快速业务通道

集成TMG 2010,提升Windows Server 2008中的NAP FOR IPSEC在企业中的应用

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26
能同后台服务器建立IPsec通讯。但可以同救援服务器通讯,恢复健康状态。在恢复健康状态后,可以重新申请健康证书; 5、如果客户健康状态符合健康策略要求,HRA返回SoH请求应答给客户。HRA得到策略服务器的批准,替NAP客户端申请健康证书,颁发证书给符合要求的NAP客户端。有了健康证书的客户端就可以同后台的服务器建立IPSEC的通讯了。标志进入企业安全网络。

NAP FOR IPSEC在企业实施方案分析:

1、在微软提供的NAP解决方案中,有DHCP、802.1X、VPN及IPSEC。

2、在DHCP、802.1X、VPN情形中,有一个关键点和前提,就是客户端入网的第一步必须和DHCP、802.1X、VPN通讯,进而才能对客户端的健康状态加以评估,NAP机制才会起作用。如果没有这个前提,NAP机制就会被绕过,不会起作用。具体来讲,在NAP FOR DHCP技术方案中,关键点是DHCP服务器。在NAP FOR 802.1X 技术方案中,关键点是支持NAP的802.1X访问设备。在NAP FOR VPN技术方案中,关键点是VPN服务器。

3、在NAP FOR IPSEC情形下,问题比较复杂。缺乏一个关键点,客户端在企业网络里与那一台服务器通讯是随机的。我们必须保证基础架构服务器(DC)、网络架构服务器(DNS等)及救援服务器和客户端通讯是正常的,不能设置严格的IPSEC策略。因此不能将这一类服务器作为关键控制点。而每台客户端机器必须与之通讯的业务系统,可能是跨平台系统,不支持NAP技术,也作不成中心控制点;

4、引入微软网关产品TMG 2010,利用TMG 2010将网络分成微软企业内部网和业务系统网络。TMG是关键点,有两块网卡。一块连接企业内部网,另一块连接业务网络。所有客户端(B/S模式)要访问业务系统,必须先同TMG通讯(web 代理功能)。这样就形成以TMG为中心控制点;

5、有了TMG关键点后,就可以规划NAP FOR IPSEC方案了;

NAP FOR IPSEC解决方案实施步骤: 1、在服务器上安装Windows Server 2008,部署AD 架构,配置DNS\AD DS\AD CS角色; 2、在AD域上建立三个安全组:1、NAP IPSEC Client Computers ,包含所有满足健康策略接受健康证书的客户端计算机(Windows XP SP3、Windows Vista、Windows 7); 2、NAP IPSEC Boundary Computers ,能自动获得IPSEC健康证书,涵盖基础架构服务器(DC)、网络架构服务器(DNS等)及救援服务器,对这个组不采用严格的IPSEC策略; 3、NAP IPSEC Protected  Computers,能自动获得健康证书,要求进站连接提供健康证书。这个组包含关键服务器,TMG服务器属于这个组。这个组采用严格的IPSEC策略; 3、对网络中的计算机进行归属划分,加入相应的组里; 4、在证书服务器创建新的健康证书模板,在证书模板的安全属性设置安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers对该模板有Read 、Allow Enroll 、Allow Autoenroll的权限; 5、配置证书服务器颁发健康证书模板; 6、在AD 上配置域缺省组策略,使得在域里的计算机能自动获得证书; 7、从以上配置可以保证安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers里的计算机能获得健康证书,即企业内部网的所有的服务器都能获得健康证书。安全组NAP IPSEC Client Computers不能通过此方法获得证书,因为此组对新创建的健康证书模板没有Allow Enroll 、Allow Autoenroll的权限。安全组NAP IPSEC Client Computers是通过HRA获得证书的; 8、配置HRA,HRA是一个WEB 应用程序,如果策略服务器判定客户端计算机是符合健康要求的,HRA将从证书服务器CA上为客户端计算机获得一个健康证书,并发送给客户端。建立HRA与CA服务器之间的关联,HRA就像一个证书代理机构,为符合要求的健康客户端提供健康证书。因此,在证书服务器上配置HRA所代表的帐户应有请求、颁发和管理证书的权限。在H

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号