集成TMG 2010,提升Windows Server 2008中的NAP FOR IPSEC在企業中的應用
NAP 技術介紹:NAP從字面上理解是網絡訪問保護。NAP提供網絡準入技術,允許符合要求的客戶端進入企業內部網,限制不符合要求的客戶端進入企業網絡的隔離區。并為隔離區的客戶端計算機提供自動修正和補救,一旦符合健康要求即可進入正常網絡。NAP是由客戶端健康策略創建、強制及補救技術組成。NAP定義了客戶端操作系統和關鍵軟件要求的配置和更新條件。
NAP技術內置于Windows 操作系統中,屬于內置功能。支持NAP的客戶端操作操作系統有Windows XP SP3、Windows Vista、Windows 7,服務器端操作系統有Windows Server 2008。通過激活和配置管理,可實現NAP 技術。
NAP For IPSEC:NAP的技術的實現基于以下幾種情形:DHCP、VPN、802.1X和IPSEC。假如客戶端計算機是靜態的IP參數,也不需要建立VPN,也不使用802.1X,那么剩下的就只有 NAP For IPSEC.下面就著重介紹NAP FOR IPSEC的概念和技術機制。 NAP FOR IPSEC涉及的概念和名詞術語有:
◆SHA:System Health Agents,系統健康代理,產生入網客戶端健康陳述(SoH),代表一個客戶機健康狀態的快照;
◆NAP Agent: NAP代理,收集和管理健康信息;
◆NAP EC: NAP Enforcement Client,NAP執行客戶端,傳遞健康狀態給NAP服務器,NAP服務器提供網絡訪問策略。對于不同的網絡訪問和通訊類型,都有NAP EC模塊相匹配.例如,對于IPSEC通訊,就有對應的NAP EC FOR IPSEC;
◆NAP Capable Client Computer:有NAP內置功能的客戶端操作系統計算機 ,由SHA、NAP Agent 、NAP EC三個模塊組成。只要計算機安裝Windows XP SP3、Windows Vista、Windows 7就能滿足這一要求;
◆SoH:英文全稱為Statement of Health ,健康陳述(補丁狀態和系統配置等);
◆SoHR: SoH Response ,對SoH的應答.應答有兩種(YES /NO).YES-代表健康狀態滿足要求,同意頒發證書;No-代表不滿足健康要求,提供修正指導,提供受限訪問;
◆HRA 服務器:英文全稱是Health Registration Authority Server ,健康注冊授權機構。是服務器端NAP ES模塊,與客戶端NAP EC模塊相匹配。向客戶端提供一些所需的網絡訪問能力,傳遞客戶端健康狀態給網絡策略服務器,執行網絡限制訪問;
◆SHV:英文全稱是System health Validator,即系統健康驗證器,是NAP平臺架構的服務器端組件,與客戶端的SHA相對應。SHV接受客戶端SHA傳來的SoH,返回SoH應答。通知客戶端如果SHA不滿足要求的健康狀態,應如何執行的行為。
◆NPS: 英文全稱是Network Policy Server,即網絡策略服務器。由SHV、策略及NAP管理模塊組成。策略定義了客戶端的健康。NPS驗證定義的健康策略。
企業安全網絡:客戶端符合健康策略,允許進入企業內部網絡,授權完全的網絡訪問;
◆受限網絡:客戶端不符合健康策略,不允許進入企業網絡,網絡訪問受到限制。客戶端可以進行有限的訪問,如可以訪問救援服務器,安裝所需的補丁,進行恰當的配置。通過補救,客戶端可以恢復健康狀態;
◆Remediation Servers: 可以翻譯為救援、補救和修正服務器。客戶端的SHA和救援服務器相對應。能從救援服務器下載最新的補丁和病毒更新;
◆Network Access Limitation Enforcement Methods:即網絡訪問限制執行方法。NAP for IPsec使用的方法是:在受限網絡的客戶計算機,不能獲得證書機構頒發的健康證書。在同關鍵服務器通訊時,沒有證書就無法建立IPSEC通訊;
NAP FOR IPSEC 技術機制:
1、NAP 客戶端請求網路訪問,提供系統健康狀態。發送SoH請求;
2、HRA接受SoH請求,中繼請求至策略服務器;
3、依據健康策略,策略服務器SHV對SoH請求作出應答,返回給HRA;
4、如果客戶健康狀態不符合健康策略要求,將被受限訪問。HRA返回SoH請求應答給客戶端, NAP客戶端不能獲得健康證書,客戶端不能同后臺服務器建立IPsec通訊。但可以同救援服務器通訊,恢復健康狀態。在恢復健康狀態后,可以重新申請健康證書;
5、如果客戶健康狀態符合健康策略要求,HRA返回SoH請求應答給客戶。HRA得到策略服務器的批準,替NAP客戶端申請健康證書,頒發證書給符合要求的NAP客戶端。有了健康證書的客戶端就可以同后臺的服務器建立IPSEC的通訊了。標志進入企業安全網絡。
NAP FOR IPSEC在企業實施方案分析:
1、在微軟提供的NAP解決方案中,有DHCP、802.1X、VPN及IPSEC。
2、在DHCP、802.1X、VPN情形中,有一個關鍵點和前提,就是客戶端入網的第一步必須和DHCP、802.1X、VPN通訊,進而才能對客戶端的健康狀態加以評估,NAP機制才會起作用。如果沒有這個前提,NAP機制就會被繞過,不會起作用。具體來講,在NAP FOR DHCP技術方案中,關鍵點是DHCP服務器。在NAP FOR 802.1X 技術方案中,關鍵點是支持NAP的802.1X訪問設備。在NAP FOR VPN技術方案中,關鍵點是VPN服務器。
3、在NAP FOR IPSEC情形下,問題比較復雜。缺乏一個關鍵點,客戶端在企業網絡里與那一臺服務器通訊是隨機的。我們必須保證基礎架構服務器(DC)、網絡架構服務器(DNS等)及救援服務器和客戶端通訊是正常的,不能設置嚴格的IPSEC策略。因此不能將這一類服務器作為關鍵控制點。而每臺客戶端機器必須與之通訊的業務系統,可能是跨平臺系統,不支持NAP技術,也作不成中心控制點;
