NAP客戶聯機VPN測試

接下來我們必須將這一臺Windows遠程計算機，移至與VPN服務器外部網絡的相同網段中來進行測試。在測試開始之前，您必須先將TCP/IP的地址修改成與外部網絡相同的IP網段設置。完成了TCP/IP的變更之后，接下來我們要來新增一個VPN的網絡聯機。

請開啟Windows“網絡和共享中心”頁面，然后點選位于動作窗格中的“設定聯機或網絡”鏈接，在選取“聯機到工作地點”項目之后，在“您要如何聯機”頁面中點選“使用我的因特網聯機”項目繼續。

圖5使用可延伸的驗證通訊協議

在“輸入要聯機的因特網地址”的頁面中，請輸入VPN服務器的外部網絡卡IP地址以及設定一個識別名稱，并且將“不要立即聯機，先設定好，我稍后再聯機”的選項勾選，在“輸入您的用戶名稱及密碼”的頁面中，分別輸入正確的網域賬號、密碼以及域名，建議您也一并將“記住這個密碼”選項勾選，完成VPN網絡聯機的新增。

注意：在此輸入的網域賬戶，必須確認該賬戶的屬性中已經將位于“撥入”頁面中的網絡存取權限的設定，選取為“允許存取”設定。

接下來連續點選前面我們所建立的VPN網絡聯機，不過請不要點選“聯機”按鈕，請點選在此頁面中的“內容”按鈕繼續。開啟VPN網絡聯機的內容之后，展開至“安全性”頁面，然后在選取“進階（自定義的設定）”項目之后，點選“設定”按鈕繼續。

接下來在開啟如圖5所示的“進階安全性設定”頁面之后，請在登錄安全性的區域中選取“使用可延伸的驗證通訊協議（EAP）”，從下拉選單中選取“Protected EAP（PEAP）啟用加密”，緊接著點選“內容”按鈕繼續。

接下來在開啟“受保護的EAP內容”頁面之后，分別將“確認服務器證書”設定勾選，將“聯機到這些服務器”的設定取消勾選，接著請在“選擇驗證方法”區域中先從下拉選單中選取“Secured Password（EAP-MSCHAP v2）”，然后分別將“啟用快速重新聯機”設定取消勾選，將“啟用隔離檢查”設定勾選，點選“確定”按鈕完成所有VPN網絡聯機設定。

圖6 NAP隔離通知

圖7 受網絡隔離的VPN客戶端

在完成了VPN網絡聯機設定之后，接下來建議您先通過命令提示字符使用Ping命令，先確認與VPN服務器的外部網絡聯機是沒有問題的，接著您便可以再一次開啟所設定的VPN網絡聯機，點選“聯機”按鈕來登錄聯機至企業內部網絡中。

如圖6所示，當我們所構建的VPN服務器在整合NAP安全機制的情況下，如果有NAP客戶端不符合原則要求，則右下角將會出現警告訊息，這時候您可以嘗試點選這個信息的內容。

點選之后，將會開啟“網絡存取保護”的網絡隔離信息，進一步還可以點選“更多信息”來查看我們前面所設置好的公司網頁信息。

關于VPN客戶端聯機的實時監視部分，您可以從VPN服務器上的“路由及遠程訪問”接口中的“遠程訪問客戶端”項目節點來查看即可，如果“狀態”字段信息顯示為沒有限制，這表示該NAP客戶端計算機并沒有遭到隔離。相反的，如果NAP客戶端計算機遭到隔離，將會出現如圖7所示的狀態顯示，顯示為“受限制”。

經驗總結

從上述的實戰過程之中，可以體驗到VPN網絡在結合NAP的安全防護機制下，可以有效自動隔離可能帶來危害的遠程計算機聯機，以保護企業內部所有計算機的安全，避免遭受不必要的網絡攻擊或病毒感染。如此一來，企業對于VPN網絡聯機的整體安全而言，不僅可以確保從身份驗證與數據傳遞的安全，還可以徹底監控合法使用者身份是否可能帶來安全威脅的問題。

Windows Server 2008以上版本所內置的網絡存取保護（NAP）功能，是一個全方位的安全管理機制，因為它無論是對于企業內部網絡的聯機，還是從外部遠程登錄的聯機，都可以提供一個安全檢驗機制，讓因本地與遠程計算機本身的安全問題，所可能造成的企業網絡癱瘓威脅降到最低。