Win 2008 NAP

Win 2008 NAP 网络访问保护 (NAP) 是 Windows Server 2008 中引入的一项新技术。NAP 包括客户端和服务器组件， 允许您创建和强制实施健康要求策略， 这些策略为连接到您网络的计算机定义所需的软件和系统配置。 NAP 通过检查和评估客户端计算机的运行状况、在认为客户端计算机不符合时限制网络访问以及修正不符合的 客户端计算机以进行无限制网络访问，来强制健康要求。 一、 现状介绍 NAP 包括客户端和 网络访问保护 (NAP) 是 Windows Server 2008 中引入的一项新技术。 服务器组件， 允许您创建和强制实施健康要求策略， 这些策略为连接到您网络的计算机定义 所需的软件和系统配置。NAP 通过检查和评估客户端计算机的运行状况、在认为客户端计 算机不符合时限制网络访问以及修正不符合的客户端计算机以进行无限制网络访问， 来强制 健康要求。NAP 在尝试连接到网络的客户端计算机上强制健康要求。如果符合的客户端计 算机连接到网络上，NAP 还提供即时的健康符合强制。 在客户端计算机尝试通过网络访问服务器访问网络时或客户端尝试与其他网络资源进行通 信时，发生 NAP 强制。强制实施 NAP 的方式因您选择的强制方法而异。NAP 对以下内 容强制实施健康要求: λ 受 Internet 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 安全性 (IPSec) 保护的通信 λ 经过电气与电子工程师协会 (IEEE) 802.1X 验证的连接 λ VPN 连接 λ 动态主机配置协议 (DHCP) 配置 λ 终端服务网关(TS 网关)连接 可用的 NAP 文档包括产品帮助、可从 Microsoft 下载中心获得的循序渐进指南以及可从 Windows Server 2008 技术库获得的技术指南。 动态主机配置协议 (DHCP) 服务器可以自动向客户端计算机和其他基于 TCP/IP 的网络 设备提供有效的 IP 地址。您还可以提供这些客户端和设备所需的额外的配置参数(称为 DHCP 选项)，以允许它们连接到其他网络资源(例如 DNS 服务器、WINS 服务器和路 由器)。 通常在大多数中小企业都已布署 DHCP 网络基础结构服务，但不能为企业为来访者提供安 全的公司网访问， 确保访客和访客流量与内部网络流量隔开， 并检查接入的计算机是否带有 可能影响网络可用性和安全性的威胁。 在大多数情况下会设计如果让多种硬件和软件协同工作， 共同保护用户网络免受不良客户端 侵害的一种架构。 解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 涉及: 策略管理器， 多网络系统， 认证服务器， 补丁修补服务器， 以及第三方安全软件验证服务器等。 微软的 Windows2008 提供了实现和配置 NPS 的最佳实践。 二、 DHCP NAP 强制 强制实施 NAP 的方式有多种类型: IPSec 连接安全、 802.1X 访问点、 VPN 服务器和 DHCP 服务器、TS 网关连接。大多数中小企业都已布署 DHCP 网络基础结构服务，本文将以布署 DHCP NAP 强制实现企业网络安全接入。 动态主机配置协议 (DHCP) 强制是使用 DHCP 网络访问保护 (NAP) 强制服务器组件、 DHCP 强制客户端组件和网络策略服务器 (NPS) 部署的。通过使用 DHCP NAP 强制， 衿骱?NPS 可以在计算机尝试租用或续订 IP 版本 4 (IPv4) 地址时强制使用 健康策略。但如果客户端计算机已配置有一个静态 IP 地址，或配置为避免使用 DHCP， 则此强制方法无效。大家肯定是高兴一下，马上又被冷却了，因为设置一个静态 IP 地址， 强制方法就无效～ 微软的 DHCP 解决方案很方便，并且 Windows2008 对 DHCP 进行扩展，但任何单一技术 都有一定的局限性。在工作实践中发现不能很好解决 DHCP 服务器欺骗现象。通过具体工 程实践，针对某些局限性，特提供此文章，希望能给大家工作实践带来帮助。 三、 方法演示 下面通过一个试验来演示 Windows 2008 实现和配置 NPS。 a) 拓扑环境 b) 实现 DHCP NAP 强制 1、 配置 DHCP 组件 在布署 NAP 服务机器配置 DHCP， 如果未在本地计算机上安装 DHCP， 则还必须进行下列 配置: λ 在运行 DHCP 的计算机上安装 NPS。 λ 在远程 DHCP NPS 服务器上将 NPS 配置为 RADIUS 代理， 以将连接请求转发到本地 NPS 服务器。 在 K8 上安装 DHCP 服务，具体操作如下: A、添加 DHCP 服务器角色，选择 DHCP 服务器，点击下一步: B、进入 DHCP 简介，点击下一步: C、绑定 DHCP 服务器网络连接，点击下一步: D、指定 IPV4 DNS 服务器设 置，点击下一步: E、没有采用 WINS 服务设置，当然也可以选用，点击下一步: F、添加 DHCP 作用域，点击下一步: G、禁用 DHCPV6 无状态模式，点击下一步: H、指定凭据，点击下一步: I、确定安装选择，开始安装: J、安装 DHCP 完成。 2、 沧?NPS 组件 A、进入服务器管理面板，添加角色: B、下一步: C、选择“网络策略和访问服务”角色，点击下一步: D、服务简介，点击下一步: E、选择“网络策略服务器”，点击下一步: F、确认安装选择，开始安装: G、NPS 服务安装完成。 3、 配置 NPS A、运行 nps.msc，点击确定: B、 在网络策略服务器，选择„网络访问保护?，并启动„配置 NAP?: C、选择网络连接方法„DHCP?，点击下一步: D、本地计算机运行 DHCP，点击下一步: E、对 DHCP 作用域启用，点击下 一步: F、应用于所有用户，点击下一步: G、指定 NAP 更新服务器组和 URL，这里添加„K8?为更新服务器，点击下一步: H、可以不设置 URL，这里临时输入 URL，点击下一步: I、定义 NAP 健康策略，点击下一步: J、验证 NAP 的配置，向导配置完成。(可以根据实际情况自定义配置) 4、 配 置 DHCP 服务 A、运行 dhcpmgmt.msc，点击确定: B、进入 DHCP 管理器: C、选择测试作用域，进入属性面板，选择„网络访问保护?，配置如下图: D、进入作用域选项，点击„高级?选择卡，选择„默认的网络访问保护级别?，配置如 下: E、查看保护级别配置。 5、 安装 GPMC 组件(可选) 调整 NPS 策略，需要添加 GPMC 组件。 A、进 入服务管理器，选择功能，添加功能，点击下一步: B、选择„组策略管理?，点击下一步: C、开始安装: D、GPMC 安装完成。 6、 配置 NAP 客户端设置 没有采用域环境，也可以布署 NAP，但采用 AD 管理计算机环境，将更加高效，下面以域 环境为便统一配置客户端。 A、选择 gpmc.msc，点击确定: B、进入组策略管理器，创建„NAP Setting?策略: C、编辑创建的策略选项，如下图: 7、 测试 NPS A、先验证„安全健康验证程序?: B、为方便测试，在 K8 上开启 ICMP 回显: C、下图显示是 WindosXP 计算机名及网络连接:(提示 XP