快速业务通道

网络访问保护概述

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26

目前,各种规模的组织都面临的最大安全威胁之一就是网络外围背后的恶意设备。任何组织,不论其对来自 Internet 的外部威胁防御得多么严密,都会因善意的员工在不知情的情况下带入 蠕虫或木马等恶意软件而在安全性方面面临风险。这种威胁在中小型组织的 IT 环境中尤其如此,因为其员工可能使用同一台便携式计算机处理个人事务和工作任务,并且对他们而言,网络访问控制技术也经常因过于昂贵和复杂而无法部署。不过通常由于停机而付出高昂代价的也正是这些组织。由此可见防御这些威胁是至关重要的。利用 Microsoft 的网络访问保护 (NAP) 技术,各种规模的组织都能在计算机连接到网络时前瞻性地检查其运行状况,以确保计算机在整个连接期间始终运转正常。NAP 为组织提供了一种基于策略的灵活的体系结构,可防止员工、供应商和访问者有意或无意地将不符合安全策略的计算机连接到组织的网络。NAP 主要围绕四大基本核心构建而成:策略验证、隔离、补救和持续的遵从性。

NAP 概述

NAP 提供的第一个核心服务是策略验证。策略验证是指 NAP 根据管理员定义的一组规则对系统进行评估并划定系统运行状况的过程。IT 管理员指定一组策略元素,NAP 在计算机尝试连接到网络时会使用这些元素进行对比。符合这些策略元素的计算机被视为状态良好的计算机,而不符合其中一项或多项核查标准(由管理员指定)的计算机则被认为是状态不良的计算机。这些策略可以检查计算机是否安装有防病毒软件和防间谍软件、主机防火墙是否处于活动状态、是否缺少某个安全更新,等等。此外,由于 NAP 是可扩展的,因此独立软件供应商可针对 NAP 开发自己的插件,以针对应用程序进行检查。NAP 提供的另一项核心服务是网络连接限制。根据管理员定义的策略的不同,NAP 可以将计算机的网络连接设置为各种状态。例如,如果一台计算机因缺少关键的安全更新而被视为状态不良,则 NAP 可以将该计算机置于隔离网络中,使其与网络中其他计算机隔绝,直至恢复健康为止。如果没有 NAP,状态不良的客户端也可以不受限制地访问组织的网络。一旦恶意软件能够通过那些本该由更新程序修补的漏洞危害该计算机,它就能够不断试图将自身的感染传播给网络中的其他计算机。图 1 所示使您对该体系结构有一个大致的了解。

498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' height="233" alt="" width="313" border="0" src="http://images.51cto.com/files/uploadimg/20100603/1628030.jpg" /> 

图 1 常见的 NAP 体系结构

不过,仅限制连接并非处理那些状态不良的计算机的有效方法(毕竟,您的用户还要工作)。为此,NAP 提供了补救服务,被隔离的计算机无需管理员干预即可纠正影响运行状态的问题。在上述示例中,受限的网络只允许状态不良的计算机访问安装缺失更新程序必需的特定网络资源,例如组织的 Windows Server® Update Services (WSUS) 计算机。也就是说,有了 NAP,状态不良的计算机只能访问那些可使其运行正常的网络资源,在其恢复健康前,不能向网络中的其他计算机发送任何通信。NAP 的最后一个核心服务是持续的遵从性,即强制计算机在与网络保持连接期间,而不仅仅在初始连接时,始终符合这些可保持状态良好的策略。通过我们的示例,设想一下计算机对自身进行更新并恢复良好状态(因此可获得不受限的网络访问)后会怎么样。如果该计算机之后与策略不相符合,例如禁用了 Windows 防火墙,则 NAP 将自动将该计算机重新隔离。NAP 还允许管理员配置自动补救,无需用户干预即可自动更正违规状态,甚至在初始连接建立很久之后仍可执行这一操作。NAP 可以采取多种不同的方法控制网络访问。采用托管网络交换机的组织可以利用 802.1X 在网络硬件层提供基于端

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号