|
什么是NAP? NAPNetwork Access Protection网络访问保护我觉得其实还不完整我认为完整的应该叫做网络策略访问保护他的作用是用策略来保护客户端对网络的访问确保整个网络的访问过程是达到一定安全级别的年初前我开始做的时候当时的第一反应就是防火墙觉得是不是就是跟防火墙类似的一个东西后来发现不是的而且完全不一样防火墙是通过网络的通讯接口比如IP端口号之类的来控制访问连接的通或者断简单理解防火墙是控制网络行为的而NAP是通过安全策略来控制网络中所有客户端的状态可能这么说还是不够清楚我觉得这个东西应该分开来看就是网络策略访问保护 下面先来看看网络对于NAP的网络我们理解可以大致分为三类一个外网也就是没有受NAP管理的网络这个网络可能是互联网也可能是某个个刚刚通过无线网络想想接入到网络中的某个计算机这是因为他还在处于一个请求IP或者请求接入的阶段所以它应该算外部网络第二个是内网也就是受NAP管理的网络这个网络指的就是我们已经接入进来的这些内部计算机比如刚才那个计算机如果已经接入进来了以后那它现在就处于一个内部网络当中最后一个是一个比较特殊的网络有点防火墙术语当中的DMZ但还是有区别它是一个更偏向内网的网络但又不全是当然你可以去定义它如果有客户端被NAP放到了这个网络那它也许只能访问部分网络资源也许什么资源都不能访问后面我们再来详细描述这个网络暂时我们就先理解为一个受限制网络吧 网络分析完了在来讲讲策略NAP中的策略叫做安全策略可能有人会跟防火墙中的策略去做对比那么防火墙中的策略准确说应该叫规则策略比如如果是某个人在某台机器上通过某个应用程序进行访问那么我们可以决定是否允许通过这个规则策略可能是允许用户A通过B不能通过或者允许A程序能够通过而B程序不能通过但NAP中的安全策略是用于验证客户端是否达到某个在安全方面的特性的要求比如在NAP中有的策略是要求客户端是否打开安全更新设置有的是要求防火墙是否处于启用状态有的是要求系统补丁是否打到某个级别或者某个时间点之后有的是要求防病毒软件的病毒库是否达到某个特定版本或者某个最新的时间点等等可以看出来实际上策略就是一把尺在防火墙中它是通过规则来定义这把尺在NAP中它是通过跟安全相关的状态或者叫属性来定义这把尺有了这把尺我们才能在后面的过程中去衡量一个客户端或者网络中的某个因素是否达到我们所期望的要求这就是策略的作用 好有了一把尺如果我们不用它也是白费下面就来说说访问的问题我的理解应该叫访问监控或者访问验证这里的意思是用刚才的那个些安全策略去监控所有网络中的客户端去跟客户端当前的状态进行对比比如一个策略是要求病毒库的版本必须要达到版本结果发现有一台计算机的病毒库版本还是那这个时候NAP服务器就会将这台计算机标记为不符合也就是说访问验证的过程就是用策略去对比客户端的状态信息是否符合我们所定义的策略强调一下这个验证过程是实时存在的也就是说一旦你修改了某些安全设置与NAP中的策略是相矛盾的那么会立即将你标记成不符合反过来如果当你更新了某些配置比如病毒库版本时NAP会立即将你从不符合标记成符合这种实时保护就是为了防止恶意连接在开始进入网络时通过伪装蒙混过关进入以后再开始进行破坏据我所知像VPN的很多应用就是这样它只在网络连接开始的时候进行验证一旦通过验证以后的任何操作将不再受到限制 所有的计算机都有了一个符合或者不符合的标记最后我们就能够简单的对其进行控制了实际上这个过程很简单就是定义一个规则如果是符合的我们允许它连入到哪个网不允许他连入到哪个网如果是不符合的我们又允许它连入到哪个网不允许他连入到哪个网 案例展示 最后我们举个例子来看看整个NAP的工作流程是怎样完成的就拿刚才那个病毒库为版本的计算机为例 首先他会通过有线或者无线网络接入进来在没有连入进来之前它对于NAP来说应该是一个外网而他现在请求进入NAP的内网NAP就开始工作了 NAP中定义了一条病毒方面的安全策略要求病毒库版本必须达到这时NAP的策略服务器将会对这个客户端进行验证结果发现其版本为所以最后给这台计算机标记了一个不符合 NAP这时启动保护规则其中定义了一条规则是不符合病毒策略的计算机将被指派到一个只允许访问病毒更新服务器的受限制网络中这时这个客户端会发现他能够访问的只有这台病毒服务器言下之意就是说如果你的病毒不符合现在的策略要求我就只允许你连接到病毒服务器将病毒库更新到所要求的版本 最后客户端通过连接病毒服务器将病毒库版本更新至我们刚才说过NAP是实时监控的所以这个时候这台机器的不符合标记会立即改为符合 这个时候NAP的保护规则定义了符合的客户端允许访问内部网络中的所有的服务器或数据资源也就是说直到这个时候这个客户端才能真正的进入到企业网络中去访问资源 再次强调这个时候不能叫做NAP完成了验证过程因为它是实时监控的如果你这个时候将病毒软件卸载了那你同样会被立即断开网络至于对于一个没有安装某个防病毒软件的客户端该如何处置那就取决于你的安全策略和访问规则怎么设置了 特殊功能强制保护 说到这里我想大家应该对NAP是怎么回事另外我在提一个NAP里面的一个特殊的功能叫做强制保护说它特殊是因为目前并不是所有的安全策略或访问规则都支持这个功能的目前微软自己的安全设置肯定是支持强制保护的比如防火墙设置自动更新设置等等但一些其他厂商的应用比如某个厂商的防火墙防病毒软件由于现在中的NAP才刚刚起步可能目前的版本还不能够支持这个强制保护的功能那强制保护到底怎么回事呢下面还是举例来说明吧 拿刚才那个举例来说他现在可以正常连接到内部网络当中而NAP中有另外一条跟防火墙有关的策略这个安全策略定义的是必须开启防火墙而这时这个客户端的用户发现防火墙把某些端口给阻断了他希望能够使用一些特殊的软件比如BT之类的可能他的权限足够所以自己就把防火墙给关闭了 这个时候按照我们刚才所说的这个客户端会立即打上一个不符合的标记并且被断网或者分配到某个受限制网络中但是这里如果启用了强制保护的话我们会发现网络并没有发生变化用户再次打开防火墙设置的时候会发现明明刚才把防火墙关掉了怎么现在还是开的并且多次尝试都是这种现象其实这就是强制保护或者叫强制符合策略如果支持这个功能的安全组件会自动的将客户端的安全配置修改成安全策略所要求的那样正是因为需要自动执行所以目前并不是所有的安全组件都能支持的比如第三方防病毒软件这种就需要第三方厂商跟微软来合作才可能实现 好了说到这里相信大家应该对NAP有一个比较清晰的认识了至少知道NAP是怎么一回事以及它怎么工作的如果有兴趣继续深入研究的话可以去微软网站查阅相关的信息 |
