实战:使用NAP控制DHCP客户端接入网络

本文涉及的产品
.cn 域名,1个 12个月
云解析DNS,个人版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

9.2 实战:使用NAP控制DHCP客户端接入网络

NAP可以使用DHCP来强制健康策略,可以帮助抵御病毒,蠕虫和恶意软件的攻击。

DHCP强制包含DHCP NAPS ES组件和DHCP NAP EC组件。

使用DHCP 强制,DHCP server可以在计算机尝试租借和更新IP地址强制健康策略要求。

DHCP强制是最容易的强制,因为DHCP强制依赖IP路由表中的条目,所以是最薄弱的限制。

在NAP客户和DHCP服务器之间,NAP客户端使用DHCP message来获得一个合法的IP V4地址设置,并指示它的健康状态, NAP server使用DHCP message分配设置为限制网络的IPV4地址设置,并且指示修正服务器。

企业场景:

微软动手实战室发现经常有一些不满足公司安全策略(例如没有使用最新的病毒库)的计算机接入网络,从公司的DHCP服务器获得TCP/IP配置从而访问公司网络,这带来了巨大的风险。他们决定使用Windows Server 2008最新的网络访问保护(NAP)技术来控制这些客户端从DHCP服务器获得配置,从而达到控制它们对公司内网访问的目标。

实战目标:

u 控制DHCP客户端的接入

u 没有启用Windows 防火墙的计算机从DHCP服务器获得IP地址后只能访问“受限网络”

u 启用Windows防火墙的计算机从DHCP服务器获得IP地址后能够访问“公司网络”和“受限网络”

网络拓扑:

clip_image001

图 9-2 实战场景

实战环境:

u DCServer服务器安装Windows Server 2008企业版,是ESS.COM域的成员,安装企业根证书颁发机构和DNS服务。

u DHCP-NPS计算机安装Windows Server 2008企业版,是域中的成员,安装DHCP服务器角色。

u “受限网络”的中有一台计算机,IP地址为172.16.0.100,在这里是DCServer的IP地址。

u “公司网络”中有台计算机,IP地址为172.16.0.200,在本实战为FileServer的IP地址。

u Vista计算机安装Vista企业版操作系统,配置为DHCP客户端

9.2.1在DHCPServer上安装和配置网络策略服务

任务:

u 安装网络策略服务

步骤:

1. 如图9-3所示,在DHCP-NPS上,以域管理员身份登录,打开服务器管理器,点击“添加角色”。

2. 如图9-4所示,在出现的开始之前向导对话框,点击“下一步”。

clip_image002 clip_image003

图 9-3 添加角色 图 9-4 向导

3. 如图9-5所示,在出现的选择服务器角色对话框,选中“网络策略和访问服务”,点击“下一步”。

4. 如图9-6所示,在出现的网络策略和访问服务器简介对话框,点击“下一步”。

clip_image004clip_image005

图 9-5 选择角色 图 9-6 网络策略和访问服务简介

5. 如图9-7所示,在出现的选择角色服务对话框,选择“网络策略服务器”,点击“下一步”。

6. 如图9-8所示,在出现的确认安装选择对话框,点击“安装”。

clip_image006 clip_image007

图 9-7 选择角色服务 图 9-8 确认安装

7. 如图9-9所示,在出现的安装结果对话框,点击“关闭”。

clip_image008

图 9-9 安装结果

9.2.2 在DHCP-NPS上配置NAP策略

任务:

u 新建更新服务器组

u 配置系统健康验证服务器

u 使用向导创建NAP for DHCP

步骤:

