日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Windows Server 2008 通熟易懂的DHCP NAP

云知道

考慮這樣一個情景:某企業(yè)在內網上有數百臺計算機 。邊界防火墻能夠保護專用網絡免受internet上威脅(包括蠕蟲功擊) 。一天,一名出差員工帶著他的筆記本回到了辦公室 。在旅行的過程中,將的筆記本連接到了外部開放的無線網絡,而另一個訪客的計算機在該網絡上傳輸了一個蠕蟲 。當該人員將自己筆記本連接至專用網絡后,該蠕蟲立即蔓延至易受攻擊的計算機,這樣完全繞過了邊界安全 。很容易導致,內部網絡上幾乎所有計算機都受到感染 。
; ;“網絡訪問保護可以防止這種情況發(fā)生 。在計算機接入內部網絡之前,其必須滿足指定的健康要求,才能訪問內部網絡,如果這些計算機不滿足健康要求,那么它們將被隔離在某個網絡中 。
NAP旨在根據主機的當前健康狀態(tài),將其連接到不同的網絡資源 。(完全訪問和受限網絡)
NAP強制類型:IPsec連接安全、802.1X、VPN服務器和DHCP服務器
在硬件不支持802.1x且IPsec不可用的情況下,配置NAP DHCP強制是最常見的選擇 。雖然DHCP NAP安全性欠佳,但由于其便于演示,便于理解所有類型的NAP強制,所以這一章我們討論DHCP的NAP:
這種強制類型借助運行server2008的計算機和為企業(yè)內部網提供DHCP服務的服務器 。只有符合的計算機會收到授予完全網絡訪問權限的IP地址,而不符合的計算機會被分配到子網掩碼為255.255.255.255且沒有默認網關的ip地址 。另外,不符合的主機會收到一個修正服務器組中網絡資源的“主機路由表,將通信內容定向到某一個IP地址 。為使客戶端變?yōu)榉?,修正服務器組可以對其進行必要的更新 。這種配置是防止不符合的計算機與修正服務器組以外的網絡資源通信 。
注:DHCP客戶端手動配置ip地址可繞過DHCP服務器強制,不同于802.1x網絡訪問設備和VPN服務器能夠將計算機從網絡上斷開,IPSEC強制能夠只允許來自健康計算機的連接 。但對于非惡意用戶使用不符合的計算機連接網絡來說,DHCP服務器強制可以降低這種風險 。
目的:理解NAP作用,實現DHCP NAP
拓樸圖:
;
環(huán)境:
pc1 server2008充當DC/DNS/DHCP/NPS,安裝角色在這里就不詳貼圖了,在前面文章中都有 。
IP:172.16.1.1
;
pc2 server2008作為加入域的成員服務器,啟用網絡發(fā)現,用于驗證結果
ip:172.16.1.2
;

【Windows Server 2008 通熟易懂的DHCP NAP】pc3 vista作為工作組dhcp客戶端
;

具體步驟:
1.配置使用DHCP的NAP
2.DHCP上啟用對NAP的支持
; ; 驗證:
; ; a.沒啟用NAP代理、強制客戶端組策略設置屬于非NAP客戶端類別,受限網絡
; ; b.靜態(tài)IP,繞過DHCP服務強制
3.配置NAP客戶端組策略
; ; 驗證:
; ; c.測試符合的客戶端
; ; d.測試不符合的客戶端
補充域環(huán)境策略設置圖
步驟1:啟用dhcp的nap
方式有2種 :
a.通過手工配置,先配系統(tǒng)健康驗證程序shv,再健康策略、網絡策略、連接請求策略 。在網絡策略中可設置修正服務器
b.通過向導配置,這個使用起來簡單些,初學者建議使用,幾乎默認向導完成
;
;
當DHCP和NPS在同一臺PC上,不需設置Radius,如不在同一臺PC上,相互間要指定,在NPS服務器上指向radius客戶端為DHCP服務器,在DHCP上安裝NPS,在Radius服務器組上指向當前在用的NPS服務器(2個字:麻煩)
我在同一機器,所以保留為空
;
多作用域時,可指定具體使用NAP作用域,不指定表示所有啟用NAP的范圍
;

不指定任何組,用于所有對象
;
指環(huán)境需求,指定更新服務器

推薦閱讀