NAP与NAC的出现
2003年8月“冲击波”病毒的爆发,让人们意识到只利用边界网关进行保护是一个不够安全的策略。从此以后,基于主机的个人防火墙开始广泛流行,各厂商也开始策划基于主机的架构来强化网络上的各处软肋。而在如何保护终端方面,最令人感兴趣的争斗发生在思科的NAC(网络准入控制)和微软的NAP(网络访问保护)之间。
无论NAC还是NAP都应归属于网络访问管理的范畴,或者说是终端的检疫和隔离。它们要确保终端在接入网络之前必须经过安全配置——有防火墙、防病毒软件、及时更新过的补丁和其他—否则的话,这个终端就需要隔离。应该说,NAP和NAC要达到的目的基本上是一致的,而区别在于实现方式。
思科的NAC需要使用思科的产品。所有遵从NAC的终端和应用服务器解决方案都必须能够与嵌入式思科可信任代理客户端软件进行无障碍通信,以验证其遵从性。NAC的实施还需要能够识别NAC的思科网络接入点设备以及思科专利的安全访问控制服务器。
而实现NAP要求NAP服务器,NAP客户端(XP SP2、Vista或Server 2003),隔离服务器,以及一台或多台策略服务器。NAP是通过控制经由DHCP专线、VPN专网、802.1x或IPSec的接入进行安全防护的。
NAP的环境包括Windows Server 2008、策略服务器、证书服务器和客户端,而NAC则包括网络接入设备、策略服务器、管理服务器和客户端软件。
两个方案相似又相异,企业如何选择实在头疼,不过07年底有好消息传来:在波士顿安全标准大会之上,思科与微软共同发布了一份技术白皮书,宣布Cisco NAC和Microsoft NAP将实现互操作,以实施安全策略和进行状态评估。白皮书介绍了这一架构,并具体阐述了如何将思科网络基础设施内嵌的安全功能与Microsoft Windows Vista、以及称为“Longhorn”的Windows Server未来版本相集成。
什么是NAP?
首先来看下NAP的介绍:网络访问保护 (NAP) 是 Windows Vista、Microsoft Windows XP 和 Windows Server 2008 操作系统中内置的策略执行平台,它通过强制计算机符合系统健康要求更好地保护网络资产。借助网络访问保护,您可以创建自定义的健康策略以在允许访问或通信之前验证计算机的健康状况、自动更新符合要求的计算机以确保持续的符合性,也可以将不符合要求的计算机限制到受限网络,直到它们变为符合为止。
若要基于系统健康状况验证对网络的访问,网络体系结构需要提供以下功能区域:
• 健康策略验证: 确定计算机是否符合健康策略要求。
• 网络访问限制:限制不符合的计算机的访问。
• 自动修正: 提供必要的更新以允许不符合的计算机变为符合。
• 正在进行的符合: 自动更新符合的计算机以便它们符合健康策略要求中正在进行的更改。
NAP 经过精心设计为客户提供最灵活的解决方案,它可以与提供系统运行状况代理 (SHA) 和系统健康验证器 (SHV) 或识别其发布的 API 集的任何供应商的软件进行互操作。例如,使用网络访问保护的第三方解决方案可能是防病毒、补丁管理、VPN 和网络设备。网络访问保护帮助为以下常见情况提供解决方案:
• 检查移动便携式计算机的健康和状态
借助网络访问保护,网络管理员可以在任何便携式计算机重新连接到公司网络时检查其运行状况,而不会牺牲便携式计算机的便携性和灵活性。
• 确保桌面计算机正在进行的健康状况
通过添加管理软件,您可以生成自动报告、对不符合要求的计算机自动进行更新以及当管理员更改健康策略时,可以为计算机提供最新的更新,从而防止访问公共资源带来的健康威胁。
• 确定正在访问的便携式计算机的健康状况
借助网络访问保护,管理员可以确定正在访问的便携式计算机是否有权访问网络,如果没有权限,则可以限制其对受限网络的访问,而不需要对正在访问的便携式计算机进行任何更新或配置更改。
• 验证非托管的家庭计算机的符合性和健康状况
通过使用网络访问保护,网络管理员可以在每次家庭计算机对网络进行 VPN 连接时检查所需的程序、注册表设置、文件或这些内容的组合,他们也可以限制到受限网络的连接,直到符合系统健康要求为止。
DHCP 强制
本次实战我们采用DHCP强制的模式,DHCP 强制由 DHCP NAP ES 组件和 DHCP NAP EC 组件组成。使用 DHCP 强制,DHCP 服务器可以在计算机尝试租用或续订网络上的 IP 地址配置时强制健康策略要求。DHCP 强制是最简单的部署强制,因为所有 DHCP 客户端计算机必须租用 IP 地址。
