NAP-Network Access Protection
网络访问保护
我觉得其实还不完整我认为完整
应该叫做网络策略访问保护他作用是用策略来保护客户端对网络访问确保整个网络访问过程是达到
定安全级别07年初前我开始做08时候当时第反应就是防火墙觉得是不是就是跟防火墙类似个东西后来发现不是而且完全不样防火墙是通过网络通讯接口比如IP、端口号的类来控制访问连接通或者断简单理解防火墙是控制网络行为而NAP是通过安全策略来控制网络中所有客户端状态可能这么说还是不够清楚我觉得这个东西应该分开来看就是网络-策略-访问-保护 下面先来看看网络
对于NAP网络我们理解可以大致分为 3类:个外网也就是没有受NAP管理网络这个网络可能是互联网也可能是某个个刚刚通过无线网络想想接入到网络中某个计算机这是
他还在处于个请求IP或者请求接入阶段所以它应该算外部网络;第 2个是内网也就是受NAP管理网络这个网络指就是我们已经接入进来这些内部计算机比如刚才那个计算机如果已经接入进来了以后那它现在就处于个内部网络当中;最后个是个比较特殊网络有点防火墙术语当中DMZ但还是有区别它是个更偏向内网网络但又不全是当然你可以去定义它如果有客户端被NAP放到了这个网络那它也许只能访问部分网络资源也许什么资源都不能访问后面我们再来详细描述这个网络暂时我们就先理解为个受限制网络吧 网络分析完了
在来讲讲策略NAP中策略叫做安全策略可能有人会跟防火墙中策略去做对比那么防火墙中策略准确说应该叫规则策略比如如果是某个人在某台机器上通过某个应用
进行访问那么我们可以决定是否允许通过这个规则策略可能是允许用户A通过B不能通过或者允许A能够通过而B不能通过但NAP中安全策略是用于验证客户端是否达到某个在安全方面特性要求比如在NAP中有策略是要求客户端是否打开安全更新设置有是要求防火墙是否处于启用状态有是要求系统补丁是否打到某个级别或者某个时间点的后有是要求防病毒软件Software病毒库是否达到某个特定版本或者某个最新时间点等等可以看出来实际上策略就是把尺在防火墙中它是通过规则来定义这把尺在NAP中它是通过跟安全相关状态或者叫属性来定义这把尺有了这把尺我们才能在后面过程中去衡量个客户端或者网络中某个原因是否达到我们所期望要求这就是策略作用 好
有了把尺如果我们不用它也是白费下面就来说说访问问题我理解应该叫访问监控或者访问验证这里意思是用刚才那个些安全策略去监控所有网络中客户端去跟客户端当前状态进行对比比如个策略是要求病毒库版本必须要达到2.0版本结果发现有台计算机病毒库版本还是1.8那这个时候NAP服务器就会将这台计算机标记为“不符合”也就是说访问验证过程就是用策略去对比客户端状态信息是否符合我们所定义策略强调下这个验证过程是实时存在也就是说旦你修改了某些安全设置和NAP中策略是相矛盾那么会立即将你标记成“不符合”反过来如果当你更新了某些配置比如病毒库版本时NAP会立即将你从“不符合”标记成“符合”这种实时保护就是为了防止恶意连接在开始进入网络时通过伪装蒙混过关进入以后再开始进行破坏据我所知像VPN很多应用就是这样它只在网络连接开始时候进行验证旦通过验证以后任何操作将不再受到限制 所有
计算机都有了个“符合”或者“不符合”标记最后我们就能够简单对其进行控制了实际上这个过程很简单就是定义个规则如果是“符合”我们允许它连入到哪个网不允许他连入到哪个网如果是“不符合”我们又允许它连入到哪个网不允许他连入到哪个网 案例展示
最后我们举个例子来看看整个NAP
工作流程是怎样完成就拿刚才那个病毒库为1.8版本计算机为例 首先
他会通过有线或者无线网络接入进来在没有连入进来的前它对于NAP来说应该是个外网而他现在请求进入NAP内网NAP就开始工作了 NAP中定义了
条病毒方面安全策略要求“病毒库版本必须达到2.0”这时NAP策略服务器将会对这个客户端进行验证结果发现其版本为1.8所以最后给这台计算机标记了个“不符合” NAP这时启动保护规则
其中定义了条规则是“不符合病毒策略计算机将被指派到个只允许访问病毒更新服务器受限制网络中”这时这个客户端会发现他能够访问只有这台病毒服务器言下的意就是说如果你病毒不符合现在策略要求我就只允许你连接到病毒服务器将病毒库更新到所要求版本 最后
客户端通过连接病毒服务器将病毒库版本更新至2.0我们刚才说过NAP是实时监控所以这个时候这台机器“不符合”标记会立即改为“符合” 这个时候NAP
保护规则定义了“符合”客户端允许访问内部网络中所有服务器或数据资源也就是说直到这个时候这个客户端才能真正进入到企业网络中去访问资源 再次强调
这个时候不能叫做NAP完成了验证过程它是实时监控如果你这个时候将病毒软件Software卸载了那你同样会被立即断开网络至于对于个没有安装某个防病毒软件Software客户端该如何处置那就取决于你安全策略和访问规则如何设置了 特殊功能:强制保护
说到这里
我想大家应该对NAP是如何回事另外我在提个NAP里面个特殊功能叫做强制保护说它特殊是目前并不是所有安全策略或访问规则都支持这个功能目前微软自己安全设置肯定是支持强制保护比如防火墙设置自动更新设置等等但些其他厂商应用比如某个厂商防火墙、防病毒软件Software由于现在2008中NAP才刚刚起步可能目前版本还不能够支持这个强制保护功能那强制保护到底如何回事呢下面还是举例来介绍说明吧 拿刚才那个举例来说
他现在可以正常连接到内部网络当中而NAP中有另外条跟防火墙有关策略这个安全策略定义是“必须开启防火墙”而这时这个客户端用户发现防火墙把某些端口给阻断了他希望能够使用些特殊软件Software比如BT的类可能他权限足够所以自己就把防火墙给关闭了 这个时候
按照我们刚才所说这个客户端会立即打上个“不符合”标记并且被断网或者分配到某个受限制网络中但是这里如果启用了强制保护话我们会发现网络并没有发生变化用户再次打开防火墙设置时候会发现明明刚才把防火墙关掉了如何现在还是开并且多次尝试都是这种现象其实这就是强制保护或者叫强制符合策略如果支持这个功能安全组件会自动将客户端安全配置修改成安全策略所要求那样正是需要自动执行所以目前并不是所有安全组件都能支持比如第 3方防病毒软件Software这种就需要第 3方厂商跟微软来合作才可能实现 好了
说到这里相信大家应该对NAP有个比较清晰认识了至少知道NAP是如何回事以及它如何工作如果有兴趣继续深入研究话可以去微软网站WebSite查阅相关信息 当然也希望大家都来WinOS多多探讨
哈哈广告来了 本文出自 “Bisheng.Hu” 博客
请务必保留此出处http://bisheng.blog.51cto.com/409831/130481
最新评论