实战:使用NAP控制DHCP客户端接入网络

本文涉及的产品
云防火墙,500元 1000GB
全局流量管理 GTM,标准版 1个月
.cn 域名,1个 12个月
简介:

9.2 实战:使用NAP控制DHCP客户端接入网络

NAP可以使用DHCP来强制健康策略,可以帮助抵御病毒,蠕虫和恶意软件的攻击。

DHCP强制包含DHCP NAPS ES组件和DHCP NAP EC组件。

使用DHCP 强制,DHCP server可以在计算机尝试租借和更新IP地址强制健康策略要求。

DHCP强制是最容易的强制,因为DHCP强制依赖IP路由表中的条目,所以是最薄弱的限制。

在NAP客户和DHCP服务器之间,NAP客户端使用DHCP message来获得一个合法的IP V4地址设置,并指示它的健康状态, NAP server使用DHCP message分配设置为限制网络的IPV4地址设置,并且指示修正服务器。

企业场景:

微软动手实战室发现经常有一些不满足公司安全策略(例如没有使用最新的病毒库)的计算机接入网络,从公司的DHCP服务器获得TCP/IP配置从而访问公司网络,这带来了巨大的风险。他们决定使用Windows Server 2008最新的网络访问保护(NAP)技术来控制这些客户端从DHCP服务器获得配置,从而达到控制它们对公司内网访问的目标。

实战目标:

u 控制DHCP客户端的接入

u 没有启用Windows 防火墙的计算机从DHCP服务器获得IP地址后只能访问“受限网络”

u 启用Windows防火墙的计算机从DHCP服务器获得IP地址后能够访问“公司网络”和“受限网络”

网络拓扑:

clip_image001

图 9-2 实战场景

实战环境:

u DCServer服务器安装Windows Server 2008企业版,是ESS.COM域的成员,安装企业根证书颁发机构和DNS服务。

u DHCP-NPS计算机安装Windows Server 2008企业版,是域中的成员,安装DHCP服务器角色。

u “受限网络”的中有一台计算机,IP地址为172.16.0.100,在这里是DCServer的IP地址。

u “公司网络”中有台计算机,IP地址为172.16.0.200,在本实战为FileServer的IP地址。

u Vista计算机安装Vista企业版操作系统,配置为DHCP客户端

9.2.1在DHCPServer上安装和配置网络策略服务

任务:

u 安装网络策略服务

步骤:

1. 如图9-3所示,在DHCP-NPS上,以域管理员身份登录,打开服务器管理器,点击“添加角色”。

2. 如图9-4所示,在出现的开始之前向导对话框,点击“下一步”。

clip_image002 clip_image003

图 9-3 添加角色 图 9-4 向导

3. 如图9-5所示,在出现的选择服务器角色对话框,选中“网络策略和访问服务”,点击“下一步”。

4. 如图9-6所示,在出现的网络策略和访问服务器简介对话框,点击“下一步”。

clip_image004clip_image005

图 9-5 选择角色 图 9-6 网络策略和访问服务简介

5. 如图9-7所示,在出现的选择角色服务对话框,选择“网络策略服务器”,点击“下一步”。

6. 如图9-8所示,在出现的确认安装选择对话框,点击“安装”。

clip_image006 clip_image007

图 9-7 选择角色服务 图 9-8 确认安装

7. 如图9-9所示,在出现的安装结果对话框,点击“关闭”。

clip_image008

图 9-9 安装结果

9.2.2 在DHCP-NPS上配置NAP策略

任务:

u 新建更新服务器组

u 配置系统健康验证服务器

u 使用向导创建NAP for DHCP

步骤:

1. 点击“开始”à“程序”à“管理工具”à“网络策略服务器”,打开网络策略服务器管理工具。

2. 如图9-10所示,右击“更新服务器组”,点击“新建”。

3. 如图9-11所示,在出现的新建更新服务器组对话框,输入组名,点击“添加”。

clip_image009 clip_image010

图 9-10 新建更新服务器组 图 9-11 新建更新服务器组

4. 如图9-12所示,在出现的添加新服务器对话框,输入友好名称和服务器的DNS名称,点击“解析”。

5. 如图9-13所示,在新建更新服务器组对话框,点击“添加”。

clip_image011clip_image012

图 9-12 添加更新服务器 图 9-13 添加更新服务器

6. 如图9-14所示,在出现的添加服务器对话框,输入友好名称和DNS名称,点击“解析”。

7. 如图9-15所示,在新建更新服务器组对话框,点击“确定”。

clip_image013 clip_image014

图 9-14 添加更新服务器 图 9-15 添加更新服务器

8. 如图9-16所示,点中“系统健康验证器”,右击“Windows 安全健康验证程序”,点击“属性”。

9. 如图9-17所示,在出现的Windows安全健康验证程序属性对话框,点击“配置”。

clip_image015 clip_image016

图 9-16 打开Windows 安全健康验证程序 图 9-17配置Windows 安全健康验证程序

10. 如图9-18所示,在出现的Windows 安全健康验证程序对话框,选中“已为所有网络连接启用防火墙”,点击“确定“。

11. 如图9-19所示,点中“NPS(本地)”,点击“配置NAP”。

clip_image017 clip_image018

图 9-18 配置Windows 安全健康验证程序 图 9-19 打开NAP配置向导

12. 如图9-20所示,在出现的选择与NAP一起使用的网络连接方法对话框,选择“主动主机配置协议(DHCP)”,输入策略名称“NAP DHCP”,点击“下一步”。

