《[软件工程]基于微软nap技术的网络访问保护实现》由会员分享,可在线阅读,更多相关《[软件工程]基于微软nap技术的网络访问保护实现(23页珍藏版)》请在金锄头文库上搜索。
1、,基于微软NAP技术的网络访问保护实现,答辩人: 导 师: 答辩日期:2013.05.25,目 录,课题介绍,相关环境介绍,NAP框架,具体配置.,后期维护,1,课题介绍,一 课题介绍,选题背景,随着科技的进步与发展,一些外部不稳定因素,去危害计算机安全的行为也在不断变化。如何去控制用户的客户端对网络资源进行访问,已经变得越来越重要。 DOS的时代,3.5英寸软盘的数据交换 杀毒软件的需求。 当计算机网络的思想流行开来后,人们需要保护自身内部的资源不受外面用户的入侵防火墙 随后,互联网中诞生了移动设备当某些计算机访问了某些不安全的网页导致被植入了恶意软件,随后,当员工在无意识的情况下连接了公司
2、的内部网络,这样垃圾程序或者病毒就可能在该局域网中传播开来网络访问控制技术就应运而生了,2,相关环境介绍,1. 运行环境,第2章 相关环境介绍,Windows 7操作系统的pc,安装了VMware和GNS3软件,2. 实验环境,使用VMware模拟两台虚拟机,使用GNS3模拟器模拟网络设备环境 服务器:Server,系统为Windows Server 2008 R2,安装域服务,并且配置为AD域控制器;安装DNS和DHCP服务;安装了网络策略和访问服务。 客户机:Client,系统为Windows 7,并且已加入域,一台打开防火墙,输入用户名密码查看链接状态。之后关闭防火墙,输入用户名密码,查
3、看链接状态。 网络设备环境要求:使用GNS3模拟器模拟cisco3600路由器,3、NAP针对的计算机类型是: 移动办公机/桌面台式机/访客计算机/家庭PC。,3,系统框架,第3章 系统框架,3.1 NAP的架构,NAP的组成元素包括: NAP客户端 NAP服务器 NPS服务器 更新服务器 系统健康服务器,第3章 系统框架,1 NPS 服务将传入请求消息与为其配置的连接请求策略组进行比较。对于 NAP,请求消息应该与指定 NPS 服务本地执行身份验证和授权的连接请求策略匹配。连接请求策略还会影响连接要求。例如,对于 802.1X 和 VPN 强制,连接请求策略要求使用以受保护的可扩展身份验证协
4、议 (PEAP) 为基础的身份验证方法。如果正在连接的客户端不使用 PEAP,则连接请求将被拒绝 2 NPS 服务评估请求信息中的运行状况信息,该请求信息由包含运行状况信息的系统运行状况声明 (SSoH) 组成。NPS 服务将运行状况信息传递至其上安装的 SHV,而 SHV 将把运行状况评估信息返回给 NPS 服务。 3 NPS 服务将请求消和来自 SHV 的运行状况评估信息与相应的网络策略组进行比较。运行状况评估信息与基于 NAP 的网络策略的运行状况策略条件进行比较。运行状况策略条件指定运行状况兼容或不兼容的条件。NPS 服务将第一个匹配的网络策略应用到请求消息。 4根据基于 NAP 的匹
5、配网络策略及其相关的 NAP 设置,NPS 服务将创建系统运行状况声明响应 (SSoHR)。此响应包括来自 SHV 的运行状况评估信息, 并指明 NAP 客户端的访问是否受限制,以及 NAP 客户端是否应该自动尝试修正其运行状况。 5 NPS 服务将把 RADIUS 响应消息和 SSoHR 发送给 NAP 强制点。如果客户端的访问受限制,则响应消息还可以包含指定 NAP 客户端访问受限情况的指令。 6 NAP 强制点将 SSoHR 发送到 NAP 客户端。,第3章 系统框架,(1)NAP客户端 NAP客户端是指支持NAP平台的计算机,它们是装有Windows Server “Longhorn“
6、或Windows Vista的机器。一个NAP客户端又能够进一步划分以下几部分, SHA元素层:SHA是指系统健康代理。一个NAP客户端上可能有一个或多个SHA。一个SHA与一个特定的安全应用通信,并且它与“系统健康验证程序( SHV )”相匹配,而SHV负责验证系统是否处于健康状态。举例来说,有杀毒软件对应的SHA,防火墙对应的SHA等等。默认的是,微软公司提供了自己的SHA,负责处理“微软公司安全中心”的要求。 SHA的任务之一是创建“系统健康声明(SOH)“,它分析 NAP客户端并把这些声明传送给“NAP代理”元素(将于下面进行讨论)。这个过程也被称作“状态评估”。一个SOH是对应于一个
7、状态数据(或度量值)的单元.例如,对应于病毒的SHV可创建一个SOH声明:“ANTIVIRUS STATUS=ON,表明客户端的杀毒软件是激活的。 SHA的任务之二是负责接收“响应声明(SOR)“。这个声明包含了供NAP客户端使用的更新信息,将在更新过程中使用。例如,SOR可能声明“ANTIVIRUSS IGNATURE=OLD “,表示需要一个新的杀毒软件签名。这样SHA使用SOR与更新资源相配合,使它能更新其服从性。着上述例子中,它会安装新的签名到杀毒软件资源中。 第三方厂商能够使用SHA API引进新的SHA作为NAP平台的附件。 SHA API层:该层提供了API,使得SHA能与NAP
8、代理协同工作。SHA与NAP代理通过这个界面进行通信。SHA API提供了如下功能:SHA向NAP代理注册,NAP代理向SHA询问SOH SHA将SOH传送给NAP代理等等。第三方厂商也用它来使新的SHA与NAP客户端结合在一起。 NAP代理:维持客户端的依从性,它从SHA处收集SOH,并进一步把这一信息传送给“强制元素”(EC,下文讨论)。 NAP EC API层:是一个API,使得EC元素能够与NAP代理能过相互配合。NAP代理与EC通过这一层进行通信。这一层提供如下功能:EC向NAP代理注册,EC向NAP代理询问机器的服从性,EC将更新信息传送给NAP代理等等。弟三方)一商能够使用这个A
