集成TMG 2010,提升Windows Server 2008中的NAP FOR IPSEC在企业中的应用。NAP 技术介绍:NAP从字面上理解是网络访问保护。NAP提供网络准入技术,允许符合要求的客户端进入企业内部网,限制不符合要求的客户端进入企业网络的隔离区。并为隔离区的客户端计算机提供自动修正和补救,一旦符合健康要求即可进入正常网络。NAP是由客户端健康策略创建、强制及补救技术组成。NAP定义了客户端操作系统和关键软件要求的配置和更新条件。NAP技术内置于Windows 操作系统中,属于内置功能。支持NAP的客户端操作操作系统有Windows XP SP3、Windows Vista、Windows 7,服务器端操作系统有Windows Server 2008。通过激活和配置管理,可实现NAP 技术。
NAP For IPSEC:NAP的技术的实现基于以下几种情形:DHCP、VPN、802.1X和IPSEC。假如客户端计算机是静态的IP参数,也不需要建立VPN,也不使用802.1X,那么剩下的就只有 NAP For IPSEC.下面就着重介绍NAP FOR IPSEC的概念和技术机制。 NAP FOR IPSEC涉及的概念和名词术语有:
SHA:System Health Agents,系统健康代理,产生入网客户端健康陈述(SoH),代表一个客户机健康状态的快照;
NAP Agent: NAP代理,收集和管理健康信息;
NAP EC: NAP Enforcement Client,NAP执行客户端,传递健康状态给NAP服务器,NAP服务器提供网络访问策略。对于不同的网络访问和通讯类型,都有NAP EC模块相匹配.例如,对于IPSEC通讯,就有对应的NAP EC FOR IPSEC;
NAP Enforcement Client:有NAP内置功能的客户端操作系统计算机 ,由SHA、NAP Agent 、NAP EC三个模块组成。只要计算机安装Windows XP SP3、Windows Vista、Windows 7就能满足这一要求;
SoH:英文全称为Statement of Health ,健康陈述(补丁状态和系统配置等);
SoHR: SoH Response ,对SoH的应答.应答有两种(YES /NO).YES-代表健康状态满足要求,同意颁发证书;No-代表不满足健康要求,提供修正指导,提供受限访问;
HRA 服务器:英文全称是Health Registration Authority Server ,健康注册授权机构。是服务器端NAP ES模块,与客户端NAP EC模块相匹配。向客户端提供一些所需的网络访问能力,传递客户端健康状态给网络策略服务器,执行网络限制访问;
SHV:英文全称是System health Validator,即系统健康验证器,是NAP平台架构的服务器端组件,与客户端的SHA相对应。SHV接受客户端SHA传来的SoH,返回SoH应答。通知客户端如果SHA不满足要求的健康状态,应如何执行的行为。
NPS: 英文全称是Network Policy Server,即网络策略服务器。由SHV、策略及NAP管理模块组成。策略定义了客户端的健康。NPS验证定义的健康策略。
企业安全网络:客户端符合健康策略,允许进入企业内部网络,授权完全的网络访问;
受限网络:客户端不符合健康策略,不允许进入企业网络,网络访问受到限制。客户端可以进行有限的访问,如可以访问救援服务器,安装所需的补丁,进行恰当的配置。通过补救,客户端可以恢复健康状态;
Remediation Servers: 可以翻译为救援、补救和修正服务器。客户端的SHA和救援服务器相对应。能从救援服务器下载最新的补丁和病毒更新;
Network Access Limitation Enforcement Methods:即网络访问限制执行方法。NAP for IPsec使用的方法是:在受限网络的客户计算机,不能获得证书机构颁发的健康证书。在同关键服务器通讯时,没有证书就无法建立IPSEC通讯;
NAP FOR IPSEC 技术机制:
1、 NAP 客户端请求网路访问,提供系统健康状态。发送SoH请求;
2、 HRA接受SoH请求,中继请求至策略服务器;
3、 依据健康策略,策略服务器SHV对SoH请求作出应答,返回给HRA;
4、 如果客户健康状态不符合健康策略要求,将被受限访问。HRA返回SoH请求应答给客户端, NAP客户端不能获得健康证书,客户端不能同后台服务器建立IPsec通讯。但可以同救援服务器通讯,恢复健康状态。在恢复健康状态后,可以重新申请健康证书;
5、 如果客户健康状态符合健康策略要求,HRA返回SoH请求应答给客户。HRA得到策略服务器的批准,替NAP客户端申请健康证书,颁发证书给符合要求的NAP客户端。有了健康证书的客户端就可以同后台的服务器建立IPSEC的通讯了。标志进入企业安全网络。
NAP FOR IPSEC在企业实施方案分析:
1、在微软提供的NAP解决方案中,有DHCP、802.1X、VPN及IPSEC。
2、在DHCP、802.1X、VPN情形中,有一个关键点和前提,就是客户端入网的第一步必须和DHCP、802.1X、VPN通讯,进而才能对客户端的健康状态加以评估,NAP机制才会起作用。如果没有这个前提,NAP机制就会被绕过,不会起作用。具体来讲,在NAP FOR DHCP技术方案中,关键点是DHCP服务器。在NAP FOR 802.1X 技术方案中,关键点是支持NAP的802.1X访问设备。在NAP FOR VPN技术方案中,关键点是VPN服务器。
3、在NAP FOR IPSEC情形下,问题比较复杂。缺乏一个关键点,客户端在企业网络里与那一台服务器通讯是随机的。我们必须保证基础架构服务器(DC)、网络架构服务器(DNS等)及救援服务器和客户端通讯是正常的,不能设置严格的IPSEC策略。因此不能将这一类服务器作为关键控制点。而每台客户端机器必须与之通讯的业务系统,可能是跨平台系统,不支持NAP技术,也作不成中心控制点;
