Windows Server 2008 中 NAP 策略 IPSec 配置
NAP(Network Access Protection)是一种网络访问控制技术,用于保护企业网络中的计算机免受恶意软件和未经授权的访问。IPSec(Internet Protocol Security)是一种安全协议,用于保护 IP 数据包免受篡改、截获和重放攻击。在 Windows Server 2008 中,我们可以使用 NAP 策略来配置 IPSec,以确保计算机在连接到企业网络时,必须符合健康策略,否则将无法初始化 IPSec 连接。
在 NAP 策略中,我们可以定义健康策略,用于评估客户端的健康状态。如果客户端的健康状态符合策略,则可以获得健康证书,用于初始化 IPSec 连接。如果不符合健康策略,则客户端将无法获得健康证书,无法初始化 IPSec 连接。
在配置 NAP 策略 IPSec 时,我们需要首先安装证书服务,用于颁发健康证书。然后,我们需要创建一个全局组 IPSEC NAP Exemption,用于将计算机划分为三个网络:安全网络、边界网络和受限网络。
在本实验中,我们将使用以下计算机:
* NYC-SRV-01:NPS、域成员服务器、HRA
* NYC-DC-01:DC、CA
* NYC-CLI-01:Client、域客户端
* NYC-CLI-02:Client、域客户端
配置过程如下:
1. 我们需要将 NYC-DC-01 的计算机提升为域 woodgrovebank.com 的 DC,并安装证书服务。
2. 在 DC 上面安装 CA,并配置 CA。我们需要创建一个证书模板,用于颁发健康证书。我们可以复制“WorkStation Authentication”模板,设置模板名称为“System Health Authentication”,并选中“发布证书至活动目录中”。
3. 配置默认域策略,允许自动颁发证书。我们可以在组策略管理中,选择“公钥策略”,并启用“证书服务客户端――自动注册”。
4. 在 NYC-SRV-01 服务器上安装角色“Network Policy Server”,并配置 NAP 策略。
在配置 NAP 策略时,我们需要了解 IPSEC NAP 的工作过程:
1. IPSEC EC 发送当前健康状态至 HRA(健康注册颁发机构);
2. HRA 发送客户端的健康状态至 NAP 健康策略服务器(NPS);
3. NAP 健康策略服务器评估客户端的当前健康状态信息,以决定其是否符合健康策略,并把结果发回给 SHA;
4. 如果符合健康策略,则 HRA 为客户端分发健康证书,则客户端可以使用此证书与其他符合健康策略的计算机开始初始化 IPSEC 连接;
5. 如果不符合健康策略,HRA 通知 NAP 客户如何校正其健康状态并不发给客户端健康证书,因此客户端不能初始化 IPSEC 连接,但是客户端可以与补救服务器通信,以校正客户端的健康状态;
6. NAP 客户端发送相关的更新请求至补救服务器;
7. 补救服务器提供符合健康策略的更新给 NAP 客户端,NAP 客户端更新其健康状态;
8. NAP 客户端发送其更新过的健康状态信息至 SHA,SHA 发送客户端的健康状态信息至 NAP 健康策略服务器;
9. 假设其符合健康状态策略,则发送结果至 SHA,并颁发健康证书给客户端,客户端可以使用此证书开始 IPSEC 通信。
