NAP 服务器端体系结构
注意
从Windows 10开始,网络访问保护平台不可用
NAP 服务器端平台体系结构使用运行 Windows Server 2008 的计算机。 下图显示了 NAP 平台的服务器端支持的体系结构,其中包括基于 Windows 的 NAP 强制点和 NAP 运行状况策略服务器。
基于 Windows 的 NAP 强制点具有一层 NAP 强制服务器 (ES) 组件。 每个 NAP ES 都是针对不同类型的网络访问或通信定义的。 例如,有一个 NAP ES 用于远程访问 VPN 连接,一个 NAP ES 用于 DHCP 配置。 NAP ES 通常与支持 NAP 的特定类型的客户端匹配。 例如,DHCP NAP ES 旨在与基于 DHCP 的 NAP 强制客户端 (EC) 配合使用。 第三方软件供应商或 Microsoft 可以为 NAP 平台提供其他 NAP ES。 NAP ES 从其相应的 NAP EC 获取系统运行状况声明 (SSoH) ,并将其作为远程身份验证拨入用户服务 (RADIUS) 供应商特定的属性发送到 NAP 运行状况策略服务器, (RADIUS Access-Request消息的 VSA)
如服务器端体系结构图中所示,NAP 运行状况策略服务器具有以下组件:
网络策略服务器 (NPS) 服务
接收 RADIUS Access-Request消息,提取 SSoH,并将其传递给 NAP 管理服务器组件。 NPS 服务随 Windows Server 2008 一起提供。
NAP 管理服务器
促进 NPS 服务与系统运行状况验证程序之间的通信, (SHV) 。 NAP 管理服务器组件随 NAP 平台一起提供。
SHV 组件的层
每个 SHV 都是针对一种或多种类型的系统运行状况信息定义的,并且可以与 SHA 匹配。 例如,防病毒程序可能有 SHV。 可以将 SHV 与一个或多个运行状况要求服务器匹配。 例如,用于检查防病毒签名的 SHV 与包含最新签名文件的服务器匹配。 SHV 不必具有相应的运行状况要求服务器。 SHV 只能指示支持 NAP 的客户端检查本地系统设置,以确保启用基于主机的防火墙。 Windows Server 2008 包括 Windows 安全中心 Health Validator (WSHV) 。 其他 SHV 由第三方软件供应商或 Microsoft 作为 NAP 平台的加载项提供。
SHV API
提供一组函数调用,允许 SHV 向 NAP 管理服务器组件注册,从 NAP 管理服务器组件接收运行状况声明 (SoHs) ,并将 (SoHR) 的运行状况响应声明发送到 NAP 管理服务器组件。 SHV API 随 NAP 平台一起提供。 请参阅以下 NAP 接口: INapSystemHealthValidator 和 INapSystemHealthValidationRequest。
如前所述,NAP 服务器端基础结构的更常见配置包括提供特定类型的网络访问或通信的 NAP 强制点,以及提供系统运行状况验证和修正的独立 NPS 运行状况策略服务器。 可以在单个基于 Windows 的 NAP 强制点上安装 NPS 服务作为 NAP 运行状况策略服务器。 但是,在此配置中,每个 NAP 强制点必须分别配置网络访问和运行状况策略。 建议的配置是使用单独的 NAP 运行状况策略服务器。
整个 NAP 体系结构由以下组件集组成:
- 三个 NAP 客户端组件 (SHA 层、NAP 代理和 NAP EC 层) 。
- 四个 NAP 服务器端组件 (SHV 层、NAP 管理服务器、NPS 服务和基于 Windows 的 NAP 强制点上的 NAP ES 层) 。
- 运行状况要求服务器,即可为 NAP 运行状况策略服务器提供当前系统运行状况要求的计算机。
- 修正服务器是包含运行状况更新资源的计算机,NAP 客户端可以访问这些资源来修正其不符合状态。
下图显示了 NAP 平台组件之间的关系。
请注意以下组件集的匹配:
通常匹配 NAP ECs 和 NAP ES。
例如,NAP 客户端上的 DHCP NAP EC 与 DHCP 服务器上的 DHCP NAP ES 匹配。
可以匹配 SHA 和修正服务器。
例如,客户端上的防病毒 SHA 与防病毒签名修正服务器匹配。
可以匹配 SHV 和运行状况要求服务器。
例如,NAP 运行状况策略服务器上的防病毒 SHV 可以匹配到防病毒运行状况要求服务器。
第三方软件供应商可以通过以下方式扩展 NAP 平台:
