考虑这样一个情景:某企业在内网上有数百台计算机。边界防火墙能够保护专用网络免受internet上威胁(包括蠕虫功击)。一天,一名出差员工带着他的笔记本回到了办公室。在旅行的过程中,将的笔记本连接到了外部开放的无线网络,而另一个访客的计算机在该网络上传输了一个蠕虫。当该人员将自己笔记本连接至专用网络后,该蠕虫立即蔓延至易受攻击的计算机,这样完全绕过了边界安全。很容易导致,内部网络上几乎所有计算机都受到感染。
; ;“网络访问保护可以防止这种情况发生。在计算机接入内部网络之前,其必须满足指定的健康要求,才能访问内部网络,如果这些计算机不满足健康要求,那么它们将被隔离在某个网络中。
NAP旨在根据主机的当前健康状态,将其连接到不同的网络资源。(完全访问和受限网络)
NAP强制类型:IPsec连接安全、802.1X、VPN服务器和DHCP服务器
在硬件不支持802.1x且IPsec不可用的情况下,配置NAP DHCP强制是最常见的选择。虽然DHCP NAP安全性欠佳,但由于其便于演示,便于理解所有类型的NAP强制,所以这一章我们讨论DHCP的NAP:
这种强制类型借助运行server2008的计算机和为企业内部网提供DHCP服务的服务器。只有符合的计算机会收到授予完全网络访问权限的IP地址,而不符合的计算机会被分配到子网掩码为255.255.255.255且没有默认网关的ip地址。另外,不符合的主机会收到一个修正服务器组中网络资源的“主机路由表,将通信内容定向到某一个IP地址。为使客户端变为符合,修正服务器组可以对其进行必要的更新。这种配置是防止不符合的计算机与修正服务器组以外的网络资源通信。
注:DHCP客户端手动配置ip地址可绕过DHCP服务器强制,不同于802.1x网络访问设备和VPN服务器能够将计算机从网络上断开,IPSEC强制能够只允许来自健康计算机的连接。但对于非恶意用户使用不符合的计算机连接网络来说,DHCP服务器强制可以降低这种风险。
目的:理解NAP作用,实现DHCP NAP
拓朴图:
;
环境:
pc1 server2008充当DC/DNS/DHCP/NPS,安装角色在这里就不详贴图了,在前面文章中都有。
IP:172.16.1.1
;
pc2 server2008作为加入域的成员服务器,启用网络发现,用于验证结果
ip:172.16.1.2
;
pc3 vista作为工作组dhcp客户端
;
具体步骤:
1.配置使用DHCP的NAP
2.DHCP上启用对NAP的支持
; ; 验证:
; ; a.没启用NAP代理、强制客户端组策略设置属于非NAP客户端类别,受限网络
; ; b.静态IP,绕过DHCP服务强制
3.配置NAP客户端组策略
; ; 验证:
; ; c.测试符合的客户端
; ; d.测试不符合的客户端
补充域环境策略设置图
步骤1:启用dhcp的nap
方式有2种 :
a.通过手工配置,先配系统健康验证程序shv,再健康策略、网络策略、连接请求策略。在网络策略中可设置修正服务器
b.通过向导配置,这个使用起来简单些,初学者建议使用,几乎默认向导完成
;
;
当DHCP和NPS在同一台PC上,不需设置Radius,如不在同一台PC上,相互间要指定,在NPS服务器上指向radius客户端为DHCP服务器,在DHCP上安装NPS,在Radius服务器组上指向当前在用的NPS服务器(2个字:麻烦)
我在同一机器,所以保留为空
;
多作用域时,可指定具体使用NAP作用域,不指定表示所有启用NAP的范围
;
不指定任何组,用于所有对象
;
指环境需求,指定更新服务器
;
指定NAP使用健康策略
;
完成。
;
手工指定SHV
;
步骤2:DHCP上启用对NAP的支持
当前DHCP范围与选项
;
DHCP服务器上启用对NAP支持
;
如果是在具体作用域上启用点击作用域属性启用
为受限网络提供个标识,
;
验证:a.没启用NAP代理、强制客户端组策略设置属于非NAP客户端类别,受限网络
当前vista客户端
只有符合的计算机会收到授予完全网络访问权限的IP地址,而不符合的计算机会被分配到子网掩码为255.255.255.255且没有默认网关的ip地址
;
处于受限网络,不能与172.16.1.2的文件服务器通信
;
此时按需要,可指定修正服务,建立单条主机路由,在NPS如下位置设置
;
验证:b.静态IP,绕过NAP
;
步骤:3.启用代理服务,配置强制NAP客户端组策略
通过这里知道,早期版本的客户端就不支持了
;
打开mmc添加组件,或在运行输入napclcfg.msc
;
运行ipconfig/release; ;ipconfig/renew
;
验证:c.测试符合的客户端
现时防火墙是启用的
结果
;
把防火墙关闭,强制生效,马上又启用了
如图:
;
d.测试不符合的客户端
我修改了shv,如图:
;
客户端刷新
;
处于受限网络
;
这时,可设置补救服务器,当前客户端属于NAP DHCP不符合的客户端
;
如172.16.1.2为补救服务器
客户端ipconfig/release;;ipconfig/renew
;
补充一点:
我以上环境客户端在工作组,手工设置NAP策略,如是在域环境下,策略设置如图:
;
;
完毕,客户端验证这里,后面很多图是说了在工作组和域环境下,客户端的理解
Greenfoot是一款简单易用的Java开发环境,该软件界面清爽简约,既可以作为一个开发框使用,也能够作为集成开发环境使用,操作起来十分简单。这款软件支持多种语言,但是默认的语言是英文,因此将该软件下载到电脑上的时候,会发现软件的界面语言是英文版本的,这对于英语基础较差的朋友来说,使用这款软件就会...
07-05
Egret UI Editor是一款开源的2D游戏开发代码编辑软件,其主要功能是针对Egret项目中的Exml皮肤文件进行可视化编辑,功能十分强大。我们在使用这款软件的过程中,可以将一些常用操作设置快捷键,这样就可以简化编程,从而提高代码编辑的工作效率。但是这款软件在日常生活中使用得不多,并且专业性...
07-05
KittenCode是一款十分专业的编程软件,该软件给用户提供了可视化的操作界面,支持Python语言的编程开发以及第三方库管理,并且提供了很多实用的工具,功能十分强大。我们在使用这款软件进行编程开发的过程中,最基本、最常做的操作就是新建项目,因此我们很有必要掌握新建项目的方法。但是这款软件的专业性...
07-05
Thonny是一款十分专业的Python编辑软件,该软件界面清爽简单,给用户提供了丰富的编程工具,具备代码补全、语法错误显示等功能,非常的适合新手使用。该软件还支持多种语言,所以在下载这款软件的时候,有时候下载到电脑中的软件是英文版本的,这对于英语基础较差的小伙伴来说,使用这款软件就会变得十分困难,...
07-05
