快速业务通道

网络访问保护概述

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26
检查来确定其运行状态是否良好(参见图 6)。

498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' height="383" alt="" width="397" border="0" src="http://images.51cto.com/files/uploadimg/20100603/1628035.jpg" />

图 6 遵从性检查

在 某公司 的环境中(象许多中小型组织的部署一样),只定义了两种状态。通过所有 SHV 检查的计算机称为状态良好的计算机。未能通过其中一项或多项检查的计算机则称为违规的计算机。如果需要,组织可以选择实施更为复杂的逻辑(例如,根据角色、所在部门、地理位置等为用户创建不同的遵从规则),但要注意,这样做可能会增加识别和排查问题的难度,而且更为耗时。所有这些组件都通过网络策略组合在一起。网络策略由管理员定义,用于指导 NPS 如何根据计算机的运行状态处理计算机。NPS 会从上到下评估这些策略(如 NPS UI 中所示),一旦计算机与策略规则相符,处理将立即停止。由于 某公司 网络的目标是简单,因此只需要少量策略。首先是 Compliant-FullAccess(合规 — 完全访问)策略。此策略规定通过所有 SHV 检查的计算机可以获得不受限制的网络访问权限。具体地说,当计算机经过运行状况评估并通过所有检查时,NPS 会指示 DHCP 服务器为该计算机提供一个作用域选项为“正常”的 IP 租约。此 Compliant-FullAccess 策略通常应该列在处理顺序的首位,因为大多数计算机在接受这项检查时应该都是符合规则的。将此策略列在首位可减少 NPS 的处理工作量和时间。下一个要用到的策略是 Noncompliant-Restricted(违规 — 受限访问)。在 某公司 环境中,此策略对应任何未通过一项或多项 SHV 检查(因此符合违规系统健康验证模板)的计算机。如果有计算机与此策略相符,则 NPS 会指示 DHCP 服务器为该客户端提供一个具有特殊 NAP“受限”作用域选项的 IP 租约。该地址仅允许违规计算机访问 某公司 的更新服务器组中定义的资源。

第三个要用到的策略针对后台兼容性。我们说过,默认情况下,Windows XP 和更高版本的操作系统都提供 NAP 支持(不过,独立软件供应商也许会开发适用于更低的 Windows 版本和非 Windows 操作系统的 NAP 客户端)。如果 某公司 的生产环境中仍存在 Windows 2000,则可以创建一条规则(在我们的示例中为 Downlevel-Full-Access),允许为不识别 NAP 的计算机授予正常的网络访问权限(DHCP 服务器默认的作用域选项)。此策略应该最后评估,并且只有当下层计算机需要网络访问时才需要创建和启用(参见图 7)。

498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' height="283" alt="" width="399" border="0" src="http://images.51cto.com/files/uploadimg/20100603/1628036.jpg" />

图 7 下层计算机的访问权限设置

如果 某公司 的网络中存在目前不支持、且以后也不会支持 NAP 的资源(如打印机或其他硬件),我们该怎么办?而且,如果 某公司 的计算机虽然支持 NAP,但却想永久或暂时免于策略检查,我们又将如何解决?有一种简单的方法可用于将这些计算机设为例外,即求助于 MAC 地址。为了让这些计算机绕过 NAP 检查,某公司 管理员可以创建一个新的策略(按 MAC 设为例外),这样即可赋予它们完全的网络访问权限。此策略使用条件语句,Calling Station ID 的 RADIUS 客户端属性要与需要绕过 NAP 检查的那些设备的 MAC 地址相匹配。当计算机符合此策略语句时,NPS 会指示 DHCP 提供一个具有“正常”作用域选项的租约。此策略应该列在评估顺序的首位,以便减少 NPS 的总体处理时间和工作量。符合此策略的计算机不需要再进行任何 SHV 评估,因此 NPS 无需对其进行循环检查(参见图 8)

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号