遠離不安全終端

為了保障單位網絡安全，網管員常常會利用桌面防火墻、殺毒軟件等傳統技術，控制終端用戶的網絡接入，以確保終端系統能夠符合網絡安全策略。但這種防護措施一般要耗費不小的精力，同時也很難取得讓人滿意的效果。在以Windows Server 2008系統作為服務器的組網環境下，利用該系列軟件平臺新設計的網絡訪問保護技術（以下簡稱為NAP技術），能輕松地讓不安全終端遠離單位網絡。

安全保護原理

作 為Windows Server 2008系統的一種新技術，NAP允許網絡管理員使用一些健康安全策略，為上網訪問的終端計算機定義必須的系統配置和程序，該技術通過掃描和判斷終端系統的安全狀況，在認為終端系統不符合安全要求時，禁止其接入單位網絡，直到其符合安全標準要求。這種技術能夠在非法程序入侵網絡之前，十分有效地保護單位網絡的運行安全。從功能組成來看，該技術包括健康策略驗證功能、網絡隔離與補救功能以及持續的遵從性功能等，其中健康策略驗證功能負責按事先制定的安全健康標準，對終端系統進行掃描，符合該功能要求的終端系統統一被當作是安全可信的終端計算機，而不符合一項或多項要求的終端系統，會被認為是安全性不好的終端計算機。這些健康策略能夠掃描到終端系統有沒有安裝防火墻、殺毒軟件以及反間諜程序，以及這些程序有沒有處于工作狀態，或者它們是否進行了及時更新等等；甚至NAP技術的這種功能還允許用戶自由擴展，用戶能針對這種技術開發屬于自己的獨特插件功能，來有針對性地對終端系統進行掃描。

網絡隔離與補救功能，主要是用來定義終端系統網絡連接狀態的，當終端系統被判斷為安全狀況不好時，該功能可以將終端計算機從單位網絡中隔離開來，直到其安裝狀況恢復為良好為止。要是沒有網絡隔離與補救功能，安全性差的終端系統將不受任何限制地接入單位網絡，這個時候非法程序就有機會通過不安全終端系統，來攻擊單位網絡中的其他終端計算機，顯然這是相當危險的。持續的遵從性功能，主要是強制終端系統在接入單位網絡后，要始終如一地符合安全健康標準，而不能在初始接入網絡的那一刻符合要求；當終端系統日后安全性變差時，該功能將重新把終端計算機從網絡隔離開來，直到其安全狀態恢復良好。

NAP技術屬于典型的客戶機/服務器架構，它對終端計算機使用的系統沒有過多要求，而對服務器主機則必須要求使用Windows Server 2008系 統。NAP技術的客戶環境包含系統安全代理環境、強制客戶環境、隔離代理環境。安全代理環境用來掃描和聲明終端系統的安全健康標準，每一個安全代理可以制定一個安全健康標準，也可以制定多個安全健康標準。強制客戶環境與網絡訪問設備協商訪問，每一種強制環境可以指定為不同類型的網絡接入，比方說可以是VPN強制接入、DHCP強制接入、Ts Gateway強制接入，也可以是IPSec強制接入，網絡管理員能夠單獨或者同時使用這些強制接入，限制不符合安全健康標準的計算機訪問單位網絡。隔離代理環境主要是報告終端系統健康狀態以及和前面兩種環境之間的協作。

部署安全環境

NAP的安全環境要求其實相當簡單，只要單位網絡中存在一臺Windows Server 2008服務器系統即可，在該服務器主機中可以同時部署安裝DHCP服務器和NPS服務器，也可以一起運行強制組件和策略組件。要想通過組策略對局域網中的終端用戶進行管理，還可以在服務器系統中同時安裝組策略管理器和域控制器，當然，在條件允許的情況下，也可以將它們分別安裝在局域網的其他性能符合要求的服務器主機中。

考慮到單位局域網的終端計算機，多是從DHCP服務器那里申請得到動態IP地址來上網的，為了加強對動態地址的有效管理，局域網中必須至少要存在一臺具有ARP檢測和DHCP Snooping功能的交換機，來保證終端計算機一定要從DHCP服務器那里獲取上網參數。在對服務器系統和相關功能組件進行安裝調試后，就能對DHCP服務和NPS服務進行有針對性配置了。要想通過組策略管理終端用戶的話，還要事先將域控制器安裝調試好。

在部署DHCP服務下的安全保護環境時，首先要在Windows Server 2008服務器系統中安裝配置好DHCP服務。依次單擊“開始”、“程序”、“管理工具”、“服務器管理器”命令，打開本地服務器管理器窗口。在該窗口左側顯示區域中，將鼠標定位在“角色”分支上，在指定分支選項下面選中“DHCP服務”，再定義好DNS服務器，同時依照工作實際決定是否啟用WinS服務。如果單位局域網工作在IPv4網絡環境下，建議大家選中“對此服務器禁用DHCPv6無狀態模式”選項，確認后DHCP服務角色將會自動安裝成功。