1. 点击“开始”à“程序”à“管理工具”à“网络策略服务器”,打开网络策略服务器管理工具。

2. 如图9-10所示,右击“更新服务器组”,点击“新建”。

3. 如图9-11所示,在出现的新建更新服务器组对话框,输入组名,点击“添加”。

clip_image009 clip_image010

图 9-10 新建更新服务器组 图 9-11 新建更新服务器组

4. 如图9-12所示,在出现的添加新服务器对话框,输入友好名称和服务器的DNS名称,点击“解析”。

5. 如图9-13所示,在新建更新服务器组对话框,点击“添加”。

clip_image011clip_image012

图 9-12 添加更新服务器 图 9-13 添加更新服务器

6. 如图9-14所示,在出现的添加服务器对话框,输入友好名称和DNS名称,点击“解析”。

7. 如图9-15所示,在新建更新服务器组对话框,点击“确定”。

clip_image013 clip_image014

图 9-14 添加更新服务器 图 9-15 添加更新服务器

8. 如图9-16所示,点中“系统健康验证器”,右击“Windows 安全健康验证程序”,点击“属性”。

9. 如图9-17所示,在出现的Windows安全健康验证程序属性对话框,点击“配置”。

clip_image015 clip_image016

图 9-16 打开Windows 安全健康验证程序 图 9-17配置Windows 安全健康验证程序

10. 如图9-18所示,在出现的Windows 安全健康验证程序对话框,选中“已为所有网络连接启用防火墙”,点击“确定“。

11. 如图9-19所示,点中“NPS(本地)”,点击“配置NAP”。

clip_image017 clip_image018

图 9-18 配置Windows 安全健康验证程序 图 9-19 打开NAP配置向导

12. 如图9-20所示,在出现的选择与NAP一起使用的网络连接方法对话框,选择“主动主机配置协议(DHCP)”,输入策略名称“NAP DHCP”,点击“下一步”。

13. 如图9-21所示,在出现的指定NAP强制服务器运行DHCP服务器对话框,点击“下一步”。

clip_image019clip_image020

图 9-20 选择连接方法和输入策略名称 图 9-21 NAP向导

14. 在出现的指定DHCP作用域对话框,点击“添加”.

15. 如图9-22所示,在出现的MS-Service类对话框,输入“LocalOffice”,点击“确定”。

16. 如图9-23所示,在出现的配置用户组和计算机组对话框,点击“下一步”。

clip_image021clip_image022

图 9-22 指定DHCP作用域 图 9-23 NAP向导

17. 如图9-24所示,在出现的指定NAP更新服务器组和URL对话框,选择“UpdateServer1”,点击“下一步”。

18. 如图9-25所示,在出现的定义NAP健康策略对话框,去掉选择“启用客户端计算机自动更新”,选择“拒绝对不具有NAP功能的客户端计算机的完全网络访问权限。只允许访问受限的网络”。(不启用自动更新,能够在测试中看到受限访问的结果)

clip_image023clip_image024

图 9-24 选择更新服务器组 图 9-25 定义NAP健康策略

19. 如图9-26所示,在出现的正在完成NAP增强策略和RADIUS客户端配置对话框,点击“完成”。

20. 如图9-27所示,点击“连接请求策略”,可以看到刚才创建的策略。

clip_image025 clip_image026

图 9-26 完成向导 图 9-27 查看连接请求策略

21. 如图9-28所示,点中“网络策略”,可以看到向导创建的网络策略。

22. 如图9-29所示,点击“健康策略”,可以看到向导自动创建的健康策略。

clip_image027 clip_image028

图 9-28 查看网络策略 图 9-29 查看健康策略

9.2.3 配置DHCP支持NAP

任务:

u 配置DHCP支持NAP

u 并为不符合策略的计算机分配特定的DNS域名

步骤:

1. 点击“开始”à“程序”à“管理工具”à“DHCP”,打开DHCP服务管理工具。

2. 如图9-30所示,右击IPv4下的作用域,点击“属性”。

3. 如图9-31所示,在出现的作用域属性对话框,在网络访问保护标签下,选择“对此作用域启用”,选择“使用自定义配置文件”,输入“LocalOffice”

clip_image029 clip_image030

图 9-30 配置DHCP支持NAP 图 9-31 指定配置文件名

4. 如图9-32所示,右击“作用域选项”,点击“配置选项”。

5. 如图9-33所示,在出现的作用域选项对话框,在高级标签下,用户类别选择“默认的网络访问保护级别”,选中“015 DNS域名”,字符串输入“restrict.ess.com”,点击“确定”。

