集成TMG 2010，提升Windows Server 2008中的NAP FOR IPSEC在企业中的应用

NAP FOR IPSEC在企业实施方案分析：

1、在微软提供的NAP解决方案中，有DHCP、802.1X、VPN及IPSEC。

2、在DHCP、802.1X、VPN情形中，有一个关键点和前提，就是客户端入网的第一步必须和DHCP、802.1X、VPN通讯，进而才能对客户端的健康状态加以评估，NAP机制才会起作用。如果没有这个前提，NAP机制就会被绕过，不会起作用。具体来讲，在NAP FOR DHCP技术方案中，关键点是DHCP服务器。在NAP FOR 802.1X　技术方案中，关键点是支持NAP的802.1X访问设备。在NAP FOR VPN技术方案中，关键点是VPN服务器。

3、在NAP FOR IPSEC情形下，问题比较复杂。缺乏一个关键点，客户端在企业网络里与那一台服务器通讯是随机的。我们必须保证基础架构服务器（DC）、网络架构服务器（ＤＮＳ等）及救援服务器和客户端通讯是正常的，不能设置严格的IPSEC策略。因此不能将这一类服务器作为关键控制点。而每台客户端机器必须与之通讯的业务系统，可能是跨平台系统，不支持NAP技术，也作不成中心控制点；

4、引入微软网关产品TMG 2010,利用TMG 2010将网络分成微软企业内部网和业务系统网络。TMG是关键点，有两块网卡。一块连接企业内部网，另一块连接业务网络。所有客户端（B/S模式）要访问业务系统，必须先同TMG通讯（web 代理功能）。这样就形成以TMG为中心控制点；

5、有了TMG关键点后，就可以规划NAP FOR IPSEC方案了；

NAP FOR IPSEC解决方案实施步骤： 1、在服务器上安装Windows Server 2008,部署AD 架构，配置DNS\AD DS\AD CS角色； 2、在AD域上建立三个安全组：1、NAP IPSEC Client Computers ，包含所有满足健康策略接受健康证书的客户端计算机（Windows XP SP3、Windows Vista、Windows 7）； 2、NAP IPSEC Boundary Computers ,能自动获得IPSEC健康证书，涵盖基础架构服务器（DC）、网络架构服务器（DNS等）及救援服务器，对这个组不采用严格的IPSEC策略； 3、NAP IPSEC Protected  Computers,能自动获得健康证书，要求进站连接提供健康证书。这个组包含关键服务器，TMG服务器属于这个组。这个组采用严格的IPSEC策略； 3、对网络中的计算机进行归属划分，加入相应的组里； 4、在证书服务器创建新的健康证书模板，在证书模板的安全属性设置安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers对该模板有Read 、Allow Enroll 、Allow Autoenroll的权限； 5、配置证书服务器颁发健康证书模板； 6、在AD 上配置域缺省组策略，使得在域里的计算机能自动获得证书； 7、从以上配置可以保证安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers里的计算机能获得健康证书，即企业内部网的所有的服务器都能获得健康证书。安全组NAP IPSEC Client Computers不能通过此方法获得证书，因为此组对新创建的健康证书模板没有Allow Enroll 、Allow Autoenroll的权限。安全组NAP IPSEC Client Computers是通过HRA获得证书的； 8、配置HRA，HRA是一个WEB 应用程序，如果策略服务器判定客户端计算机是符合健康要求的，HRA将从证书服务器CA上为客户端计算机获得一个健康证书，并发送给客户端。建立HRA与CA服务器之间的关联，HRA就像一个证书代理机构，为符合要求的健康客户端提供健康证书。因此，在证书服务器上配置HRA所代表的帐户应有请求、颁发和管理证书的权限。在H

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!