9、PI引进新的EC元素。 EC层:强制元素(EC)是专门用于正在使用的强制技术的。通过使用EC,健康策略的要求在NAP客户端上得以强制执行。这一层能够包含一个或多个EC。到目前为止,以下强制元素是可用的:Intenet Protocol security(IPsec) IEEEs 802.1 X; VPN ; DHCP o 这些元素与强制服务器(ES,下文讨论)成对出现。例如,对于DHCP强制来说, EC是客户端元素,而ES是服务器元素。微软公司为EC和ES定义了“enforcement “API,这样,第三方厂商能够使自己的强制技术融入NAP平台。 (2)NAP服务器 NAP服务器或称NAP强
10、制服务器是指支持NAP平台的计算机,也就是装有Windows Server “Lonhorn”的机器。一个NAP服务器包含一个或多个ES(强制服务器元素),ES与NAP客户端的EC进行通信。 NAP服务器上的ES元素,从其对应的NAP客户端的EC中获得一系列的SOH并把它传送到NP S服务器。同样的,它从NP S服务器中接收一系列SOR,并把它传送给它对应的NAP客户端上的EC o NAP服务器与NPS服务器的通信是由RADIUS(Remote Authentication Dial-In User Service)协议所完成。 安全网络:这个区域的网络被认为是最安全的,它拥有长期的健康证书。
11、进入或流出这一区域的通信需要健康证书。这一区域包含NPS服务器和健康策略服务器(下文讨论)。 边界网络:边界网络与受限网络之间的通信不需要健康证书,而边界网络与安全网络之间的通信则需要健康证书。NAP服务器与更新服务器位于这一层。 受限网络:这一区域,在与安全网络进行通信时,需要健康证书。 (3)NPS服务器 网络策略服务器(NPS)是支持NAP平台的计算机,它装有Windows Sever“Longhorn“. o NPS是RA DIUS(AAA)服务器的Windows执行机构。NPS是InternetAuthentication Service(IAS)在Windows Server 20
12、03中的替代物。网络接入设备和NAP服务器是NPS服务器的RADIUS客户端。对一个网络连接请求,NPS执行认证和授权功能。它根据配置好的系统健康策略,确定计算机的健康依从性,并限制不具备健康依从性的计算机接入网络。 一个NP S服务器又可进一步分为以下几个组成部分: SHV层:由一个或多个SHV兀素组成。SHV是指系统健康验证程序,它定义系统的服从性要求,并同对应的策略服务器一起验证健康声明(SOH)。对一个安全应用来说,SHA-SHV是特定的。 SHV API层:这个API定义了SHV元素与NAP执行服务器之间的接口。第三方厂商能够使用这个API,使自己的SHV融入NAP平台中。 NAP执
13、行服务器:这一层帮助NPS与SHV进行通信,并且根据配置好的一系列安全策略,进行系统服从性分析。 NP S层:这一层帮助NAP服务器与NAP执行服务器进行通信。这一层也包含了EC元素,以供802.1X执行。,4,具体配置,1、服务器端配置 (1)配置AD与DNS: 不多做说明,强调的是 要配置成域服务器,并且配置DNS服务器 在AD中添加组,并且添加成员隶属于组。成员用户名密码。 (2)配置DHCP: 不需要ipv6 , ipv4中 作用域是 一个vlan一个,方便之后管理,然后配置地址分发的范围。,第4章 具体配置,第4章 具体配置,(3)安装网络策略和访问服务 可以安装核心的NPS服务,足
14、以使服务端的2008R2计算机来充当802.1X、VPN或者DHCP强制的RADIUS服务器。,第4章 具体配置,(4)配置NAP,配置客户端,第4章 具体配置,启动Network Access Protection Agent服务 启动Wired AutoConfig服务 启动Wireless Zero Configuration服务 打开本地连接的属性,勾选启用IEEE 802.1X身份验证,选择启用PEAP的认证方式。,第4章 具体配置,配置GNS3,实验使用的拓扑图如上所示。Windows server 2008R2 连接在C1下,接口为f1/8 ;客户端的pc连接在C2下,接口为f1
15、/1。,第4章 具体配置,配置GNS3,aaa new-model aaa authentication login noacs line none lin console 0 login authentication noacs lin aux 0 login authentication noacs 线下保护策略 R1#conf t R1(config)# R1(config)#vlan 100 R1(config-vlan)#name server R1(config-vlan)#int vlan 100 R1(config-if)#ip add 10.1.1.100 255.255.2
16、55.0 R1(config-if)#ip helper-address 10.1.1.1 R1(config-if)#exit R1(config)# R1(config)#vlan 2 R1(config-vlan)#name sales R1(config-vlan)#int vlan 2 R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#exit,R1(config)#int f1/8 R1(config-if)#switchport mode access R1(config-if)#switchport access vlan 100 R1(config-if)#exit R1(config)#aaa R1(config)#aaa new R1(config)#aaa new-model R1(config)#aaa authentication login nologin line none R1(config)#
