网络访问保护概述
不受限网络访问之间切换。在向状态不良的客户端提供租约时,会使用这组特殊的作用域选项(包括 DNS 服务器、默认的 DNS 后缀,等等)。例如,提供给状态良好的客户端的默认 DNS 后缀为“某公司.com”,而提供给状态不良的客户端的后缀为“restricted.某公司.com”,如图 3 中所示。配置好 DHCP 作用域选项后,即可设置网络策略服务器并创建规则了。
498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' height="316" alt="" width="399" border="0" src="http://images.51cto.com/files/uploadimg/20100603/1628032.jpg" /> 图 3 受限访问 NPS 策略由四个主要组件构成。系统健康验证器(System Health Validators,SHV)定义了评估计算机运行状态需要执行哪些检查。更新服务器组列出了状态不良的计算机可以访问的系统(例如 WSUS),通过访问这些系统,状态不良的计算机可以恢复正常状态。系统健康验证器模板组件用于定义实际的运行状况。例如,某公司 可以认为通过了 Windows Security SHV 检验的计算机是“遵从策略”的,但客户端仍有可能无法通过其防病毒供应商提供的另一项 SHV 检查。最后,这些组件将组成一组网络策略,其中包括了逻辑规则,借此根据计算机运行状况确定如何对其进行处理。系统健康验证器列出了各种项,NAP 代理会对这些项进行检查并向 NPS 报告计算机运行状况。默认的 NAP 部署包括 Windows SHV(加入到 Windows 安全中心),它可允许 NAP 检查安全中心报告的所有安全组件的状况。这其中包括防火墙、防病毒组件、自动更新组件和防间谍软件组件。 我们之前说过,NAP 是可以扩展的,允许第三方创建属于自己的 SHV,以便对单个组件进行更为详细的检查)。例如,Windows Security SHV 允许 NAP 检查防病毒软件是否已启用并处于最新状态。不过,Windows Security SHV 并不能执行有关防病毒应用程序的更详细的检查,例如计算机的扫描频率或应用程序特定的其他选项。不过,防病毒软件供应商可以创建自己的 SHV,与默认的 Windows SHV 相比,该 SHV 能够更深入应用程序,提供更多应用程序特有的检查。此 SHV 将与 Windows SHV 和其他可能存在的 SHV 密切协作;一个 NAP 部署有时会同时使用多个 SHV(参见图 4)。 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' height="506" alt="" width="312" border="0" src="http://images.51cto.com/files/uploadimg/20100603/1628033.jpg" /> 图 4 Windows 安全 SHV 更新服务器组用于指定状态不良的计算机能够访问哪些资源。这些组通常包括 WSUS 或 Systems Management Server (SMS) 服务器,以及防病毒更新服务器。至关重要的是,不仅要包括服务器本身,还要包括客户端查找服务器所用的名称解析服务器。由于 某公司 的客户端经由组策略配置,使用称为 wsus.某公司.com 的服务器进行自动更新,因此更新服务器组不仅必须包括该 WSUS 服务器的 IP 地址,还要包括 DNS 服务器的 IP 地址,因为客户端要通过它将完全限定的域名 (FQDN) 转换成数字 IP 地址。如果无权访问这些名称解析资源(可能为 DNS 和 WINS,具体取决于客户端的配置方式),客户端将无法解析补救资源的 IP 地址,也就无法访问它们。图 5 所示为示例的 DNS 和 IP 设置。 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' height="298" alt="" width="399" border="0" src="http://images.51cto.com/files/uploadimg/20100603/1628034.jpg" /> 图 5 DNS 名称和 IP 地址 系统健康验证器模板用于定义状态良好的计算机需要满足哪些条件。验证模板会获取 SHV 检查的结果,并根据计算机是否通过其中的一项或多项 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |