考虑这样一个情景:某企业在内网上有数百台计算机。边界防火墙能够保护专用网络免受internet上威胁(包括蠕虫功击)。一天,一名出差员工带着他的笔记本回到了办公室。在旅行的过程中,将的笔记本连接到了外部开放的无线网络,而另一个访客的计算机在该网络上传输了一个蠕虫。当该人员将自己笔记本连接至专用网络后,该蠕虫立即蔓延至易受攻击的计算机,这样完全绕过了边界安全。很容易导致,内部网络上几乎所有计算机都受到感染。
; ;“网络访问保护可以防止这种情况发生。在计算机接入内部网络之前,其必须满足指定的健康要求,才能访问内部网络,如果这些计算机不满足健康要求,那么它们将被隔离在某个网络中。
NAP旨在根据主机的当前健康状态,将其连接到不同的网络资源。(完全访问和受限网络)
NAP强制类型:IPsec连接安全、802.1X、VPN服务器和DHCP服务器
在硬件不支持802.1x且IPsec不可用的情况下,配置NAP DHCP强制是最常见的选择。虽然DHCP NAP安全性欠佳,但由于其便于演示,便于理解所有类型的NAP强制,所以这一章我们讨论DHCP的NAP:
这种强制类型借助运行server2008的计算机和为企业内部网提供DHCP服务的服务器。只有符合的计算机会收到授予完全网络访问权限的IP地址,而不符合的计算机会被分配到子网掩码为255.255.255.255且没有默认网关的ip地址。另外,不符合的主机会收到一个修正服务器组中网络资源的“主机路由表,将通信内容定向到某一个IP地址。为使客户端变为符合,修正服务器组可以对其进行必要的更新。这种配置是防止不符合的计算机与修正服务器组以外的网络资源通信。
注:DHCP客户端手动配置ip地址可绕过DHCP服务器强制,不同于802.1x网络访问设备和VPN服务器能够将计算机从网络上断开,IPSEC强制能够只允许来自健康计算机的连接。但对于非恶意用户使用不符合的计算机连接网络来说,DHCP服务器强制可以降低这种风险。
目的:理解NAP作用,实现DHCP NAP
拓朴图:
;
环境:
pc1 server2008充当DC/DNS/DHCP/NPS,安装角色在这里就不详贴图了,在前面文章中都有。
IP:172.16.1.1
;
pc2 server2008作为加入域的成员服务器,启用网络发现,用于验证结果
ip:172.16.1.2
;
pc3 vista作为工作组dhcp客户端
;
具体步骤:
1.配置使用DHCP的NAP
2.DHCP上启用对NAP的支持
; ; 验证:
; ; a.没启用NAP代理、强制客户端组策略设置属于非NAP客户端类别,受限网络
; ; b.静态IP,绕过DHCP服务强制
3.配置NAP客户端组策略
; ; 验证:
; ; c.测试符合的客户端
; ; d.测试不符合的客户端
补充域环境策略设置图