clip_image031 clip_image032

图 9-32 配置作用域选项 图 9-33 为受限的计算机指定DNS域名

6. 如图9-34所示,点击“作用域选项”,在可以看到两个DNS域名。

clip_image033

图 9-34 配置的作用域选项

9.2.4在Vista技术计算机上测试NAP

任务:

u 关闭Vista计算机的Windows防火墙

u 启用并配置NAP客户端

u 测试NAP阻止计算机访问公司网络

步骤:

1. 在Vista上,以管理员的身份登录。

2. 如图9-35所示,点击“开始”à“设置”à“控制面板”à“Windows防火墙”,在出现的Windows防火墙对话框,点击“启用或关闭Windows防火墙”。

3. 如图9-36所示,在出现的Windows防火墙设置对话框,在常规标签下,选择“关闭”,点击“确定”,关闭Windows防火墙。这样就不符合安全策略了。

clip_image034clip_image035

图 9-35 更改Windows防火墙 图 9-36 关闭Windows防火墙

4. 如图9-37所示,点击“开始”à“运行”,输入napclcfg.msc,点击“确定”,打开NAP客户端。

5. 如图9-38所示,点中“强制客户端”,右击“DHCP隔离强制客户端”,点击“启用”。

clip_image036 clip_image037

图 9-37 打开NAP客户端 图 9-38 启用DHCP隔离强制客户端

6. 如图9-39所示,点击“开始”à“运行”,输入services.msc,打开服务管理工具。

7. 如图9-40所示,右击“Network Access Protection Agent”,点击“属性”。

clip_image038 clip_image039

图 9-39 打开服务管理器 图 9-40 打开服务属性

8. 如图9-41所示,在出现的Network Access Protection Agent的属性对话框,启动类型选择“自动”,启动该服务。

9. 如图9-42所示,点击“开始”à“设置”à“网络连接”,双击“本地连接”,将IP地址和DNS设置成自动获得。

clip_image040clip_image041

图 9-41 设置为自动启动 图 9-42 配置IP地址和DNS自动获得

10. 如图9-43所示,在命令提示符下输入ipconfig,可以看到获得的IP地址和DNS后缀为restrict.ess.com,点击开始菜单出现的clip_image042图标,提示此计算机不符合该网络的要求,网络访问受限制。

11. 如图9-44所示,在命令提示符下输入route print 查看路由表。只有到受限网络的路由表,没有到公司网络的路由表,NAP就是通过设置客户端的路由表实现的访问控制。对于网络高手来说,很容易突破该限制。

clip_image043 clip_image044

图 9-43 验证NAP 图 9-44 查看路由表

12. 如图9-45所示,点击开始菜单出现的clip_image042[1]图标,在出现的网络访问保护对话框,可以看到修结果:管理员必须启用与Windows安全中心兼容的防火墙程序。

13. 如图9-46所示,打开网络和共享中心,可以看到提示“网络访问可能受限制”。

clip_image045clip_image046

图 9-45 查看受限的详细信息 图 9-46 从网络和共享中心查看受限状态

14. 如图9-47所示,在命令提示符下,测试到UpdateServer的连通性,测试到公司网络的连通性。在受限访问情况下只能访问,更新服务器组定义的IP地址。

15. 如图9-48所示,启用防火墙。

clip_image047clip_image048

图 9-47 测试到受限网络和公司网络连通性 图 9-48 启用Windows防火墙

16. 如图9-49所示,很快可以看到提示提示“此计算机符合该网络的要求,您具有完全的网络访问权限”。同时输入ipconfig /all可以看到符合安全后获得的DNS后缀。

