访问www.microsoft.com/china/technet/webcast 获取更多课程资源
微软Windows Server 2008实
战攻略系列之十五:网络安全
防护配置和应用
彭爱华[盆盆]
四届微软最有价值专家/MCT讲师
ITECN博客站长
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
2008重磅出击
——微软Windows Server 2008实战攻略系列
详细介绍
http://www.microsoft.com/china/technet/webcasts/cla
ss/Win2008rc1.mspx
Windows Server 2008 技
术实现篇
Windows
Server
2008 新技
术概览篇
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
微软Windows Server 2008实战攻略系列之一:Windows Server 2008 新特性概览
微软Windows Server 2008实战攻略系列之二:Windows Server 2008 管理易用性新特性概览
微软Windows Server 2008实战攻略系列之三:Windows Server 2008 活劢目录新特性概览
微软Windows Server 2008实战攻略系列之四:微软虚拟化解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
逐个数
微软Windows Server 2008实战攻略系列之五:IIS 7 新特性概览和场景应用
微软Windows Server 2008实战攻略系列之六:网络安全防护新特性概览
微软Windows Server 2008实战攻略系列之七:Windows Server 2008 高可用新特性概览
微软Windows Server 2008实战攻略系列之八:Windows Server 2008 安装和部署
微软Windows Server 2008实战攻略系列之九:Server Core 配置和管理应用
微软Windows Server 2008实战攻略系列之十:Windows Server 2008 活劢目录配置和实现
微软Windows Server 2008实战攻略系列之十一:IIS 7 配置和管理应用
微软Windows Server 2008实战攻略系列之十二:证书服务器管理和配置使用
微软Windows Server 2008实战攻略系列之十三:虚拟化基本实现和企业应用配置
微软Windows Server 2008实战攻略系列之十四:终端服务新特性和配置应用
微软Windows Server 2008实战攻略系列之十五:网络安全防护配置和应用
微软Windows Server 2008实战攻略系列之十六:流媒体Media Service 配置和新特性介绍
微软Windows Server 2008实战攻略系列之十七:分支机构安全防护和合规性遵循
微软Windows Server 2008实战攻略系列之十八:Windows Server 2008 高可用性配置实现
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
课程概览
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP(DEMO演示)
应用实例(MS IT)分析
和第三方厂商的对比
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
确保私有网络安全性的重要性
私有网络
不健康的计算机
健康计算机
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
需求1:确保漫游计算机的健康
NAP
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
需求2:确保桌面计算机的健康
Network Policy Server
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
需求3:确保访客便携计算机的健
康
Network Policy Server
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
需求4:确保家庭计算机的健康
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
课程概览
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP(DEMO演示)
应用实例(MS IT)分析
和第三方厂商的对比
Q&A
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
Network Access Protection 解
决方案
策略, 过程和通告
数据
应用程序
主机
内部网络
边界网络
策略评估
网络限制约束
补救
继续依从策略
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
1
受限网络
MSFT
Network
Policy
Server
3
策略服务器
MSFT Security Center,
SMS, Antigen
or 3rd party
符合策略
要求DHCP, VPN
Switch/Router
2
Windows
Vista 客户机
修补服务器
WSUS, SMS & 3rd
party
企业内部网络
5
不符合策略
要求 4
安全增强
所有的通讯都经过验证授权并保证是健康的
采用DHCP, VPN, IPsec, 802.1X等技术实现了深度防御
基于策略的访问使得设置和控制均可实现
