返回
NAP策略之IPSec

NAP策略之IPSec

ID:40563773

大小:71.00 KB

页数:4页

时间:2019-08-04

NAP策略之IPSec_第1页
NAP策略之IPSec_第2页
NAP策略之IPSec_第3页
NAP策略之IPSec_第4页
资源描述:

《NAP策略之IPSec》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、NAP策略之IPSec以下是微软网站对NAP-IPsec的定义,我截取了重要的一部分:了解NAPIPSec强制l应用到:WindowsServer2008R2Ø网络访问保护(NAP)Internet协议安全(IPSec)强制可提供最强且最灵活的方法来维护客户端计算机与网络健康要求兼容。IPSec强制限制在网络上与那些被认为兼容且已获得健康证书的计算机的通信。通过利用IPSec及其配置灵活性,您可以使用此NAP强制方法在每个IP地址或端口号基础上定义与兼容客户端进行安全通信的要求。lIPSec强制的好处当您需要比802.1X、DHCP、或VPN强制提供的强制机制更强大且更稳健的强制机制

2、时,通常会使用IPSec强制。以下是IPsec强制的益处:Ø防篡改强制:无法通过重新配置NAP客户端跳过IPSec强制。即使用户具有本地管理员权限,NAP客户端也无法接收健康证书,或通过操纵本地计算机上的设置启动与兼容计算机之间的通信。此外,无法通过使用集线器或虚拟计算机技术跳过IPSec强制。Ø无需升级基础结构:IPSec强制在TCP/IP协议集的Internet层工作,因此独立于物理网络基础结构组件,如集线器、交换机和路由器。Ø基于每个服务器或每个应用程序限制网络访问:使用IPSec强制,兼容计算机可以启动与非兼容计算机之间的通信,但非兼容计算机无法启动与兼容计算机之间的通信。管

3、理员定义流量类型,必须使用健康证书验证此流量并通过IPSec策略设置使用IPSec保护该流量。使用IPSec策略,可创建IP筛选器,它可按源IP地址、目标IP地址、IP协议号、源和目标TCP端口以及源和目标UDP端口定义流量。使用IPSec策略和IP筛选器定义,可以在每台服务器或每个应用程序基础上限制网络访问。Ø可选的端对端加密:通过指定IPSec策略设置,可以加密IPSec对等端之间的IP通讯以获得高敏感流量。与IEEE802.11无线局域网(LAN)不同,它仅加密从无线客户端到无线访问点的帧,而IPSec加密在IPSec对等计算机之间进行。lIPSec强制和逻辑网络IPSec强制

4、将物理网络分成三个逻辑网络。一台计算机在任何时候都只是一个逻辑网络的成员。根据哪些计算机具有健康证书以及哪些计算机要求为传入通信尝试进行IPSec身份验证来定义逻辑网络。通过逻辑网络,您可以限制对不满足健康要求的计算机的访问,并从非兼容计算机为兼容计算机提供一定程度的保护。IPSec强制定义了以下逻辑网络:1)安全网络安全网络上的计算机具有健康证书,并要求使用这些证书对传入通信进行身份验证。它们使用一组常用IPSec策略设置来提供IPSec保护。例如,大多数属于ActiveDirectory®基础结构的服务器和客户端计算机将位于安全网络中。NAP健康策略服务器、运行ActiveDir

5、ectory证书服务(AD CS)的服务器,以及电子邮件服务器是通常位于安全网络中的网络组件的示例。(这个网络就是AD的网络,客户端HRA的证书是基于AD域的证书)2)边界网络位于边界网络上的计算机具有健康证书,但不要求对传入通信尝试进行IPSec身份验证。整个网络中的计算机必须都可以访问边界网络上的计算机。这些类型的计算机是评估并修正NAP客户端运行状况或为受限网络中的计算机提供网络服务所需的服务器,如HRA服务器、防病毒更新服务器、只读域控制器和DNS服务器。由于边界网络中的计算机无需进行身份验证和受保护的通信,因此必须小心管理它们,以防它们被用于攻击安全网络中的计算机。3)受限

6、网络受限网络中的计算机没有健康证书。这些计算机尚未完成健康检查,是来宾计算机或NAP不合格的计算机,如运行不支持NAP的Windows版本的计算机、AppleMacintosh计算机或基于UNIX的计算机。下图显示IPSec逻辑网络示例。注意:NAP强制点上的HRA就是使用IPSec模式HRA概述应用到:WindowsServer2008R2健康注册机构(HRA)提供一种网络访问保护(NAP)平台服务,它通常称为X.509公钥基础结构(PKI)中的注册机构。作为一个注册机构,HRA负责验证客户端凭据,然后将证书申请转发到代表客户端的证书机构(CA)。通过检查网络策略服务器(NPS),

7、HRA可验证证书申请以确定NAP客户端是否与网络健康要求兼容。如果发现客户端兼容,HRA将从CA申请特殊类型的证书(称为健康证书)。由NAP客户端计算机使用的健康证书用于受IPSec保护的网络上的通信。在此功能中,HRA将作为NAP强制服务器,使用NAPInternet协议安全(IPSec)强制方法。重要概念若要了解NAP部署中的HRA角色,请查看以下概念。1.健康证书已颁发给NAP客户端计算机,并用于提供其与网络健康要求兼容的证明的X.509证书。通过向

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。