù)器權(quán)限，不健康客戶端只能訪問受限制的網(wǎng)絡(luò)資源。

VPN服務(wù)器會根據(jù)VPN客戶端的健康情況來給予不同網(wǎng)絡(luò)訪問權(quán)限，健康客戶端有完整的網(wǎng)絡(luò)訪問權(quán)限，不健康客戶端可通過更新服務(wù)器通信或通過網(wǎng)絡(luò)策略內(nèi)的IP篩選器來限制能夠訪問的網(wǎng)絡(luò)范圍。

HRA服務(wù)器客戶端利用IPsec來與其他計算機通信，可以采用計算機證書的驗證方法，而且可以限制必須采用系統(tǒng)健康身份驗證的計算機證書。IPsec客戶端會將其健康狀態(tài)與申請證書請求發(fā)送過HRA服務(wù)器，若客戶端是健康的，HRA服務(wù)器便會替客戶端向CA來申請證書，然后將證書發(fā)放給客戶端。HRA服務(wù)器只會發(fā)放證書給健康的IPsec客戶端，當(dāng)健康客戶端變成不健康時，其所擁有的系統(tǒng)健康身份證計算機證書也會自動被刪除。

802.1X交換器或無線訪問接入點需支持Microsofr Network Access Protection，可以讓健康與不健康客戶端連接到802.1X交換器或無線訪問接入點時，分別被劃分到不同的VLAN，通過VLAN來隔離健康與不健康客戶端，以免不健康客戶端危害到網(wǎng)絡(luò)安全。

5 虛擬專用網(wǎng)絡(luò)NAP的配置

配置過程包括域控制器DNS服務(wù)器、NAP健康策略服務(wù)器、VPN服務(wù)器和客戶端。

（1）域控制器安裝。在服務(wù)器管理器中選擇服務(wù)器角色界面，勾選與服務(wù)選項在最后的安裝界面中單擊將此服務(wù)器升級為域控制器，重新啟動，以系統(tǒng)管理員身份登錄。打開服務(wù)器管理器，在選擇服務(wù)器角色界面勾選DHCP服務(wù)器，在安裝進度界面中完成DHCP設(shè)置來執(zhí)行授權(quán)操作。在DHCP中設(shè)置DNS服務(wù)器IP地址和默認(rèn)網(wǎng)關(guān)地址。

（2）NAP健康策略服務(wù)器搭建。以系統(tǒng)管理員身份登錄系統(tǒng)，打開服務(wù)器管理器選擇儀表板出的添加角色和功能，勾選網(wǎng)絡(luò)策略與訪問服務(wù)完成安裝。在文件菜單中選擇添加/刪除管理單元，從列表中選擇證書完成證書申請。切換到網(wǎng)絡(luò)策略服務(wù)器，選擇網(wǎng)絡(luò)訪問保護配置NAP，在網(wǎng)絡(luò)連接方法中選擇虛擬專用網(wǎng)絡(luò)（VPN），選擇RADIUS客戶端輸入IP地址勾選默認(rèn)的Windows安全健康驗證程序與啟用對客戶端計算機的自動修復(fù)。建立RADIUS客戶端、健康策略、連接策略和網(wǎng)絡(luò)策略。

（3）設(shè)定IP篩選器。在網(wǎng)絡(luò)策略服務(wù)器界面中選中NAP VPN不符合，在打開的對話框中單擊IP篩選器的輸入篩選器按鈕，新建IP篩選器，輸入不符合時可訪問的IP地址，勾選僅允許下列數(shù)據(jù)包。安裝相同的方法設(shè)置NAP VPN不支持NAP網(wǎng)絡(luò)策略來設(shè)置IP篩選器。

（4）VPN服務(wù)器設(shè)置。以管理員身份登錄系統(tǒng)，打開服務(wù)器管理器，單擊儀表板添加角色和功能，勾選遠(yuǎn)程訪問，確認(rèn)安裝。切換到路由和遠(yuǎn)程訪問，選中VPNS1配置并啟用路由和遠(yuǎn)程訪問。IP地址分配選擇自動，勾選設(shè)置此服務(wù)器與RADIUS服務(wù)器一起工作。在DHCP中繼代理處開放從VPN服務(wù)器來的索取選項請求。選用PEAP-MS-CHAPv2方法驗證身份，Windows防火墻開放與PPTP VPN流量。