优点:
Network Access Protection
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
强制方式
强制方式 健康客户机 丌健康的客户机
DHCP 可以访问整个网络
限制可访问的网络(由路
由器加以限制)
VPN (Microsoft
and 3rd Party)
完全访问 基于IP包过滤器的过滤
802.1X 完全访问
通过IP包过滤器过滤或 虚
拟局域网来限制
IPsec
能够和任何受信客户端
进行通讯
健康的通讯伙伴将拒绝不
符合要求的通讯请求
• 是2层保护的补充
• 可以工作在现有的服务器和网络基础结构之上
• 很容易实现隔离
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
Network Protection Services
概览
Network Policy Server (NPS)
Network Access Protection (NAP) Policy
Server
IEEE 802.11 Wireless
IEEE 802.3 Wired
RADIUS Server
RADIUS Proxy
Routing and Remote Access
Remote Access Service
Routing
Health Registration Authority (HRA)
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
NAP 结构概览
MS Network
Policy Server
隔离服务器(QS)
客户机
隔离代理(QA)
更新
安全申明 网络访问请求
系统健康服务器修补服务器
安全证书
网络接入设备和服务器
系统安全代理(SHA)
微软或第三方
系统安全检察
强制客户端 (EC)
(DHCP, IPSec, 802.1X, VPN)
Health policy
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
防病毒 软件安全类 补丁类
应用程序安全类
网络设备类
系统集成类
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
课程概览
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP(DEMO演示)
应用实例(MS IT)分析
和第三方厂商的对比
Q&A
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
NAP的实现 (DEMO演示)
NAP – 强制选项
NAP with DHCP
基于IPSEC的通讯
NAP with RRAS
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
NAP with DHCP
NPS Server
DHCP Server
请求接入
这是我的健康状态.
客户机要求更新
我需要一个IP租约
你不符合健康要求
允许接入,这是你的新
的IP地址
VPN Server
客户机
IEEE 802.1X
设备
修补服务器
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
Demo
基于DHCP的NAP
问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
:(DHCP的NAP实际上是微软的
DHCP什么技术的发展?)
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
基于IPSEC的通讯
安全网络
边界网络
受限网络
IPsec Authenticated
Unauthenticated
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
Demo
基于IPSEC的NAP
问题:如果这台计算机丌是域内的计算机,它能丌能从
HRA(健康代理)那里获得证书呢?
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
NAP with RRAS
VPN Server
修补服务器
RADIUS 消息PEAP 消息
Client NPS Server
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
Demo
基于VPN的NAP
问题:和传统的VPN隔离网络相比,它们之间有什么异
同呢?
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
课程概览
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP(DEMO演示)
应用实例(MS IT)分析
和第三方厂商的对比
Q&A
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
NAP 发展
客户操作系统支持
Vista: DHCP, VPN, IPsec, 802.1x, Terminal Services,
Windows Security Center
XP NAP: 和vista一样支持, 目前beta版的客户端已经可用
第三方厂商: NAP 跨平台授权
Longhorn Server Beta 3
新功能: NAP-NAC, SMSv4, MOMv3, XP 802.1x,
改善了管理
在微软IT部门和早期技术测试伙伴中已经开始推广
部署亮点
在微软的生产环境中部署超过75000台
在微软中开始担负起发现和修补丌符合要求的系统的工作
NPS 正在执行数量高达百万的事务
所有TAP 客户在使用中
今天NAP正在微软大量的使用 .