4、引入微軟網關產品TMG 2010,利用TMG 2010將網絡分成微軟企業內部網和業務系統網絡。TMG是關鍵點,有兩塊網卡。一塊連接企業內部網,另一塊連接業務網絡。所有客戶端(B/S模式)要訪問業務系統,必須先同TMG通訊(web 代理功能)。這樣就形成以TMG為中心控制點;
5、有了TMG關鍵點后,就可以規劃NAP FOR IPSEC方案了;
NAP FOR IPSEC解決方案實施步驟:
1、在服務器上安裝Windows Server 2008,部署AD 架構,配置DNS\AD DS\AD CS角色;
2、在AD域上建立三個安全組:1、NAP IPSEC Client Computers ,包含所有滿足健康策略接受健康證書的客戶端計算機(Windows XP SP3、Windows Vista、Windows 7); 2、NAP IPSEC Boundary Computers ,能自動獲得IPSEC健康證書,涵蓋基礎架構服務器(DC)、網絡架構服務器(DNS等)及救援服務器,對這個組不采用嚴格的IPSEC策略; 3、NAP IPSEC Protected Computers,能自動獲得健康證書,要求進站連接提供健康證書。這個組包含關鍵服務器,TMG服務器屬于這個組。這個組采用嚴格的IPSEC策略;
3、對網絡中的計算機進行歸屬劃分,加入相應的組里;
4、在證書服務器創建新的健康證書模板,在證書模板的安全屬性設置安全組NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers對該模板有Read 、Allow Enroll 、Allow Autoenroll的權限;
5、配置證書服務器頒發健康證書模板;
6、在AD 上配置域缺省組策略,使得在域里的計算機能自動獲得證書;
7、從以上配置可以保證安全組NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers里的計算機能獲得健康證書,即企業內部網的所有的服務器都能獲得健康證書。安全組NAP IPSEC Client Computers不能通過此方法獲得證書,因為此組對新創建的健康證書模板沒有Allow Enroll 、Allow Autoenroll的權限。安全組NAP IPSEC Client Computers是通過HRA獲得證書的;
8、配置HRA,HRA是一個WEB 應用程序,如果策略服務器判定客戶端計算機是符合健康要求的,HRA將從證書服務器CA上為客戶端計算機獲得一個健康證書,并發送給客戶端。建立HRA與CA服務器之間的關聯,HRA就像一個證書代理機構,為符合要求的健康客戶端提供健康證書。因此,在證書服務器上配置HRA所代表的帳戶應有請求、頒發和管理證書的權限。在HRA上指向正確的證書服務器信息;
9、配置策略服務器NPS,配置SHV、健康策略和網絡連接策略。有兩個策略,一個是符合健康要求的,另一個是不符合要求的;
10、激活客戶端計算機NAP For IPSEC模塊。可通過組策略來實施。需要完成兩項設置, 一是啟用NAP For IPSEC,配置信任HRA服務器組,指向正確HRA URL地址.因為HRA提供的是一個WEB 應用程序服務。客戶端NAP Agent根據SoH響應通過這個服務獲得健康證書或取消健康證書;
11、驗證服務器證書機制起作用,查看在域中的服務器都能獲得健康證書;
12、驗證客戶端證書機制起作用,查看符合健康要求和不符合健康要求的情況;
13、確認準備安裝TMG 2010的機器已獲得健康證書;
14、利用組策略管理工具GPMC對三個安全組實施IPSEC 組策略。安全組NAP IPSEC Client Computers NAP和 IPSEC Protected Computers實施嚴格的IPSEC組策略:入站要求健康證書出站請求;安全組NAP IPSEC Boundary Computers實施包容性的IPSEC組策略:入站和出站請求健康證書;
15、安裝關鍵控制點TMG 2010,配置TMG 2010,TMG 服務器屬于安全組IPSEC Protected Computers。所有計算機必須首先訪問TMG,才能訪問后臺的業務系統。實現跨平臺的NAP For IPSEC解決方案;
16、測試集成TMG 2010的NAP For IPSEC效果。
實施方案問題探討:
1、TMG 2010安裝完成后,會接管對應網絡接口的管理策略,會不會同對應TMG服務器的NAP For IPSE組策略沖突?
答:通過做實驗和部署,確認不會沖突,TMG 2010遵從NAP For IPSEC組策略。兩者配合的很好。在做實驗前,對這個問題一直沒有把握。完成實驗后,心里就踏實了。
2、TMG 2010只能安裝在64位Windows Server 2008 R2的機器上.64位Windows Server 2008 R2的機器能不能從在32位Windows Server 2008的CA服務器上獲得證書?
答:結果出人意料。不能獲得,但從道理上是可以的。需要進一步確認;
3、對于Windows Server 2008 R2才有基于Windows 7的健康驗證器SHV。Windows Server 2008 R2以前的版本只支持XP 和Vista。
4、Windows XP sp3 是否能接受來自Windows Server 2008 R2 基于高級防火墻配置的NAP For IPSEC組策略的設置?
答:實驗結果是不能。需要在Windows XP sp3上手工配置IPSEC,健康證書移走后,IPSEC通訊不中斷。需要重新啟動IPSEC服務,才能看到效果。
【編輯推薦】