13. 如图9-21所示,在出现的指定NAP强制服务器运行DHCP服务器对话框,点击“下一步”。

clip_image019clip_image020

图 9-20 选择连接方法和输入策略名称 图 9-21 NAP向导

14. 在出现的指定DHCP作用域对话框,点击“添加”.

15. 如图9-22所示,在出现的MS-Service类对话框,输入“LocalOffice”,点击“确定”。

16. 如图9-23所示,在出现的配置用户组和计算机组对话框,点击“下一步”。

clip_image021clip_image022

图 9-22 指定DHCP作用域 图 9-23 NAP向导

17. 如图9-24所示,在出现的指定NAP更新服务器组和URL对话框,选择“UpdateServer1”,点击“下一步”。

18. 如图9-25所示,在出现的定义NAP健康策略对话框,去掉选择“启用客户端计算机自动更新”,选择“拒绝对不具有NAP功能的客户端计算机的完全网络访问权限。只允许访问受限的网络”。(不启用自动更新,能够在测试中看到受限访问的结果)

clip_image023clip_image024

图 9-24 选择更新服务器组 图 9-25 定义NAP健康策略

19. 如图9-26所示,在出现的正在完成NAP增强策略和RADIUS客户端配置对话框,点击“完成”。

20. 如图9-27所示,点击“连接请求策略”,可以看到刚才创建的策略。

clip_image025 clip_image026

图 9-26 完成向导 图 9-27 查看连接请求策略

21. 如图9-28所示,点中“网络策略”,可以看到向导创建的网络策略。

22. 如图9-29所示,点击“健康策略”,可以看到向导自动创建的健康策略。

clip_image027 clip_image028

图 9-28 查看网络策略 图 9-29 查看健康策略

9.2.3 配置DHCP支持NAP

任务:

u 配置DHCP支持NAP

u 并为不符合策略的计算机分配特定的DNS域名

步骤:

1. 点击“开始”à“程序”à“管理工具”à“DHCP”,打开DHCP服务管理工具。

2. 如图9-30所示,右击IPv4下的作用域,点击“属性”。

3. 如图9-31所示,在出现的作用域属性对话框,在网络访问保护标签下,选择“对此作用域启用”,选择“使用自定义配置文件”,输入“LocalOffice”

clip_image029 clip_image030

图 9-30 配置DHCP支持NAP 图 9-31 指定配置文件名

4. 如图9-32所示,右击“作用域选项”,点击“配置选项”。

5. 如图9-33所示,在出现的作用域选项对话框,在高级标签下,用户类别选择“默认的网络访问保护级别”,选中“015 DNS域名”,字符串输入“restrict.ess.com”,点击“确定”。

clip_image031 clip_image032

图 9-32 配置作用域选项 图 9-33 为受限的计算机指定DNS域名

6. 如图9-34所示,点击“作用域选项”,在可以看到两个DNS域名。

clip_image033

图 9-34 配置的作用域选项

9.2.4在Vista技术计算机上测试NAP

任务:

u 关闭Vista计算机的Windows防火墙

u 启用并配置NAP客户端

u 测试NAP阻止计算机访问公司网络

步骤:

1. 在Vista上,以管理员的身份登录。

2. 如图9-35所示,点击“开始”à“设置”à“控制面板”à“Windows防火墙”,在出现的Windows防火墙对话框,点击“启用或关闭Windows防火墙”。

3. 如图9-36所示,在出现的Windows防火墙设置对话框,在常规标签下,选择“关闭”,点击“确定”,关闭Windows防火墙。这样就不符合安全策略了。

clip_image034clip_image035

图 9-35 更改Windows防火墙 图 9-36 关闭Windows防火墙

4. 如图9-37所示,点击“开始”à“运行”,输入napclcfg.msc,点击“确定”,打开NAP客户端。

5. 如图9-38所示,点中“强制客户端”,右击“DHCP隔离强制客户端”,点击“启用”。

clip_image036 clip_image037

图 9-37 打开NAP客户端 图 9-38 启用DHCP隔离强制客户端

6. 如图9-39所示,点击“开始”à“运行”,输入services.msc,打开服务管理工具。

7. 如图9-40所示,右击“Network Access Protection Agent”,点击“属性”。

clip_image038 clip_image039

图 9-39 打开服务管理器 图 9-40 打开服务属性

8. 如图9-41所示,在出现的Network Access Protection Agent的属性对话框,启动类型选择“自动”,启动该服务。

9. 如图9-42所示,点击“开始”à“设置”à“网络连接”,双击“本地连接”,将IP地址和DNS设置成自动获得。

clip_image040clip_image041

图 9-41 设置为自动启动 图 9-42 配置IP地址和DNS自动获得

10. 如图9-43所示,在命令提示符下输入ipconfig,可以看到获得的IP地址和DNS后缀为restrict.ess.com,点击开始菜单出现的clip_image042图标,提示此计算机不符合该网络的要求,网络访问受限制。