圖1 向導設置對話框

圖2 勾選相關選項

接著啟動運行DHCP服務，要是服務器工作在域模式下，還要對DHCP服務器執行授權操作，畢竟在缺省狀態下，DHCP服務沒有被開啟運行。依次單擊“開始”、“控制面板”命令，進入系統控制面板窗口，用鼠標雙擊“管理工具”圖標，在彈出的管理工具列表中，雙擊“DHCP服務”圖標，展開DHCP服務控制臺窗口。在這里，重新創建一個新的作用域，為其設置一個合適名稱，同時將它的地址池參數配置好，其中地址池的IP范圍參數，必須要根據實際需要來進行針對性設置，類似網關地址、DNS服務器地址、域名等參數，都可以在作用域選項設置區域集中配置，以提高網絡管理維護效率。如果需要創建多個不同的作用域，只要依照上面的操作一一配置即可。配置好DHCP服務后，記得對其工作狀態進行一下測試，直到其能正確為終端計算機分配動態IP地址才行。

開啟NAP角色

盡 管Windows Server 2008系統的NAP技術自身不具有安全防護的“本領”，可它的預防免疫功能還是受到了不少人的青睞，于是通過NAP技術開啟安全防護功能，確保單位局域網運行安全，就成為很多網管員的共識。

要開啟安全防護功能，需要先在Windows Server 2008系統中，安裝啟用NAP角色，因為該系統默認并沒有自動啟用該角色。依次單擊“開始”、“程序”、“管理工具”、“服務器管理器”命令，打開服務器管理器界面。將鼠標定位于左側列表中的“角色”分支上，按下對應設置區域的“添加角色”按鈕，切換到如圖1所示的向導設置框，依照向導提示不難看出，要想開啟NAP角色，既要確保服務器系統已成功執行了在線更新操作，又要確保服務器系統已正確配置好了上網參數，并擁有登錄服務器系統的賬號和密碼。

在認定服務器系統符合各項條件后，單擊“下一步”按鈕，在其后界面中檢查“網絡策略和訪問服務”選項有沒有被勾選。正常情況下，Windows Server 2008系統不會自動勾選“網絡策略和訪問服務”，因為NAP角色默認不會被自動安裝；只有選中“網絡策略和訪問服務”項目，按“下一步”按鈕，才能啟用該角色。接下來，向導對話框會提示允許提供本地和遠程網絡訪問權限，允許使用網絡策略服務器和路由和遠程訪問服務，同時允許使用客戶端健康等各項安全策略；點擊“下一步”按鈕，彈出如圖2所示界面，將“網絡策略服務器”和相關選項都勾選起來，再單擊“安裝”按鈕，這樣NAP角色就會被安裝啟用了。

之后，Windows Server 2008服務器系統會彈出提示，說明就能使用該角色來對網絡訪問保護操作進行針對行配置了，并且DHCP服務也會被自動內置到網絡策略服務器中來，所以網管員需要及時對各個參數進行合適配置，才能讓NAP角色發揮出應有的作用。

配置安全策略

圖3 展開NAP對話框

圖4 選擇使用選項

在對NAP角色的策略進行配置時，先雙擊系統管理工具列表中的“網絡策略服務器”圖標，選中其后界面中的“NPS（本地）”選項，在標準配置區域將“網絡訪問保護”勾選起來，同時按下“配置NAP”按鈕（如圖3所示），展開NAP配置向導對話框。依照向導提示，將網絡連接方法設置為“動態主機配置協議”，將策略名稱設置為默認數值。要是網絡策略服務器與DHCP服務器沒有部署在同一臺服務器主機中時，一定要記得將DHCP服務器設置為Radius客戶端，否則只要單擊“下一步”按鈕即可。下面，指定好需要安全防護的DHCP作用域名稱，默認狀態下，NAP角色會自動防護DHCP服務器下的所有作用域，剩余的配置都使用默認數值，直到最后單擊“完成”按鈕，這樣服務器系統會自動創建好網絡策略和健康策略等。

接著需要配置終端計算機系統訪問單位網絡的條件，這主要是通過健康驗證器來進行。進入網絡策略服務器控制臺界面，將鼠標定位到“網絡訪問保護”、“系統健康驗證程序”、“Windows安全健康程序”、“設置”節點上，在對應設置區域打開“默認配置”的右鍵菜單，點選“屬性”命令，按下“配置”按鈕，對終端操作系統進行配置。在這里，能詳細指定終端系統訪問單位網絡的各種條件，例如選擇使用“已啟用自動更新”、“防病毒程序已啟用”、“已為所有網絡連接啟用防火墻”等選項設置，如圖4所示。如果單位網絡對安全性能要求較高時，建議大家選中這里的所有安全設置選項，日后終端計算機系統符合了所有安全選項驗證，NAP角色才會認為該計算機系統是健康的、安全的。

