考虑这样一个情景:某企业在内网上有数百台计算机 。边界防火墙能够保护专用网络免受internet上威胁(包括蠕虫功击) 。一天,一名出差员工带着他的笔记本回到了办公室 。在旅行的过程中,将的笔记本连接到了外部开放的无线网络,而另一个访客的计算机在该网络上传输了一个蠕虫 。当该人员将自己笔记本连接至专用网络后,该蠕虫立即蔓延至易受攻击的计算机,这样完全绕过了边界安全 。很容易导致,内部网络上几乎所有计算机都受到感染 。
; ;“网络访问保护可以防止这种情况发生 。在计算机接入内部网络之前,其必须满足指定的健康要求,才能访问内部网络,如果这些计算机不满足健康要求,那么它们将被隔离在某个网络中 。
NAP旨在根据主机的当前健康状态,将其连接到不同的网络资源 。(完全访问和受限网络)
NAP强制类型:IPsec连接安全、802.1X、VPN服务器和DHCP服务器
在硬件不支持802.1x且IPsec不可用的情况下,配置NAP DHCP强制是最常见的选择 。虽然DHCP NAP安全性欠佳,但由于其便于演示,便于理解所有类型的NAP强制,所以这一章我们讨论DHCP的NAP:
这种强制类型借助运行server2008的计算机和为企业内部网提供DHCP服务的服务器 。只有符合的计算机会收到授予完全网络访问权限的IP地址,而不符合的计算机会被分配到子网掩码为255.255.255.255且没有默认网关的ip地址 。另外,不符合的主机会收到一个修正服务器组中网络资源的“主机路由表,将通信内容定向到某一个IP地址 。为使客户端变为符合,修正服务器组可以对其进行必要的更新 。这种配置是防止不符合的计算机与修正服务器组以外的网络资源通信 。
注:DHCP客户端手动配置ip地址可绕过DHCP服务器强制,不同于802.1x网络访问设备和VPN服务器能够将计算机从网络上断开,IPSEC强制能够只允许来自健康计算机的连接 。但对于非恶意用户使用不符合的计算机连接网络来说,DHCP服务器强制可以降低这种风险 。
目的:理解NAP作用,实现DHCP NAP
拓朴图:
;
环境:
pc1 server2008充当DC/DNS/DHCP/NPS,安装角色在这里就不详贴图了,在前面文章中都有 。
IP:172.16.1.1
;
pc2 server2008作为加入域的成员服务器,启用网络发现,用于验证结果
ip:172.16.1.2
;
【Windows Server 2008 通熟易懂的DHCP NAP】pc3 vista作为工作组dhcp客户端
;
具体步骤:
1.配置使用DHCP的NAP
2.DHCP上启用对NAP的支持
; ; 验证:
; ; a.没启用NAP代理、强制客户端组策略设置属于非NAP客户端类别,受限网络
; ; b.静态IP,绕过DHCP服务强制
3.配置NAP客户端组策略
; ; 验证:
; ; c.测试符合的客户端
; ; d.测试不符合的客户端
补充域环境策略设置图
步骤1:启用dhcp的nap
方式有2种 :
a.通过手工配置,先配系统健康验证程序shv,再健康策略、网络策略、连接请求策略 。在网络策略中可设置修正服务器
b.通过向导配置,这个使用起来简单些,初学者建议使用,几乎默认向导完成
;
;
当DHCP和NPS在同一台PC上,不需设置Radius,如不在同一台PC上,相互间要指定,在NPS服务器上指向radius客户端为DHCP服务器,在DHCP上安装NPS,在Radius服务器组上指向当前在用的NPS服务器(2个字:麻烦)
我在同一机器,所以保留为空
;
多作用域时,可指定具体使用NAP作用域,不指定表示所有启用NAP的范围
;
不指定任何组,用于所有对象
;
指环境需求,指定更新服务器
推荐阅读
- 轻松部署Windows 2003的DHCP服务
- 男主喜欢吐槽的搞笑小说
- windows10电脑运行怎么打开 电脑运行怎么打开
- cad2008怎么激活
- win7重装死循环 windows7安装失败死循环
- win10pe是什么意思 windows10pe是什么意思
- IE9将不支持Windows XP 最低Vista SP2
- win7怎么修改兼容模式 windows7怎么设置兼容模式
- win7系统中禁止Windows Search 服务具体操作步骤
- win7系统中打开windows defender杀毒软件具体流程介绍