11. 如图9-44所示,在命令提示符下输入route print 查看路由表。只有到受限网络的路由表,没有到公司网络的路由表,NAP就是通过设置客户端的路由表实现的访问控制。对于网络高手来说,很容易突破该限制。

clip_image043 clip_image044

图 9-43 验证NAP 图 9-44 查看路由表

12. 如图9-45所示,点击开始菜单出现的clip_image042[1]图标,在出现的网络访问保护对话框,可以看到修结果:管理员必须启用与Windows安全中心兼容的防火墙程序。

13. 如图9-46所示,打开网络和共享中心,可以看到提示“网络访问可能受限制”。

clip_image045clip_image046

图 9-45 查看受限的详细信息 图 9-46 从网络和共享中心查看受限状态

14. 如图9-47所示,在命令提示符下,测试到UpdateServer的连通性,测试到公司网络的连通性。在受限访问情况下只能访问,更新服务器组定义的IP地址。

15. 如图9-48所示,启用防火墙。

clip_image047clip_image048

图 9-47 测试到受限网络和公司网络连通性 图 9-48 启用Windows防火墙

16. 如图9-49所示,很快可以看到提示提示“此计算机符合该网络的要求,您具有完全的网络访问权限”。同时输入ipconfig /all可以看到符合安全后获得的DNS后缀。

17. 如图9-50所示,在命令提示符下测试到公司网络的连通性。发现能够和公司网络通信。

clip_image049 clip_image050

图 9-49 符合安全策略后的变化 图 9-50 测试到公司网络连通性




本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1131972,如需转载请自行联系原作者

相关文章
|
17天前
|
数据采集 存储 JSON
Python网络爬虫:Scrapy框架的实战应用与技巧分享
【10月更文挑战第27天】本文介绍了Python网络爬虫Scrapy框架的实战应用与技巧。首先讲解了如何创建Scrapy项目、定义爬虫、处理JSON响应、设置User-Agent和代理,以及存储爬取的数据。通过具体示例,帮助读者掌握Scrapy的核心功能和使用方法,提升数据采集效率。
60 6
|
5天前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
17 2
|
7天前
|
网络协议 网络安全 数据安全/隐私保护
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
26 4
|
18天前
|
数据采集 前端开发 中间件
Python网络爬虫:Scrapy框架的实战应用与技巧分享
【10月更文挑战第26天】Python是一种强大的编程语言,在数据抓取和网络爬虫领域应用广泛。Scrapy作为高效灵活的爬虫框架,为开发者提供了强大的工具集。本文通过实战案例,详细解析Scrapy框架的应用与技巧,并附上示例代码。文章介绍了Scrapy的基本概念、创建项目、编写简单爬虫、高级特性和技巧等内容。
40 4
|
17天前
|
网络协议 网络安全 数据安全/隐私保护
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
【10月更文挑战第27天】计算机主机网关的作用类似于小区传达室的李大爷,负责将内部网络的请求转发到外部网络。当小区内的小不点想与外面的小明通话时,必须通过李大爷(网关)进行联系。网关不仅帮助内部设备与外部通信,还负责路由选择,确保数据包高效传输。此外,网关还参与路由表的维护和更新,确保网络路径的准确性。
40 2
|
18天前
|
网络协议 物联网 API
Python网络编程:Twisted框架的异步IO处理与实战
【10月更文挑战第26天】Python 是一门功能强大且易于学习的编程语言,Twisted 框架以其事件驱动和异步IO处理能力,在网络编程领域独树一帜。本文深入探讨 Twisted 的异步IO机制,并通过实战示例展示其强大功能。示例包括创建简单HTTP服务器,展示如何高效处理大量并发连接。
39 1
|
19天前
|
网络协议 安全 NoSQL
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
|
19天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
|
17天前
|
网络协议 调度 开发者
Python网络编程:Twisted框架的异步IO处理与实战
【10月更文挑战第27天】本文介绍了Python网络编程中的Twisted框架,重点讲解了其异步IO处理机制。通过反应器模式,Twisted能够在单线程中高效处理多个网络连接。文章提供了两个实战示例:一个简单的Echo服务器和一个HTTP服务器,展示了Twisted的强大功能和灵活性。
28 0
|
19天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9-2):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!