網(wǎng)絡(luò)構(gòu)架-防火墻與nap配置

MCSE

2008網(wǎng)絡(luò)基礎(chǔ)架構(gòu)Windows

與網(wǎng)絡(luò)

保護的配置主講人：

軍本章課程設(shè)置第1課Windows的配置第2課

網(wǎng)絡(luò)

保護的配置MCSE

2008網(wǎng)絡(luò)基礎(chǔ)架構(gòu)第1課Windows的配置主講人：

軍本章要點了解的作用了解3種

配置文件及其使用方法創(chuàng)建允許入站通信的創(chuàng)建允許出站通信的規(guī)則規(guī)則，并啟用出站篩規(guī)則的作用域，從而限制特定子網(wǎng)的選配置通信配置

規(guī)則來要求IPSec連接安全，還可以限制特定用戶和計算機的權(quán)限在AD域環(huán)境下，使用“組策略”來配置

規(guī)則啟用“Windows

”日志記錄，以便發(fā)現(xiàn)不規(guī)則有關(guān)的問題的重要性有害的通信內(nèi)容，同時放規(guī)則越準(zhǔn)確，

給蠕蟲

的作用在于行合法的通信內(nèi)容識別合法通信的的

就越少。配置文件域與用公用入站通信的篩選默認(rèn)情況下，會

特別

的入站通信如果安裝或啟用了某個需要傳入連接的Windows規(guī)則規(guī)則的應(yīng)用程功能，會自動啟用所要求的如安裝了丌能自動啟用所需序，需手動創(chuàng)建相應(yīng)的規(guī)則Demo出站通信的篩選默認(rèn)情況下，Windows允許所有出站通信Demo作用域的配置網(wǎng)絡(luò)的連接，并通過作用域，可以允許來自來自外部的網(wǎng)絡(luò)連接。Demo連接的在AD環(huán)境中使用IPSec連接安全，則可以在建立連接前，要求對進程計算機或用戶迚行

。Demo使用“組策略”配置設(shè)置本地策略域策略Demo啟用Windows的日志記錄網(wǎng)絡(luò)通信的識別netstat

–a

-b本課實驗配置Windows配置入站篩選配置出站篩選MCSE

2008網(wǎng)絡(luò)基礎(chǔ)架構(gòu)第2課

網(wǎng)絡(luò)

保護的配置主講人：

軍學(xué)習(xí)目標(biāo)了解NAP如何保護網(wǎng)絡(luò)設(shè)置NAP部署方案，同時在最大程度上降低對用戶的影響安裝和配置“網(wǎng)絡(luò)策略服務(wù)”配置NAP強制配置各種NAP組件查看NAP日志文件前言考慮這樣一個情景：某企業(yè)的與用網(wǎng)絡(luò)上有數(shù)百臺計算機。邊界能夠保護網(wǎng)絡(luò)免受Internet上的 。突然，有人在Windows計算機上創(chuàng)建了一個可以探測

的蠕蟲，并丏該計算機沒有安裝

的安全更新。該蠕蟲迅速通過Internet蔓延開來，但與用網(wǎng)絡(luò)的邊界防火墻保護著

網(wǎng)絡(luò)上易受

的計算機。一名出差的銷售

帶著他的移動計算機回到了

。在旅行的過程中，他將自己的計算機連接到了某旅館的無線網(wǎng)絡(luò)，而另一個訪客的計算機在該網(wǎng)絡(luò)上傳輸了一個蠕蟲。當(dāng)該銷售員將自己的計算機連接到與用網(wǎng)絡(luò)后，該蠕蟲立即蔓延至易受

的計算機，完全繞過了邊界

安全。前言考慮這樣一個情景：網(wǎng)絡(luò) 保護（Network

Access

Protection，NAP）可以防止這種情況的發(fā)生。在計算機連接至局域網(wǎng)前，其必須滿足指定的健康要求，如丌滿足，那么將被在某個網(wǎng)絡(luò)中網(wǎng)絡(luò)

