熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

簡單談談Server2008的NAP到底是什麼

2013-11-11 21:46:36  來源: Windows系統管理 

  什麼是NAP?

  NAPNetwork Access Protection網絡訪問保護我覺得其實還不完整我認為完整的應該叫做網絡策略訪問保護他的作用是用策略來保護客戶端對網絡的訪問確保整個網絡的訪問過程是達到一定安全級別的年初前我開始做的時候當時的第一反應就是防火牆覺得是不是就是跟防火牆類似的一個東西後來發現不是的而且完全不一樣防火牆是通過網絡的通訊接口比如IP端口號之類的來控制訪問連接的通或者斷簡單理解防火牆是控制網絡行為的而NAP是通過安全策略來控制網絡中所有客戶端的狀態可能這麼說還是不夠清楚我覺得這個東西應該分開來看就是網絡策略訪問保護

  下面先來看看網絡對於NAP的網絡我們理解可以大致分為三類一個外網也就是沒有受NAP管理的網絡這個網絡可能是互聯網也可能是某個個剛剛通過無線網絡想想接入到網絡中的某個計算機這是因為他還在處於一個請求IP或者請求接入的階段所以它應該算外部網絡第二個是內網也就是受NAP管理的網絡這個網絡指的就是我們已經接入進來的這些內部計算機比如剛才那個計算機如果已經接入進來了以後那它現在就處於一個內部網絡當中最後一個是一個比較特殊的網絡有點防火牆術語當中的DMZ但還是有區別它是一個更偏向內網的網絡但又不全是當然你可以去定義它如果有客戶端被NAP放到了這個網絡那它也許只能訪問部分網絡資源也許什麼資源都不能訪問後面我們再來詳細描述這個網絡暫時我們就先理解為一個受限制網絡吧

  網絡分析完了在來講講策略NAP中的策略叫做安全策略可能有人會跟防火牆中的策略去做對比那麼防火牆中的策略准確說應該叫規則策略比如如果是某個人在某台機器上通過某個應用程序進行訪問那麼我們可以決定是否允許通過這個規則策略可能是允許用戶A通過B不能通過或者允許A程序能夠通過而B程序不能通過但NAP中的安全策略是用於驗證客戶端是否達到某個在安全方面的特性的要求比如在NAP中有的策略是要求客戶端是否打開安全更新設置有的是要求防火牆是否處於啟用狀態有的是要求系統補丁是否打到某個級別或者某個時間點之後有的是要求防病毒軟件的病毒庫是否達到某個特定版本或者某個最新的時間點等等可以看出來實際上策略就是一把尺在防火牆中它是通過規則來定義這把尺在NAP中它是通過跟安全相關的狀態或者叫屬性來定義這把尺有了這把尺我們才能在後面的過程中去衡量一個客戶端或者網絡中的某個因素是否達到我們所期望的要求這就是策略的作用

  好有了一把尺如果我們不用它也是白費下面就來說說訪問的問題我的理解應該叫訪問監控或者訪問驗證這裡的意思是用剛才的那個些安全策略去監控所有網絡中的客戶端去跟客戶端當前的狀態進行對比比如一個策略是要求病毒庫的版本必須要達到版本結果發現有一台計算機的病毒庫版本還是那這個時候NAP服務器就會將這台計算機標記為不符合也就是說訪問驗證的過程就是用策略去對比客戶端的狀態信息是否符合我們所定義的策略強調一下這個驗證過程是實時存在的也就是說一旦你修改了某些安全設置與NAP中的策略是相矛盾的那麼會立即將你標記成不符合反過來如果當你更新了某些配置比如病毒庫版本時NAP會立即將你從不符合標記成符合這種實時保護就是為了防止惡意連接在開始進入網絡時通過偽裝蒙混過關進入以後再開始進行破壞據我所知像VPN的很多應用就是這樣它只在網絡連接開始的時候進行驗證一旦通過驗證以後的任何操作將不再受到限制