4、引入微软网关产品TMG 2010,利用TMG 2010将网络分成微软企业内部网和业务系统网络。TMG是关键点,有两块网卡。一块连接企业内部网,另一块连接业务网络。所有客户端(B/S模式)要访问业务系统,必须先同TMG通讯(web 代理功能)。这样就形成以TMG为中心控制点;
5、有了TMG关键点后,就可以规划NAP FOR IPSEC方案了;
NAP FOR IPSEC解决方案实施步骤:
1、 在服务器上安装Windows Server 2008,部署AD 架构,配置DNS\AD DS\AD CS角色;
2、 在AD域上建立三个安全组:1、NAP IPSEC Client Computers ,包含所有满足健康策略接受健康证书的客户端计算机(Windows XP SP3、Windows Vista、Windows 7); 2、NAP IPSEC Boundary Computers ,能自动获得IPSEC健康证书,涵盖基础架构服务器(DC)、网络架构服务器(DNS等)及救援服务器,对这个组不采用严格的IPSEC策略; 3、NAP IPSEC Protected Computers,能自动获得健康证书,要求进站连接提供健康证书。这个组包含关键服务器,TMG服务器属于这个组。这个组采用严格的IPSEC策略;
3、 对网络中的计算机进行归属划分,加入相应的组里;
4、 在证书服务器创建新的健康证书模板,在证书模板的安全属性设置安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers对该模板有Read 、Allow Enroll 、Allow Autoenroll的权限;
5、 配置证书服务器颁发健康证书模板;
6、 在AD 上配置域缺省组策略,使得在域里的计算机能自动获得证书;
7、 从以上配置可以保证安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers里的计算机能获得健康证书,即企业内部网的所有的服务器都能获得健康证书。安全组NAP IPSEC Client Computers不能通过此方法获得证书,因为此组对新创建的健康证书模板没有Allow Enroll 、Allow Autoenroll的权限。安全组NAP IPSEC Client Computers是通过HRA获得证书的;
8、 配置HRA,HRA是一个WEB 应用程序,如果策略服务器判定客户端计算机是符合健康要求的,HRA将从证书服务器CA上为客户端计算机获得一个健康证书,并发送给客户端。建立HRA与CA服务器之间的关联,HRA就像一个证书代理机构,为符合要求的健康客户端提供健康证书。因此,在证书服务器上配置HRA所代表的帐户应有请求、颁发和管理证书的权限。在HRA上指向正确的证书服务器信息;
9、 配置策略服务器NPS,配置SHV、健康策略和网络连接策略。有两个策略,一个是符合健康要求的,另一个是不符合要求的;
10、 激活客户端计算机NAP For IPSEC模块。可通过组策略来实施。需要完成两项设置, 一是启用NAP For IPSEC,配置信任HRA服务器组,指向正确HRA URL地址.因为HRA提供的是一个WEB 应用程序服务。客户端NAP Agent根据SoH响应通过这个服务获得健康证书或取消健康证书;
11、 验证服务器证书机制起作用,查看在域中的服务器都能获得健康证书;
12、 验证客户端证书机制起作用,查看符合健康要求和不符合健康要求的情况;
13、 确认准备安装TMG 2010的机器已获得健康证书;
14、 利用组策略管理工具GPMC对三个安全组实施IPSEC 组策略。安全组NAP IPSEC Client Computers NAP和 IPSEC Protected Computers实施严格的IPSEC组策略:入站要求健康证书出站请求;安全组NAP IPSEC Boundary Computers实施包容性的IPSEC组策略:入站和出站请求健康证书;
15、 安装关键控制点TMG 2010,配置TMG 2010,TMG 服务器属于安全组IPSEC Protected Computers。所有计算机必须首先访问TMG,才能访问后台的业务系统。实现跨平台的NAP For IPSEC解决方案;
16、 测试集成TMG 2010的NAP For IPSEC效果。
实施方案问题探讨:
1、 TMG 2010安装完成后,会接管对应网络接口的管理策略,会不会同对应TMG服务器的NAP For IPSE组策略冲突?
答:通过做实验和部署,确认不会冲突,TMG 2010遵从NAP For IPSEC组策略。两者配合的很好。在做实验前,对这个问题一直没有把握。完成实验后,心里就踏实了。
2、 TMG 2010只能安装在64位Windows Server 2008 R2的机器上.64位Windows Server 2008 R2的机器能不能从在32位Windows Server 2008的CA服务器上获得证书?
答:结果出人意料。不能获得,但从道理上是可以的。需要进一步确认;
3、 对于Windows Server 2008 R2才有基于Windows 7的健康验证器SHV。Windows Server 2008 R2以前的版本只支持XP 和Vista。
4、 Windows XP sp3 是否能接受来自Windows Server 2008 R2 基于高级防火墙配置的NAP For IPSEC组策略的设置?
答:实验结果是不能。需要在Windows XP sp3上手工配置IPSEC,健康证书移走后,IPSEC通讯不中断。需要重新启动IPSEC服务,才能看到效果。