网络访问保护概述
| 问 某公司 WSUS 服务器和承载防病毒签名的服务器。最后,NAP 可以确保计算机在恢复正常后始终保持良好状态。在这个示例中,如果远程办公人员通过 VPN 使用状态不良的主机,并且该用户关闭了主机防火墙,则 NAP 会自动对这一问题进行补救。只要一禁用防火墙,NAP 体系结构就会立即将该计算机隔离,重新启用防火墙,重新评估该计算机的运行状态,在确定该计算机恢复良好状态后,再将其放回不受限的网络中。NAP 的四项核心服务直接满足了 某公司 对动态移动的计算环境的安全方面的需求。
NAP 设计 对许多中小型组织而言,实施基于 DHCP 的 NAP 强制技术是最快、最简单的可选方案。这是因为 DHCP 强制技术不需要对网络进行其他更改,而且除 DHCP 和 NPS 之外,不需要其他服务。尽管 IPsec 和 802.1X 强制方案更为灵活,但它们都需要在网络中进行额外更改并部署新的服务。对于较为简单的环境,使用 DHCP 既可享受 NAP 提供的大多数好处,同时实现成本也低得多,持续运营费用也少一些。在 某公司 的环境中,围绕一台运行 Windows Server“2008”的计算机进行 NAP 部署。由于 NAP 需要 Windows Server“2008”NPS,因此不能在以前的 Windows Server 版本上部署 NAP。NAP 的基于 DHCP 的强制也需要 Windows Server“2008”DHCP 服务器。如果要整合这些服务,某公司 可以将 NPS 和 DHCP 部署在同一台服务器上,二者可以相安无事,和谐共存。这样,某公司 的基本 NAP 服务器体系结构就变得非常简单:仅需一台装有 Windows Server“2008”的计算机,同时运行策略组件和强制组件。 在客户端,某公司 运行 Windows Vista 的计算机已经具备支持 NAP 所需的能力。对运行 Windows Vista 的计算机而言,唯一要对客户端做出的更改就是启用 NAP 功能,这可通过组策略来实现。而对于运行 Windows XP 的计算机,则必须单独安装 NAP 客户端软件包。默认情况下,已加入域的 Windows XP 计算机的 Windows 安全中心功能是处于禁用状态的。如果 NAP 策略需要使用来自安全中心的状态信息来评估计算机的运行状态,则必须运行安全中心,否则 NAP 无法正常运行。因此,对于 某公司 公司内运行 Windows XP 的计算机来说,管理员已通过组策略启用了安全中心。除了这些更改外,客户端无需再进行其他更改即可支持 NAP。 某公司 NAP 部署 在 某公司 完成前面所述的必要的组策略更改之后,下一个 NAP 部署步骤是安装 Windows Server“2008”。所有 Windows Server“2008”版本都包括必需的 NAP 组件,因此,某公司 可以使用任何符合需求的版本。安装完毕后,IT 管理员要使用服务器管理器工具向计算机添加新的角色。对于 某公司 使用的基于 DHCP 的强制,所需的角色为网络访问服务和 DHCP 服务器。添加角色向导将帮助管理员处理所有依赖关系并加入服务器可能需要的任何其他功能。添加完角色后,某公司 即可开始配置 NAP 了。某公司 的管理员将使用服务器管理器工具访问 Microsoft 管理控制台 (MMC) 的 DHCP 管理单元,并添加新的作用域。配置 Windows Server“2008”DHCP 服务器将导致它所服务的 IP 段上现有的 DHCP 服务全部被替换。根据 某公司 的网络情况创建好该作用域并在其中填充了正确的选项后,就必须对其启用 NAP。这一操作可在作用域属性的“网络访问保护”选项卡上进行(参见图 2)。
图 2 启用 NAP NAP 通过新的 NAP 用户类作用域选项使计算机在同一作用域内的受限和 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