  所有的計算機都有了一個符合或者不符合的標記最後我們就能夠簡單的對其進行控制了實際上這個過程很簡單就是定義一個規則如果是符合我們允許它連入到哪個網不允許他連入到哪個網如果是不符合我們又允許它連入到哪個網不允許他連入到哪個網

  案例展示

  最後我們舉個例子來看看整個NAP的工作流程是怎樣完成的就拿剛才那個病毒庫為版本的計算機為例

  首先他會通過有線或者無線網絡接入進來在沒有連入進來之前它對於NAP來說應該是一個外網而他現在請求進入NAP的內網NAP就開始工作了

  NAP中定義了一條病毒方面的安全策略要求病毒庫版本必須達到這時NAP的策略服務器將會對這個客戶端進行驗證結果發現其版本為所以最後給這台計算機標記了一個不符合

  NAP這時啟動保護規則其中定義了一條規則是不符合病毒策略的計算機將被指派到一個只允許訪問病毒更新服務器的受限制網絡中這時這個客戶端會發現他能夠訪問的只有這台病毒服務器言下之意就是說如果你的病毒不符合現在的策略要求我就只允許你連接到病毒服務器將病毒庫更新到所要求的版本

  最後客戶端通過連接病毒服務器將病毒庫版本更新至我們剛才說過NAP是實時監控的所以這個時候這台機器的不符合標記會立即改為符合

  這個時候NAP的保護規則定義了符合的客戶端允許訪問內部網絡中的所有的服務器或數據資源也就是說直到這個時候這個客戶端才能真正的進入到企業網絡中去訪問資源

  再次強調這個時候不能叫做NAP完成了驗證過程因為它是實時監控的如果你這個時候將病毒軟件卸載了那你同樣會被立即斷開網絡至於對於一個沒有安裝某個防病毒軟件的客戶端該如何處置那就取決於你的安全策略和訪問規則怎麼設置了

  特殊功能強制保護

  說到這裡我想大家應該對NAP是怎麼回事另外我在提一個NAP裡面的一個特殊的功能叫做強制保護說它特殊是因為目前並不是所有的安全策略或訪問規則都支持這個功能的目前微軟自己的安全設置肯定是支持強制保護的比如防火牆設置自動更新設置等等但一些其他廠商的應用比如某個廠商的防火牆防病毒軟件由於現在中的NAP才剛剛起步可能目前的版本還不能夠支持這個強制保護的功能那強制保護到底怎麼回事呢下面還是舉例來說明吧

  拿剛才那個舉例來說他現在可以正常連接到內部網絡當中而NAP中有另外一條跟防火牆有關的策略這個安全策略定義的是必須開啟防火牆而這時這個客戶端的用戶發現防火牆把某些端口給阻斷了他希望能夠使用一些特殊的軟件比如BT之類的可能他的權限足夠所以自己就把防火牆給關閉了

  這個時候按照我們剛才所說的這個客戶端會立即打上一個不符合的標記並且被斷網或者分配到某個受限制網絡中但是這裡如果啟用了強制保護的話我們會發現網絡並沒有發生變化用戶再次打開防火牆設置的時候會發現明明剛才把防火牆關掉了怎麼現在還是開的並且多次嘗試都是這種現象其實這就是強制保護或者叫強制符合策略如果支持這個功能的安全組件會自動的將客戶端的安全配置修改成安全策略所要求的那樣正是因為需要自動執行所以目前並不是所有的安全組件都能支持的比如第三方防病毒軟件這種就需要第三方廠商跟微軟來合作才可能實現

  好了說到這裡相信大家應該對NAP有一個比較清晰的認識了至少知道NAP是怎麼一回事以及它怎麼工作的如果有興趣繼續深入研究的話可以去微軟網站查閱相關的信息


From:http://tw.wingwit.com/Article/os/xtgl/201311/9203.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.