Windows Server 2008 通熟易懂的DHCP NAP
考慮這樣一個情景:某企業在內網上有數百臺計算機。邊界防火墻能夠保護專用網絡免受internet上威脅(包括蠕蟲功擊)。一天,一名出差員工帶著他的筆記本回到了辦公室。在旅行的過程中,將的筆記本連接到了外部開放的無線網絡,而另一個訪客的計算機在該網絡上傳輸了一個蠕蟲。當該人員將自己筆記本連接至專用網絡后,該蠕蟲立即蔓延至易受攻擊的計算機,這樣完全繞過了邊界安全。很容易導致,內部網絡上幾乎所有計算機都受到感染。; ;“網絡訪問保護可以防止這種情況發生。在計算機接入內部網絡之前,其必須滿足指定的健康要求,才能訪問內部網絡,如果這些計算機不滿足健康要求,那么它們將被隔離在某個網絡中。NAP旨在根據主機的當前健康狀態,將其連接到不同的網絡資源。(完全訪問和受限網絡)NAP強制類型:IPsec連接安全、802.1X、VPN服務器和DHCP服務器在硬件不支持802.1x且IPsec不可用的情況下,配置NAP DHCP強制是最常見的選擇。雖然DHCP NAP安全性欠佳,但由于其便于演示,便于理解所有類型的NAP強制,所以這一章我們討論DHCP的NAP:這種強制類型借助運行server2008的計算機和為企業內部網提供DHCP服務的服務器。只有符合的計算機會收到授予完全網絡訪問權限的IP地址,而不符合的計算機會被分配到子網掩碼為255.255.255.255且沒有默認網關的ip地址。另外,不符合的主機會收到一個修正服務器組中網絡資源的“主機路由表,將通信內容定向到某一個IP地址。為使客戶端變為符合,修正服務器組可以對其進行必要的更新。這種配置是防止不符合的計算機與修正服務器組以外的網絡資源通信。注:DHCP客戶端手動配置ip地址可繞過DHCP服務器強制,不同于802.1x網絡訪問設備和VPN服務器能夠將計算機從網絡上斷開,IPSEC強制能夠只允許來自健康計算機的連接。但對于非惡意用戶使用不符合的計算機連接網絡來說,DHCP服務器強制可以降低這種風險。目的:理解NAP作用,實現DHCP NAP 拓樸圖:;
環境:pc1 server2008充當DC/DNS/DHCP/NPS,安裝角色在這里就不詳貼圖了,在前面文章中都有。IP:172.16.1.1;
pc2 server2008作為加入域的成員服務器,啟用網絡發現,用于驗證結果ip:172.16.1.2;
pc3 vista作為工作組dhcp客戶端;
具體步驟:1.配置使用DHCP的NAP2.DHCP上啟用對NAP的支持; ; 驗證:; ; a.沒啟用NAP代理、強制客戶端組策略設置屬于非NAP客戶端類別,受限網絡; ; b.靜態IP,繞過DHCP服務強制3.配置NAP客戶端組策略; ; 驗證:; ; c.測試符合的客戶端; ; d.測試不符合的客戶端補充域環境策略設置圖步驟1:啟用dhcp的nap方式有2種 :a.通過手工配置,先配系統健康驗證程序shv,再健康策略、網絡策略、連接請求策略。在網絡策略中可設置修正服務器b.通過向導配置,這個使用起來簡單些,初學者建議使用,幾乎默認向導完成;;
當DHCP和NPS在同一臺PC上,不需設置Radius,如不在同一臺PC上,相互間要指定,在NPS服務器上指向radius客戶端為DHCP服務器,在DHCP上安裝NPS,在Radius服務器組上指向當前在用的NPS服務器(2個字:麻煩)我在同一機器,所以保留為空;
多作用域時,可指定具體使用NAP作用域,不指定表示所有啟用NAP的范圍;
不指定任何組,用于所有對象;
指環境需求,指定更新服務器;
指定NAP使用健康策略;
完成。;
手工指定SHV;
步驟2:DHCP上啟用對NAP的支持當前DHCP范圍與選項;
DHCP服務器上啟用對NAP支持;
如果是在具體作用域上啟用點擊作用域屬性啟用為受限網絡提供個標識,;
驗證:a.沒啟用NAP代理、強制客戶端組策略設置屬于非NAP客戶端類別,受限網絡當前vista客戶端只有符合的計算機會收到授予完全網絡訪問權限的IP地址,而不符合的計算機會被分配到子網掩碼為255.255.255.255且沒有默認網關的ip地址;
處于受限網絡,不能與172.16.1.2的文件服務器通信;
此時按需要,可指定修正服務,建立單條主機路由,在NPS如下位置設置;
驗證:b.靜態IP,繞過NAP ;
步驟:3.啟用代理服務,配置強制NAP客戶端組策略通過這里知道,早期版本的客戶端就不支持了;
打開mmc添加組件,或在運行輸入napclcfg.msc;
運行ipconfig/release; ;ipconfig/renew;
驗證:c.測試符合的客戶端 現時防火墻是啟用的結果;
把防火墻關閉,強制生效,馬上又啟用了如圖:;
d.測試不符合的客戶端我修改了shv,如圖:;
客戶端刷新;
處于受限網絡;
這時,可設置補救服務器,當前客戶端屬于NAP DHCP不符合的客戶端;
如172.16.1.2為補救服務器
客戶端ipconfig/release;;ipconfig/renew;
補充一點:我以上環境客戶端在工作組,手工設置NAP策略,如是在域環境下,策略設置如圖:;
;完畢,客戶端驗證這里,后面很多圖是說了在工作組和域環境下,客戶端的理解
相關文章:
網公網安備