Network Access Protection là một công nghệ mới có trong Windows Server 2008

Network Access Protection là một công nghệ mới có trong Windows Server 2008.Network Access Protection là một công nghệ mới có trong Windows Server 2008, cho phép bạn có thể điều khiển những máy tính nào được phép kết nối với các máy tính khác trong mạng của mình. Network Access Protection (hoặc NAP) cho phép bạn thiết lập các chính sách “sức khỏe” mà các máy tính trong mạng phải có đủ các yếu tố này trước khi được phép truy cập mạng. Các máy tính có đầy đủ các yêu cầu cần thiết đối với chính sách truy...
Nội dung trích xuất từ tài liệu:
Network Access Protection là một công nghệ mới có trong Windows Server 2008Network Access Protection là một công nghệ mới có trong Windows Server 2008Network Access Protection là một công nghệ mới có trong WindowsServer 2008, cho phép bạn có thể điều khiển những máy tính nào đượcphép kết nối với các máy tính khác trong mạng của mình. NetworkAccess Protection (hoặc NAP) cho phép bạn thiết lập các chính sách “sứckhỏe” mà các máy tính trong mạng phải có đủ các yếu tố này trước khi đượcphép truy cập mạng. Các máy tính có đầy đủ các yêu cầu cần thiết đối vớichính sách truy cập mạng sẽ được phép truy cập vào mạng. Còn trong trườnghợp khác, máy tính có thể không hoặc bạn có thể cấu hình các chính sách đểcho phép máy tính kết nối với máy chủ “điều đình lại” nhằm cho phép máytính tính đó có thể dàn xếp và cố gắng kết nối trở lại mạng sau khi “sự điềuđình” thành công.Có nhiều cách bạn có thể thi hành một chính sách NAP. Cách đơn giản nhấtlà sử dụng NAP với sự thi hành DHCP. Tuy nhiên, phương pháp này cũng làmột phương pháp kém an toàn nhất vì người dùng có thể cấu hình một cáchthủ công địa chỉ IP trên máy tính và vòng tránh được chính sách thực thiDHCP của NAP. Phương pháp an toàn nhất cho sự thi hành NAP chính làIPsec. Khi sử dụng thực thi IPsec NAP và đồng thuận với chính sách truy cậpNAP thì máy tính sẽ được cấp phát một chứng chỉ sức khỏe để cho phép tạomột kết nối IPsec an toàn với các máy tính khác trên mạng “ảo” NAP. Tuynhiên, NAP với thực thi IPsec lại là một cấu hình phức tạp nhất trong cácphương pháp.Bản thân NAP cũng là một công nghệ khá phức tạp với hàng trăm thànhphần. Khi sử dụng NAP với thực thi IPsec, bạn sẽ thấy có nhiều phần và việckhắc phục sự cố trở nên đơn giản hơn rất nhiều. Cũng có một sự phụ thuộcđối với Group Policy, điều đó làm tăng sự phức tạp của giải pháp, nguyênnhân gây ra điều đó là bạn thường cần phải khắc phục các vấn đề với GroupPolicy khi triển khai NAP.Tất cả các khó khăn và thách thức ở trên không khiến chúng ta nản chí mà ýchúng tôi muốn nhấn mạnh ở đây là khi thực hiện triển khai này bạn phải biếtvề các thiết lập phức tạp và cấu hình của nó, để từ đó kiên nhẫn và test thậtcẩn thận trong quá trình triển khai. Càng dành nhiều thời gian để test và tìmhiểu cách làm việc của giải pháp thì bạn sẽ càng thành công trong quá trìnhtriển khai của mình.NAP với sự thực thi chính sách IPsec sẽ là một phương pháp rất mạnh trongtriển khai giải pháp NAP của bạn. bạn sẽ có hai giải pháp trong một: giảipháp thứ nhất là có được sự kiểm soát truy cập mạng NAP để cho phép bạncó thể khóa các máy tính không đảm bảo đủ các tiêu chí về “sức khỏe” kếtnối vào mạng và thứ hai đó là bạn sẽ lợi dụng trong việc cách ly miền IPsecđể từ đó có thể ngăn chặn các máy tính lừa bịp kết nối vào mạng của mình.NAP với việc cách ly miền IPsec sẽ cho phép bạn tạo một mạng ảo bên trongbiên giới các mạng vật lý của bạn. Các máy tính trong mạng riêng ảo IPseccó thể nằm trên cùng một đoạn mạng hoặc đoạn VLAN nhưng được chiađoạn ảo với nhau bằng IPsec. Các máy tính không có chứng chỉ “sức khỏe”IPsec sẽ không thể truyền thông với các máy tính “khỏe mạnh” trong mạng.Trong phần này chúng tôi sẽ giới thiệu cho các bạn từ việc khởi đầu đến kếtthúc quá trình triển khai giải pháp NAP bằng thực thi chính sách IPsec. Môitrường ban đầu rất đơn giản, các bạn có thể thấy trong hình bên dưới. Hình 1Các máy tính mà chúng ta đang sử dụng trong mạng ví dụ là:WIN2008DCĐây là máy tính Windows Server 2008 phiên bản Enterprise, máy tính nàyđóng vai trò bộ điều khiển miền msfirewall.org. Chỉ có một role máy chủ đãcài đặt trên máy tính này là Certificate Authority server role. Chúng tôi đã tạotrên máy tính này một Enterprise Root CA. Nếu các bạn muốn mirror cấuhình này, trước tiên hãy một máy đóng vai trò điều khiển miền, sau đó sẽthăng quyền thành điều khiển miền, cài đặt role CA và chọn tùy chọn RootCA. Nếu bạn muốn mirror một cấu hình CA doanh nghiệp, hãy đặt tên của nólà CA msfirewall-WIN2008DC-CA.WIN2008SRV1Đây là máy tính chạy hệ điều hành Windows Server 2008 phiên bảnEnterprise và là một máy chủ thành viên trong miền msfirewall.org. Khôngcó role máy chủ nào cấu hình trên máy này. Chúng ta sẽ cài đặt NPS serverrole trên nó và làm cho nó trở thành máy CA cấp thấp hơn, tuy nhiên nếu bạnmuốn xây dựng lab này, hãy cài đặt Windows Server 2008 trên máy tính vàthực hiện theo các hướng dẫn như chúng tôi giới thiệu trong loạt bài này.VISTASP1Đây là máy tính chạy hệ điều hành Vista SP1. Máy tính này được gia nhậpvào miền msfirewall.org. Chúng tôi đã sử dụng một cài đặt Vista mặc địnhvà sau đó cài đặt SP1. Nếu bạn đã có một cài đặt SP1 từ trước thì điều đókhông có gì phải đề cập.VISTASP1-2Đây là máy tính chạy hệ điều hành Vista, giống như VISTASP1. Máy tínhnày được cài đặt trong một nhóm làm việc có tên ...