當NAP角色認定終端系統符合不健康策略時，還可以為其提供相關修正措施，讓其重新符合健康策略標準。在這里，不妨通過設置更新服務器方式，來強制不健康終端系統去訪問那些補丁程序服務器。只要先進入網絡策略服務器控制臺，將鼠標定位在“網絡訪問保護”、“更新服務器組”分支上，打開該分支的右鍵菜單，選擇“新建”命令，展開如圖5所示的設置對話框，單擊“添加”按鈕，輸入病毒庫更新服務器或系統補丁服務器IP地址，確認后保存設置即可。一旦完成了病毒更新以及系統補丁程序的下載安裝操作后，終端系統日后重新訪問單位網絡時，NAP角色將會認為它是健康系統，從而允許其再次接入單位網絡了。

為了讓DHCP服務配合NAP角色工作，還需要在以前配置基礎上，對DHCP服務進行更深入的設置。展開DHCP服務控制臺界面，打開特定作用域的右鍵菜單，點選“屬性”命令，在“網絡訪問保護”標簽頁面下，將“對此作用域啟用”選項選中，同時勾選“使用默認網絡訪問保護配置文件”選項，確認后返回DHCP服務控制臺界面，之后打開“作用域選項”的右鍵菜單，點選“配置選項”命令，在其后界面的高級標簽頁面中，將用戶類別修改為“默認的網絡訪問保護級別”，將“006 DNS服務器”數值設置為和前面DHCP服務器中用到的DNS服務器地址。

加強安全強制

圖5 設置對話框

圖6 系統服務屬性界面

大家知道，在使用動態IP地址上網的環境下，DHCP服務器常常會被那些狡猾的用戶Snooping功能，該功能可以偵聽到DHCP數據報文，同時能從接受到的數據報文中提取有效地址信息，它也可以將某個交換端口設置為信任端口或不信任端口，其中信任端口可以正常收發DHCP Offer數據報文，而不信任端口會自動丟棄DHCP Offer數據報文。通過執行“ip dhcp snooping vlan xxx”命令，可以強制特定VLAN中的終端計算機適用DHCP Snooping功能。如果要強制特定VLAN中的終端計算機，只能從DHCP服務器那里獲取上網參數，而不能自行使用靜態IP地址上網時，可以輸入字符串命令“ip arp inspection vlan xxx”。繞過，這顯然會影響NAP角色安全防護的效果。為了提升安全強制效果，我們還需要在交換機后臺系統中，對ARP檢測和DHCP Snooping功能進行合適配置，讓DHCP Snooping功能過濾掉不可信任的DHCP信息，讓ARP檢測功能提供IP地址和MAC地址的綁定，以便建立動態綁定關系。例如，在Cisco 3550交換機上進行安全強制配置時，可以先進入后臺系統配置模式，使用“ip dhcp snooping”命令，來開啟交換機的DHCP

配置終端系統

無論終端計算機安裝使用的是哪種操作系統，都要確保其中的“Network Access Protection Agent”服務運行正常，且要處于自動工作模式，同時必須使用動態IP地址上網，才能確保它們受到Windows Server 2008系統的NAP技術安全防護。在開啟“Network Access Protection Agent”服務運行狀態時，依次單擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“services.msc”命令，展開系統服務列表界面，從中找到目標系統服務，并用鼠標雙擊之，進入如圖6所示的系統服務屬性界面。點擊“啟動”按鈕，將目標服務啟動運行起來，再將其啟動類型參數選擇為“自動”，單擊“確定”按鈕保存設置操作即可。

下面還要將終端計算機的上網參數必須調整為從DHCP服務器那里獲得IP地址。在進行該操作時，逐一單擊“開始”、“設置”、“網絡連接”命令，打開本地網絡連接列表窗口，用鼠標右擊本地連接圖標，點擊快捷菜單中的“屬性”命令，彈出本地連接屬性對話框，在“常規”標簽頁面中選擇“Internet協議（TCP/IP）”選項，按下“屬性”按鈕，彈出Internet協議選項設置對話框，選中“自動獲得IP地址”選項和“自動獲得DNS服務器地址”選項，確認后保存設置操作即可。

經過上述一系列的部署操作后，在某種程度上就可以讓不安全終端遠離單位網絡了。當然，NAP在實際工作中，還需要更完善和細致的策略設置，才能發揮出更理想的安全防護效果。