NAP TAP 伙伴正在跟进
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
当前的MSIT NAP部署状况
强制方式 Windows 2008服务器
数量
客户数量 健康策略检察
IPSec
2 NPS/HRA Servers
– NT Dev Domain
8,000 Vista
Clients
Deferred enforcement
Windows SHA (Firewall, AU
and AV)
2 NPS/HRA Servers
– Redmond and
North America
Domain
32,000 Vista
Clients
Deferred enforcement
SMS SHA
DHCP 2 DHCP Servers Wired – 11,900
IP’s
(B40,B41,43,44)
Wireless – 5100
IP’s
(B40,B41,43,44)
Reporting mode only
Windows SHA (Firewall, AU
and AV)
VPN 2 NPS
2 VPN
100 clients in Feb
1000 clients in
March
Enforcement Mode
Windows SHA (Firewall)
SCCM (patch management)
CA E-Trust (AV)
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
NAP 产品团队部署
强制方式 Windows 2008
server
网络设备 安全策略检察
IPSec
DHCP
Wireless
802.1x
Wired
802.1x
2 NPS
Servers
2 NPS
Proxies
2 DHCP
Servers
Cisco Wired
Switches
Extreme
Wired
Switches
Aruba
Wireless
Windows SHA
(spyware, Firewall)
SCCM (patching)
Computer Associates
(AV)
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
用户体验
• 开发人员改善了错误
报告
软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
用户体验
• 用户可以更清晰的理解NAP
强制,并更熟练的修改以依从
策略要求
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
修补站点
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
报告
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
课程概览
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP(DEMO演示)
应用实例(MS IT)分析
和第三方厂商的对比
Q&A
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
我们来对比一下
和传统的Cisco厂商所提供的NAC比较
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
Cisco NAC 架构
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
Cisco NAC工作原理
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
微软的NAP的特点
其他厂商的类似的产品都偏重于一个方面的防护
只有微软,因为集成在操作系统中,所以可以完美的实现
在网络和主机两个层面上实施防护
网络层面的防护
主机层面的防护
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
According to policy,
the client is not up to
date. Quarantine
client, request it to
update.
Should this client be
restricted based
on its health?
使用NAP实现网络层面的
防护
Requesting access.
Here’s my new
health status.
MS NPSClient
802.1x
Switch
Remediation
Servers
May I have access?
Here’s my current
health status.
Ongoing policy updates
to Network Policy Server
You are given
restricted access
until fix-up.
Can I have
updates?
Here you go.
Restricted Network
Client is granted access to
full intranet.
System Health
Servers
According to policy,
the client is up to
date.
Grant access.
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
使用NAP实现主机层面的防
护
Accessing the network
Remediation Server
NPS
HRA
May I have a health
certificate? Here’s my SoH.
Client ok?
No. Needs fix-up.You don’t get a health
certificate.
Go fix up. I need updates.
Here you go.
Here’s your health
certificate.
Yes. Issue
health certificate.
Client
No Policy
Authentication
Optional
Authentication
Required
Accessing the network
Remediation Server
NPS
HRA
Client
No Policy
Authentication
Optional
Authentication
Required
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
课程回顾
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP(DEMO演示)
应用实例(MS IT)分析
和第三方厂商的对比
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
站点和白皮书
www.microsoft.com/nap
NAP Blog
http://blogs.technet.com/nap/default.aspx
Windows Server 2008
http://www.microsoft.com/windowsserver2008/default.mspx
NAP FAQ
http://www.microsoft.com/technet/network/nap/napfaq.mspx
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
TechNet是什么?
只需轻轻点击,答案就在您的指尖
对于IT 专业人员来说,TechNet 是一个知识的宝库,你可
以找到关于如何规划,部署和管理微软产品的的技术资源
每月发放包含最新信息的DVD或者CD
这是最权威的资源,可以帮助你评估、配置和维护微软产品。
订阅TechNet
可以访问该站点www.microsoft.com/china/technet
在线资源和社区
订户--仅仅提供在线服务
TechNet 网站
两周发放一次的中文电子快报
安全更新, 新的资源等等
TechNet 中文电子快报
有关最新微软产品介绍和技术的简报
上机试验, “如何操作”等信息
TechNet 活动
和网站消息
用户群
可管理的新闻组
中文社区
访问www.microsoft.com/china/technet/webcast 获取更多课程资源
我们从哪里可以了解到 TechNet?
访问TechNet的官方网站
www.microsoft.com/China/technet
注册TechNet快报
www.microsoft.com/china/technet/abouttn/subscriptions/flash.mspx
加入到中文在线论坛
http://www.microsoft.com/china/community/
成为 TechNet的订户
www.microsoft.com/china/technet
参与到更多的TechNet活动中或者在线了解
www.microsoft.com/china/technet
访问www.microsoft.com/china/technet/webcast 获取更多课程资源