虛擬專用網絡訪問保護機制研究

相成

摘 要：網絡訪問保護可以讓系統根據客戶端的健康情況決定其訪問的網絡資源范圍，本文重點對網絡訪問保護機制的功能和工作原理進行了研究，后對以虛擬專用網絡的訪問保護機制設置方法和VPN服務器配置為例進行具體設置研究。

關鍵詞：網絡訪問保護；VPN服務器

1 網絡訪問保護（NAP）概述

網絡訪問保護（Network Access Protection，NAP）讓服務器管理人員可以強制客戶端的計算機環境必須符合健康策略的要求，要求客戶端計算機必須是健康的，否則客戶端只能夠訪問受限制的網絡資源，以免不健康的客戶端危害到內部網絡安全。Windows Server 2012系統與Windows8、Windows7、Windows Vista和Windows XP SP3等客戶端都支持NAP功能。NAP可通過多個條件來決定客戶端是否為健康的計算機。

2 NAP基本架構

NAP的基本架構，主要分為NAP客戶端、NAP強制執行點與NAP健康策略服務器3部分。

NAP客戶端需啟用（System Health Agent，SHA）系統健康代理程序，負責監控客戶端的健康情況（Statement of Health，SoH），并將其發送給NAP強制執行點內的服務器或設備。不同的NAP客戶端有多種不同的協議將SoH傳送給NAP強制執行點內的服務器，VPN客戶端利用PEAP通信協議將SoH傳送給VPN服務器，DHCP客戶端利用DHCP通信協議將SoH傳送給DHCP服務器。

NAP強制執行點可以是DHCP服務器、VPN服務器、HRA服務器、遠程桌面網關、支持802.1X的交換器或無線訪問接入點（AP）。NAP強制執行點接收到客戶端的SoH后，便將其傳給NAP健康策略服務器來檢查客戶端是否符合健康策略的安全要求與其所擁有的網絡訪問權限，并根據NAP健康策略服務器的響應來強制執行NAP策略，賦予客戶端該有的網絡訪問權限。NAP強制執行點利用RADIUS通信協議將SoH傳送給NAP健康策略服務器，故需為RADIUS客戶端或RADIUS代理服務器。

NAP健康策略服務器，通過網絡策略服務器（NPS）配置健康策略，需啟動（System Health Validator，SHV），并通過SHV來檢查NAP客戶端發送來的SoH，決定客戶端是否符合健康策略要求。NAP健康策略服務器必須也是RADIUS服務器，以便接收通過RADIUS協議傳送來的NAP客戶端SoH，并通過RADIUS將檢查結果與客戶端所擁有的網絡訪問權限發送給NAP強制執行點。

3 NAP不健康客戶端修復與客戶端的健康情況監控

不符合健康策略要求的NAP客戶端只能訪問受限制的網絡資源，通過訪問限制讓不健康客戶端通過更新服務器來安裝所需組件，以便轉變為符合健康策略的要求。也可以通過NPS網絡策略的NAP設置來自動修復NAP客戶端的不健康情況，讓其成為健康的NAP客戶端能夠與NAP強制執行點通信。

已經連接到網絡的健康客戶端，若因為健康策略有變動，造成該客戶端不符合最新健康策略的要求，客戶端提出網絡資源訪問請求時，NAP便能夠覺察到其為不健康客戶端，此時NAP會限制客戶端的網絡訪問權限或執行自動修復工作。

4 NAP強制執行點的運行

不同的NAP強制執行點在NAP運行過程中各有不同的工作方式。

DHCP服務器根據DHCP客戶端的健康情況來給予不同的IP配置設置，讓健康客戶端擁有完整的網絡訪問服務器權限，不健康客戶端只能訪問受限制的網絡資源。

VPN服務器會根據VPN客戶端的健康情況來給予不同網絡訪問權限，健康客戶端有完整的網絡訪問權限，不健康客戶端可通過更新服務器通信或通過網絡策略內的IP篩選器來限制能夠訪問的網絡范圍。

HRA服務器客戶端利用IPsec來與其他計算機通信，可以采用計算機證書的驗證方法，而且可以限制必須采用系統健康身份驗證的計算機證書。IPsec客戶端會將其健康狀態與申請證書請求發送過HRA服務器，若客戶端是健康的，HRA服務器便會替客戶端向CA來申請證書，然后將證書發放給客戶端。HRA服務器只會發放證書給健康的IPsec客戶端，當健康客戶端變成不健康時，其所擁有的系統健康身份證計算機證書也會自動被刪除。

802.1X交換器或無線訪問接入點需支持Microsofr Network Access Protection，可以讓健康與不健康客戶端連接到802.1X交換器或無線訪問接入點時，分別被劃分到不同的VLAN，通過VLAN來隔離健康與不健康客戶端，以免不健康客戶端危害到網絡安全。

5 虛擬專用網絡NAP的配置

配置過程包括域控制器DNS服務器、NAP健康策略服務器、VPN服務器和客戶端。

（1）域控制器安裝。在服務器管理器中選擇服務器角色界面，勾選與服務選項在最后的安裝界面中單擊將此服務器升級為域控制器，重新啟動，以系統管理員身份登錄。打開服務器管理器，在選擇服務器角色界面勾選DHCP服務器，在安裝進度界面中完成DHCP設置來執行授權操作。在DHCP中設置DNS服務器IP地址和默認網關地址。

（2）NAP健康策略服務器搭建。以系統管理員身份登錄系統，打開服務器管理器選擇儀表板出的添加角色和功能，勾選網絡策略與訪問服務完成安裝。在文件菜單中選擇添加/刪除管理單元，從列表中選擇證書完成證書申請。切換到網絡策略服務器，選擇網絡訪問保護配置NAP，在網絡連接方法中選擇虛擬專用網絡（VPN），選擇RADIUS客戶端輸入IP地址勾選默認的Windows安全健康驗證程序與啟用對客戶端計算機的自動修復。建立RADIUS客戶端、健康策略、連接策略和網絡策略。

（3）設定IP篩選器。在網絡策略服務器界面中選中NAP VPN不符合，在打開的對話框中單擊IP篩選器的輸入篩選器按鈕，新建IP篩選器，輸入不符合時可訪問的IP地址，勾選僅允許下列數據包。安裝相同的方法設置NAP VPN不支持NAP網絡策略來設置IP篩選器。

（4）VPN服務器設置。以管理員身份登錄系統，打開服務器管理器，單擊儀表板添加角色和功能，勾選遠程訪問，確認安裝。切換到路由和遠程訪問，選中VPNS1配置并啟用路由和遠程訪問。IP地址分配選擇自動，勾選設置此服務器與RADIUS服務器一起工作。在DHCP中繼代理處開放從VPN服務器來的索取選項請求。選用PEAP-MS-CHAPv2方法驗證身份，Windows防火墻開放與PPTP VPN流量。