Windows_Server_2008_R2_AD_DS架构-第08部分_NAP_DHCP、IPSE

第08部分配置网络访问保护配置网络访问保护大纲NAP技术的产生背景强制方法主要效益问题与讨论NAP技术的产生背景恶意软件进入企业网络的途径:员工用潜藏弱点的计算机上网，遇上了内含恶意软件的网站或email出差归来的笔记本电脑访客及外部顾问携入厂区的计算机员工使用家中或公用信息站，以VPN连回企业网络IT管理需求NAP描述确认客户端计算机健康状态Yes允许接入前检查计算机安全状况弱点的矫正Yes与SCCM、WSUS联合管理侦测与管理Yes与SCCM、WSUS联合管理NetworkAccessProtection解决方案策略评估网络限制约束补救继续依从策略策略,过程和通告数据应用程序主机内部网络边界网络1受限网络MSFTNetworkPolicyServer3策略服务器MSFTSecurityCenter,SCCM,Antigenor3rdparty符合策略要求DHCP,VPNSwitch/Router2WindowsVista客户机修补服务器WSUS,SCCM&3rdparty企业内部网络5不符合策略要求4安全增强所有的通讯都经过验证授权并保证是健康的采用DHCP,VPN,IPsec,802.1X等技术实现了深度防御基于策略的访问使得设置和控制均可实现NetworkAccessProtectionNAP-强制Options强制符合原则的客户端不符符原则的客户端DHCP完整IP地址,完整网络存取能力受限的路由VPN(MSand3rdParty)完整网络存取能力基于IP包过滤器的过滤802.1X完整网络存取能力通过IP包过滤器过滤或虚拟局域网来限制IPsec可与任何受信任的host通讯会被符合原则的客户端拒绝通讯可补足Layer2的保护可与现有的服务器及网络整合有弹性的隔离NetworkProtectionServices概览NetworkPolicyServer(NPS)NetworkAccessProtection(NAP)PolicyServerIEEE802.11WirelessIEEE802.3WiredRADIUSServerRADIUSProxyRoutingandRemoteAccessRemoteAccessServiceRoutingHealthRegistrationAuthority(HRA)NAP结构概览MSNetworkPolicyServer隔离服务器(QS)客户机隔离代理(QA)更新安全申明网络访问请求系统健康服务器修补服务器安全证书网络接入设备和服务器系统安全代理(SHA)微软或其他系统安全检察强制客户端(EC)(DHCP,IPSec,802.1X,VPN)HealthpolicyDHCP强制Healthstate不符规范的DHCPclient，将无法存取整个企业网络客户端会拿到IPaddr.但不具routing能力Defaultgateway=0.0.0.0Subnetmask=255.255.255.255Non-compliant用户端只能存取指定的RemediationServers，直到完成矫治符合规范ClientOS之外的必备条件WindowsServer2008DHCPserver客户端依赖DHCP来取得IP组态用户对该客户端计算机不具有管理权限NAPwithDHCPIPsec强制Healthstate不符规范的客户端计算机，将无法取得HealthCertificate由目的端计算机决定是否允许无healthcertificate计算机的联机联机时需进行IPsecnegotiation并通过以凭证为基础的身份认证Non-compliant用户端只能存取指定的RemediationServers，直到完成矫治符合规，进而取得healthcertificateClientOS之外的必备条件网管人员对IPsec的规划/管理能力网络上是否有不支持IPsec的OS基于IPSEC的通讯VPN强制Healthstate不符规范的VPNclient，将无法存取整个企业网络由VPNserver端以IPPacketFilter进行限制Non-compliant用户端只能存取指定的RemediationServers，直到完成矫治符合规范ClientOS之外的必备条件WindowsServer2008Routing&RemoteAccessServicesNAPwithRRAS802.1x强制Healthstate不符规范的客户端计算机，将无法经由有线/无线连接存取整个企业网络无法通过网络连接装置的port认证以vLAN或ACL进行限制Non-compliant用户端只能存取指定的RemediationServers，直到完成矫治符合规范ClientOS之外的必备条件支援802.1x认证的网络装置有线连接:Etherswitch无线连接:accesspoint802.1x强制系统需求VPNDHCPWired802.1xWireless802.1xIPsecDCWindowsServer2003orupPolicyServerWindowsServer2008NetworkPolicyServerClientOS(SHA)WindowsVistaWindowsXPwithSP3PatchManagementWindowsServerUpdateServicesorSystemCenterConfigurationManager2007Anti-Virus与SecurityCenter兼容的防病毒软件*(或改用原生支援NAP的防病毒软件)Anti-Spyware与SecurityCenter兼容的防骇软件*#(或改用原生支援NAP的防骇软件)FirewallWindowsFirewall强制方法WindowsServer2008VPNserverWindowsServer2008DHCPserver802.1xsupportedEtherswitch802.1xsupportedAccessPointITstufffamiliarwithIPsec*只能侦测状态,无强制矫治能力#WindowsXP不支援SHVvs.SHAWindowsServer2008有内建一组SHVWSHV-WindowsSystemHealthValidatorWindowsXPSP3/Vista有内建一组SHAWSHA-WindowsSystemHealthAgentNPS上可以同时定义多组SHVs相对的，客户端计算机可以同时启用多组SHAsNAP的四大特征NAP不是一个安全解决方案，而是一个确保policy会被强制执行的方案其他厂商在这个领域的探索和传统的Cisco厂商所提供的NAC比较CiscoNAC架构CiscoNAC与MicrosoftNAPNAC方案的最佳选择业界广泛支持的平台开放APIs供网络,安全及管理解决方案ISVs/IHVs使用目前已有超过120+家合作伙伴开发NAP解决方案包括AV,network,security,SIs兼容性最高的NAC解决方案与超过98%的市场常见switch/AP相容可与3rdpartyVPN整合业界标准建立在标准的协议之上TrustedComputingGroup(TCG)/TrustedNetworkConnect(TNC)保障您的投资第08部分配置网络访问保护802.1X配置网络访问保护802.1X课程大纲NAPfor802.1x架构介绍802.1x设备组态配置NAPfor802.1x原则设定NAPfor802.1x客户端设定NAPfor802.1x客户端联机测试NAP运作监视与事件通知Q&ANAPfor802.1x运作组件建立NAPfor802.1x测试环境三种802.1x网络保护法将非法客户端隔离至特定的VLAN网络设备必须支持动态VLAN使用IP筛选器进行有限资源存取控管直接拒绝存取（端口由绿灯变橘灯）客户端计算机需要重新拔插连接网络线建构以VLAN的隔离法必须在初始的VLAN中规划DHCP服务VLAN1：初始预设联机的VLAN，可置放矫正服务器VLAN2：置放隔离客户端的VLANVLAN3：置放合法客户端与网络资源的VLAN请透过ACLs将VLAN2与VLAN3设为无法相互存取客户端必须以DHCP方式联机网络VLAN网络地址配置以CiscoCatalyst3560G为范例使用CiscoNetworkAssistant接口设定或IOS命令启用设备端口的AAA设定AAA=Authentication、Authorization、Accounting设定RADIUS服务器联机NPS主机=RADIUS服务器802.1x设备=RADIUS客户端设定方法radius-serverhost192.168.2.1auth-port1812acct-port1813key1234DHCPRelay设定以iphelper-address命令指向位在VLAN1网络中的DHCP服务器变更SupplicantTimeout设定预设supp-timeout=5秒建议设定在15以上，避免NAP的健康状态消息（SoH），还来不及透过此交换器完成验证动作就已经逾时，而导致经常无法成功联机的问题。重新验证间隔时间(选用)预设reauthentication功能=Disable使用dot1xreauthentication命令来启用启用后预设时间=6分钟使用dot1xtimeoutreauth-period秒数请注意！每一次的重新验证作业都会让NPS主机上，产生新的合法验证或非法验证事件。启用PortFast缩短预设需30秒进入联机状态的问题课程大纲NAPfor802.1x架构介绍802.1x设备组态配置NAPfor802.1x原则设定NAPfor802.1x客户端设定NAPfor802.1x客户端联机测试NAP运作监视与事件通知Q&ANPS健康原则设定设定健康状态检验程序NAPfor802.1x原则配置（1/5）NAPfor802.1x原则配置（2/5）NAPfor802.1x原则配置（3/5）NAPfor802.1x原则配置（4/5）VLAN3–合法网络NAPfor802.1x原则配置（5/5）回到了[RADIUS标准属性]页面，请切换到[特定厂商属性]页面。继续设定！VLAN2:隔离的网络NAPfor802.1x客户端设定可以组策略统一配置可以采手动设定每一部客户端WindowsXPSP3设定会比较复杂组策略设定NAP客户端启用EAP隔离强制客户端启用WiredAutoConfig服务（自动）启用NetworkAccessProtectionAgent服务（自动）启用信息安全中心设定客户端有线局域网络启用IEEE802.1x验证关于WindowsVista的802.1x设定使用ActiveDirectory群组原则来统一配置以命令工具语法netshlan来设定802.1x的组态=70195查看动态VLAN状态VLAN1:NAP客户端尚未连接到网络设备！VLAN2:遭隔离的NAP客户端测试拒绝非法客户端联机修改不符合标准的原则设定！已被NAP拒绝联机的802.1x客户端！NAP事件检视隔离客户端事件合法客户端事件拒绝客户端事件隔离或拒绝事件Email通知简易作法直接在NPS主机事件上附加Email通知工作IT无法第一时间掌握到是哪一部计算机无法联机绝佳作法整合SystemCenterOperationsManager2007在这一些重要的客户端计算机上安装SCOMAgent当NAP隔离或拒绝事件发生时以IM或Email通知IT人员优点:可让IT立即掌握到哪一部计算机无法联机！使用性能监视器NPS系统健康状态验证NPS远程验证服务器NPS远程账户处理服务器NPS原则引擎NPS验证服务器NPS验证ProxyNPS验证客户端NPS账户处理服务器NPS账户处理ProxyNPS账户处理客户端