17. 如图9-50所示,在命令提示符下测试到公司网络的连通性。发现能够和公司网络通信。

clip_image049 clip_image050

图 9-49 符合安全策略后的变化 图 9-50 测试到公司网络连通性




本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1131972,如需转载请自行联系原作者

相关文章
|
22天前
|
Java
【实战演练】JAVA网络编程高手养成记:URL与URLConnection的实战技巧,一学就会!
【6月更文挑战第22天】在Java网络编程中,理解和运用URL与URLConnection是关键。URL代表统一资源定位符,用于标识网络资源;URLConnection则用于建立与URL指定资源的连接。通过构造URL对象并调用openConnection()可创建URLConnection。示例展示了如何发送GET请求读取响应,以及如何设置POST请求以发送数据。GET将参数置于URL,POST将参数置于请求体。练习这些基本操作有助于提升网络编程技能。
|
3天前
|
存储 算法 Python
Python图论实战:从零基础到精通DFS与BFS遍历,轻松玩转复杂网络结构
【7月更文挑战第11天】图论在数据科学中扮演关键角色,用于解决复杂网络问题。Python因其易用性和库支持成为实现图算法的首选。本文通过问答形式介绍DFS和BFS,图是节点和边的数据结构,遍历用于搜索和分析。Python中图可表示为邻接表,DFS用递归遍历,BFS借助队列。DFS适用于深度探索,BFS则用于最短路径。提供的代码示例帮助理解如何在Python中应用这两种遍历算法。开始探索图论,解锁更多技术可能!
18 6
|
14天前
|
Java API 开发者
Java网络编程基础与Socket通信实战
Java网络编程基础与Socket通信实战
|
9天前
|
网络协议 网络架构
【网络编程入门】TCP与UDP通信实战:从零构建服务器与客户端对话(附简易源码,新手友好!)
在了解他们之前我们首先要知道网络模型,它分为两种,一种是OSI,一种是TCP/IP,当然他们的模型图是不同的,如下
|
12天前
|
Java API 开发者
Java网络编程基础与Socket通信实战
Java网络编程基础与Socket通信实战
|
12天前
|
Java API
Java网络编程实战指南与示例代码
Java网络编程实战指南与示例代码
|
15天前
|
SQL 安全 网络安全
网络安全攻防实战:黑客与白帽子的较量
【6月更文挑战第29天】网络安全战场,黑客与白帽子的博弈日益激烈。黑客利用漏洞扫描、DDoS、SQL注入等手段发起攻击,而白帽子则通过防火墙、入侵检测、数据加密等技术防守。双方在技术与智慧的较量中,未来将更多融入AI、区块链等先进技术,提升攻防效率与安全性。面对网络威胁,提升技能与意识至关重要。
|
18天前
|
运维 关系型数据库 MySQL
PolarDB产品使用问题之怎么把将客户端所在的网络和实例配置到同一环境去
PolarDB产品使用合集涵盖了从创建与管理、数据管理、性能优化与诊断、安全与合规到生态与集成、运维与支持等全方位的功能和服务,旨在帮助企业轻松构建高可用、高性能且易于管理的数据库环境,满足不同业务场景的需求。用户可以通过阿里云控制台、API、SDK等方式便捷地使用这些功能,实现数据库的高效运维与持续优化。
|
9天前
|
网络协议 Linux 开发工具
配置Linux固定IP地址,为什么要固定IP,因为他是通DHCP服务获取的,DHCP服务每次重启都会重新获取一次ip,VMware编辑中有一个虚拟网络编辑器
配置Linux固定IP地址,为什么要固定IP,因为他是通DHCP服务获取的,DHCP服务每次重启都会重新获取一次ip,VMware编辑中有一个虚拟网络编辑器
|
10天前
|
安全 NoSQL Java
网络安全-----Redis12的Java客户端----客户端对比12,Jedis介绍,使用简单安全性不足,lettuce(官方默认)是基于Netty,支持同步,异步和响应式,并且线程是安全的,支持R
网络安全-----Redis12的Java客户端----客户端对比12,Jedis介绍,使用简单安全性不足,lettuce(官方默认)是基于Netty,支持同步,异步和响应式,并且线程是安全的,支持R