图1-51 客户端用户不能修改设置选项
任务5 使用网络访问保护(NAP)实现网络访问安全(6学时)
[安全管理需求]
网络访问保护(NAP)可以强制客户端的计算机环境必须符合健康策略的要求,也就是客户端计算机必须是健康的,否则客户端只能够访问受限制的网络资源,以免不健康的客户端危害到内部网络安全。反过来说,健康的客户端可以访问完整网络资源。
[任务描述]
NAP客户端 DC&DNS服务器 DHCP服务器& RADIUS代理服务器 NAP健康策略服务器& RADIUS服务器 图1-52 DHCP NAP拓扑图
1、如图1-52所示。gdsspt.net域的计算机系OU内客户机(同时也是NAP客户端)需要配置NAP健康策略来强制NAP客户端必须打开Windows防火墙。当NAP客户端向DHCP
服务器租用IP地址时,会将客户端的健康情况发送给NAP强制执行点DHCP服务器,DHCP服务器再通过向NAP健康策略服务器查询客户端是否符合健康策略的要求。包括:
(1)若NAP客户端已打开Windows防火墙,则根据策略给予客户端具备完整网络访问权限的IP配置与路由设置策略。
(2)若NAP客户端未打开Windows防火墙,则根据策略给予客户端不同的IP配置与路由设置,让该客户端仅能访问受限制的网络资源。
DC & DNS & DHCP & 企业根CA VPN服务器 RADIUS客户端 DHCP中继代理 外网客户端 NAP健康策略服务器 RADIUS服务器 图1-53 VPN NAP拓扑结构图
2、如图1-53所示。配置NAP健康策略来强制计算机系内NAP客户端必须打开Windows防火墙。包括:
(1)若NAP客户端已打开Windows防火墙,则VPN服务器会给予客户端完整的网络访问权限。
(2)若NAP客户端未打开Windows防火墙,则VPN服务器将根据策略给予客户端受限制的网络访问权限,比如只能访问DC。
[步骤提示]
1、DHCP NAP配置 (1)配置环境
如图1-52所示,3台服务器全部是Windows Server 2008 R2 Enterprise系统,NAP客户端为Windows 7系统。将4台计算机连接在同一个网段内(比如192.168.10.0/24网段),并设置好IP地址,测试网络的连通性。
如果是在VMware中独自完成,可以将这4台计算机放到一个team中(需要创建),这里创建的Team组的名称为DHCP NAP,如图1-54所示。
提示,如果是通过Clone出来的机器,还需要进行重新封装(运行sysprep命令)。
图1-54 VMware中创建team示意图
(2)架设NAP健康策略服务器
第一步,将NAP服务器加入gdsspt.net域中。
第二步,在NAP服务器上安装“网络策略服务器”角色。通过“添加角色”-〉选择“网络策略和访问服务”-〉“网络策略服务器”。
第三步,设置NAP为健康策略服务器。这里的设置,牵扯到相当多的内容,包含系统健康验证代理程序(SHA,System Health Agent)设置、健康策略设置、网络策略设置、连接请求策略设置、更新服务器组设置与RADIUS客户端的设置等。这里可以借助NAP配置向导来快速设置。
首先,通过“管理工具”-〉“网络策略服务器”-〉选中“NPS(本地)”-〉单击“配置NAP”,如图1-55所示。
图1-55 配置NAP示意图
其次,设置“网络连接方法”,选择“动态主机配置协议(DHCP)”,如图1-56所示。
图1-56 选择动态主机配置协议示意图
第三,添加DHCP服务器的IP作为RADIUS客户端,并手动设置密码。如图1-56所示。
图1-56 RADIUS客户端添加设置
第四,接下来的设置使用默认值,直至最后完成。
第五,展开“RADIUS客户端”-〉双击DHCP服务器-〉在“高级”标签下,选择供应商名称为“Microsoft”,其它为默认值。如图1-57所示。
图1-57 RADIUS客户端中的DHCP属性设置
第六,配置系统健康程序(SHV)。通过打开“网络访问保护”-〉“系统健康验证程序”