创建一个新方法,用于评估 NAP 客户端的运行状况。
第三方软件供应商必须为 NAP 客户端创建 SHA,为 NAP 运行状况策略服务器创建 SHV,并根据需要创建运行状况要求和修正服务器。 如果运行状况要求或修正服务器(如防病毒签名分发服务器)已存在,则只需创建相应的 SHA 和 SHV 组件。 在某些情况下,不需要运行状况要求或修正服务器。
创建一个新方法,用于强制实施网络访问或通信的运行状况要求。
第三方软件供应商必须在 NAP 客户端上创建 NAP EC。 如果强制方法使用基于 Windows 的服务,则第三方软件供应商必须创建相应的 NAP ES,以便使用 RADIUS 协议或使用 NAP 强制点上安装的 NPS 服务作为 RADIUS 代理与 NAP 运行状况策略服务器进行通信。
以下部分进一步详细描述了 NAP 服务器端体系结构的组件。
NAP 强制服务器
NAP 强制服务器 (ES) 允许某种级别的网络访问或通信,可以将 NAP 客户端的运行状况传递给网络运行状况策略服务器进行评估,并且根据响应,可以提供有限网络访问的强制实施。
Windows Server 2008 附带的 NAP ES 如下:
用于受 IPsec 保护的通信的 IPsec NAP ES。
对于受 IPsec 保护的通信,健康注册机构 (HRA) ,运行 Windows Server 2008 和 Internet Information Services (IIS) 的计算机,该计算机从证书颁发机构 (CA) 为合规计算机获取健康证书,会将 NAP 客户端的运行状况信息传递给 NAP 运行状况策略服务器。
用于基于 DHCP 的 IP 地址配置的 DHCP NAP ES。
DHCP NAP ES 是 DHCP 服务器服务中的功能,它使用行业标准 DHCP 消息在 NAP 客户端上与 DHCP NAP EC 通信。 通过 DHCP 选项实现有限网络访问的 DHCP 强制实施。
终端服务 (TS) 网关 NAP ES,用于基于 TS 网关服务器的连接。
对于远程访问 VPN 和 802.1X 身份验证的连接,NPS 服务中的功能在 NAP 客户端和 NAP 运行状况策略服务器之间使用 PEAP-TLV 消息。 VPN 强制实施是通过应用于 VPN 连接的 IP 数据包筛选器完成的。 802.1X 强制在 802.1X 网络访问设备上完成,方法是将 IP 数据包筛选器应用于连接,或为连接分配对应于受限网络的 VLAN ID。
NAP 管理服务器
NAP 管理服务器组件提供以下服务:
- 通过 NPS 服务从 NAP ES 获取 SSoHs。
- 将 SSoHs 中的 SoHs 分发到相应的系统运行状况验证程序 (SHV) 。
- 从 SHV 收集 SoHR 并将其传递给 NPS 服务进行评估。
NPS 服务
RADIUS 是一种广泛部署的协议,支持集中身份验证、授权和记帐网络访问,如请求注释 (RFC) 2865 和 2866 中所述。 RADIUS 最初是为拨号远程访问开发的,现在支持无线接入点、验证以太网交换机、VPN 服务器、数字用户线路 (DSL) 访问服务器和其他网络访问服务器。
NPS 是 Windows Server 2008 中 RADIUS 服务器和代理的实现。 NPS 取代了 Windows Server 2003 中的 Internet 身份验证服务 (IAS) 。 对于 NAP 平台,NPS 服务包括 NAP 管理员服务器组件、对 SHV API 和可安装的 SHV 的支持,以及用于配置运行状况策略的选项。
根据 SHV 中的 SoHR 和配置的运行状况策略,NPS 服务 (SSoHR) 创建系统运行状况响应声明,该声明指示 NAP 客户端是合规还是不符合,并包括 SHV 中的 SoHR 集。
系统健康验证程序 (SHV)
SHV 从 NAP 管理服务器接收 SoH,并将系统运行状况信息与所需的系统运行状况状态进行比较。 例如,如果 SoH 来自防病毒 SHA,并且包含最后一个病毒签名文件的版本号,则相应的防病毒 SHV 可以检查防病毒运行状况要求服务器获取最新版本号,以验证 NAP 客户端的 SoH。
SHV 将 SoHR 返回到 NAP 管理服务器。 SoHR 可以包含有关 NAP 客户端上的相应 SHA 如何满足当前系统运行状况要求的信息。 例如,防病毒 SHV 发送的 SoHR 可以指示 NAP 客户端上的防病毒 SHA 按名称或 IP 地址从特定防病毒签名服务器请求最新版本的防病毒签名文件。