389.88K
Category: internetinternet
Similar presentations:
Опыт использования платформы IBM Cloud в регионе RCIS
Опыт использования платформы IBM Cloud в регионе RCIS
Маршрутизаторы
Маршрутизаторы
VPN (Virtual Private Network) – виртуальная частная сеть
VPN (Virtual Private Network) – виртуальная частная сеть
Решения D-Link для построения сетей
Решения D-Link для построения сетей
Решения D-Link для построения сетей
Решения D-Link для построения сетей
Основы построения VPN
Основы построения VPN
Основы построения VPN
Основы построения VPN
Технологии, применяемые при построении сетей на основе коммутаторов D-Link. Расширенный функционал
Технологии, применяемые при построении сетей на основе коммутаторов D-Link. Расширенный функционал
Основы построения беспроводных сетей на оборудовании D-Link
Основы построения беспроводных сетей на оборудовании D-Link
Служба виртуализации на базе VMware vSphere 5 и VMware vCenter Server
Служба виртуализации на базе VMware vSphere 5 и VMware vCenter Server

Основы Network Access Protection

1.

Основы
Network Access
Protection

2.

3.

Что такое Network Access
Protection и откуда он
появился?
Как работает NAP и какие
методы защиты использует?
Как правильно внедрить NAP?

4.

Network Access Protection
• Системные требования:
o NAP сервер – Windows Server 2008
o NAP клиенты: Vista, XP SP3, RHEL
• Контроль с помощью роли NPS (Network Policy
Server) Windows Server 2008
• Network Access Protection вырос из VPN quarantine
• Поддерживает все типы сетевых клиентов, а не
только VPN
• Управление с помощью политик, которые должны
удовлетворять клиенты сети:
o Обновления системы, обновления антивируса, наличие
межсетевого экрана

5.

Схема функционирования
NAP
Policy Servers
Microsoft System
Center, Forefront,
или других
производителей
3
1
Клиент
DHCP, VPN
Коммутатор,
Маршрутизатор
2
Не соответствует
Microsoft
Network
Policy Server
4
Карантинная
сеть
Remediation
Servers
WSUS, System Center,
или других
производителей
Соответствует
5
Корпоративная сеть

6.

Методы принудительной
защиты NAP
• 802.1x проводная и беспроводная сеть
o Список контроля доступа (Access Control List, ACL)
o Виртуальная локальная сеть
• IPSec
o Health Certificate Server выдает X.509 сертификаты только
«правильным» клиентам
• VPN (с помощью Routing and Remote Access)
• Управляет соединениями к Terminal Services Gateway
• DHCP выдает адреса из карантинной подсети
o DHCP можно обойти с помощью статической адресации – будьте
осторожны!

7.

NAP {Архитектура}
• Клиент
• Network Policy Server
• SHA – Агенты здоровья проверяют метрики
• NAP Server – проверяет метрики
• QA – Агент каратина координирует работу SHA/EC
• EC – Определяет метод принуждения
здоровья клиентов
• SHV –проверяет ответы SHA
• Сервер восстановления (Remediation)
System Health Server
• Распространяет обновления, сигнатуры антивируса,
• предоставляет SHV
и.т.д.
Сервера
восстановления
Обновления
Метрики
здоровья
Клиент
(System statement
of Health)
(SHA)
(SHA)
MS SHA, SMS
3rd Parties
Сертификаты
здоровья
NAP агент
(EC)
(EC)
(DHCP, IPSec, 3rd Party EAP
VPN’s
802.1X, VPN)
Запросы
на доступ
в сеть
System Health
Servers
Политика здоровья
(System statement
of Health Response)
802.1x коммутаторы
Policy Firewalls
SSL VPN шлюзы
Certificate Servers
NPS
Сервер
политик
(RADIUS)
System Health Validator
NAP сервер

8.

Этапы внедрения NAP
• Наблюдение и отчеты (Reporting Mode)
• Отложенное принуждение (Deferred
Enforcement)
• Полное принуждение (Full
Enforcement)

9.

Ресурсы:
http://technet.microsoft.com/en-us/network/bb545879.aspx
http://msdn.microsoft.com/en-us/library/aa369712(VS.85).aspx
English     Русский Rules