保護概述丌健康計算機Windows

Server2008的網(wǎng)絡(luò)保護功能可以確保網(wǎng)絡(luò)的安全，防止丌健康的客戶端危害網(wǎng)絡(luò)。健康計算機

企業(yè)網(wǎng)絡(luò)修正網(wǎng)絡(luò)連接網(wǎng)絡(luò)802.1

換機DHCPAD服務(wù)器DHCPAD更新服務(wù)器DHCPWeb網(wǎng)絡(luò)修正網(wǎng)絡(luò)網(wǎng)絡(luò)不滿足健康要求根據(jù)主機的當(dāng)前健康狀態(tài)，將其連接到不同的網(wǎng)絡(luò)資源強制類型網(wǎng)絡(luò)組件訪為使NAP生效，必須通過允許或問網(wǎng)絡(luò)來強制對其實施NAPNAP強制類型：IPSec連接安全802.1X

點服務(wù)器DHCP

服務(wù)器系統(tǒng)健康不系統(tǒng)健康驗證程序（System

Health

Agent

,

SHA）系統(tǒng)健康能夠創(chuàng)建包含客戶端計算機健康描述的“健康

”SoH。系統(tǒng)健康驗證程序（System

Health

Validator,SHV）分析由SHA生成的SoH，并創(chuàng)建“創(chuàng)建

響應(yīng)”SoHR）NAP健康策略服務(wù)器使用SoHR來確定客戶端計算機的權(quán)限，并確定是否有必要對其迚行修正。NAP如何判斷客戶端是否健康：客戶端是否安裝

并啟用客戶端是否安裝、運行防

并安裝

的更新客戶端是否安裝運行反木馬

并并安裝

的更新客戶端的自動更新（Windows

Update）是否啟動NAP基本架構(gòu)NAP基本架構(gòu)NAP客戶端啟用SHA，

SoH，傳送SoH到強制執(zhí)行點服，可利用DHCP、

等多種協(xié)議傳送NAP強制執(zhí)行點接收SoH，發(fā)送給健康策略服務(wù)器檢查，根據(jù)其響應(yīng)來強制執(zhí)行NAP策略，使用RADUIUS協(xié)議NAP健康策略服務(wù)器通過網(wǎng)絡(luò)策略服務(wù)器架設(shè)，啟用SHV，檢查SoH，RADUIUS服務(wù)器Network

Layer

Protection

with

NAPClient802.1xSwitchRemediationServersCan

I

haveupdates?ReMquaeysItihnagvaecaccecsess.

s?HeHree’rsem’symcyunrrenthealhtheaslttahtussta.tus.You

are

givenrestrictedaccessuntilfix-up.Here

you

go.Restricted

NetworkSystem

HealthServersOngoing

policyupdates

to

NetworkShould

tPhoisliccylieSnetrbver

restrictedbasedon

its

health?According

topolicyM,

S

NPSAtchceorcdliienngttios

notuppotolicdya,

tteh.e

clientisCliuenpQt

itusogardarnaatentdetia.ncceessctloient,full

irnetraqnuete.

st

it

toGurapndtaatec.cess.27Accessing

the

networkNPSRemediationServerHRAClientHost

Layer

Protection

with

NAPNo

PolicyAuthenticationOptionalAuthenticationRequiredNAP部署的規(guī)劃通常，部署NAP分為3個階段：測試監(jiān)視限制網(wǎng)絡(luò)策略服務(wù)器的安裝和配置NAP的安裝使用“配置NAP”向?qū)emoNAP強制的配置IPSec強制的配置802.1X強制的配置DHCP強制的配置強制的配置DemoNAP組件的配置NAP客戶端的配置強制客戶端用戶界面設(shè)置健康

設(shè)置健康要求策略的配置連接請策略系統(tǒng)安全健康驗證程序修正服務(wù)器組健康策略網(wǎng)絡(luò)策略配置監(jiān)視模式的NAPNAP日志記錄上機實驗–DHCP

NAPNPS

ServerDHCP

ServerI

need

to

Lease

anIP

aRdedqrueessstingaccess.Here’s

my

new

healthstatus.You

are

not

within

theHealth

PolicyrequirementsAccess

Granted.

Hereis

your

newIP

AddressServer