1 / 26

網路存取保護解決方案 Windows Server 2008 N etwork A ccess P rotection

網路存取保護解決方案 Windows Server 2008 N etwork A ccess P rotection. 陳永祥 資深技術支援經理 企業服務處 臺灣微軟股份有限公司. 簡報大綱. NAP 概觀 強制方法 主要效益 問題與討論. NAP 概觀. NAP 技術的產生背景. 造成生產力及財務上的巨大損失. 惡意程式進入企業網路的途徑 : 員工用潛藏弱點的電腦上網,遇 上了內含惡意軟體的網站或 email 出差歸來的筆記型電腦 訪客及外部顧問攜入廠區的電腦 員工使用家中或公用資訊站,以 VPN 連回企業網路.

ronat
Télécharger la présentation

網路存取保護解決方案 Windows Server 2008 N etwork A ccess P rotection

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 網路存取保護解決方案Windows Server 2008 NetworkAccessProtection 陳永祥 資深技術支援經理 企業服務處 臺灣微軟股份有限公司

  2. 簡報大綱 • NAP概觀 • 強制方法 • 主要效益 • 問題與討論

  3. NAP概觀

  4. NAP技術的產生背景 造成生產力及財務上的巨大損失 惡意程式進入企業網路的途徑: • 員工用潛藏弱點的電腦上網,遇上了內含惡意軟體的網站或email • 出差歸來的筆記型電腦 • 訪客及外部顧問攜入廠區的電腦 • 員工使用家中或公用資訊站,以VPN連回企業網路 Source: Virus Attack Costs are Rising –Again. Computer Economics, Inc. Sept 2003. IT 管理人員尋求解決方案:

  5. Network Access Protection Policy-based solution that Validates whether computers meet health policies Limits access for noncompliant computers Automatically remediatesnoncompliant computers Continuously updates compliant computers to maintain health state 安全的存取管控Network Access Protection Internet Boundary Zone Employees , Partners, Vendors Intranet Customers Partners Remote Employees

  6. Access requested Health state sentto NPS (RADIUS) NPS validates against health policy If compliant, access granted If not compliant, restricted network access and remediation 安全的存取管控 NAP – How it Works 1 Policy Serverse.g.., Patch, AV 1 Microsoft NPS 2 3 5 Not policy compliant Remediation Serverse.g., Patch 2 3 RestrictedNetwork Policy compliant 4 DHCP, VPN Switch/Router Corporate Network 4 5

  7. System Health Servers Network Access Protection 概觀 企業網路 受限制的網路 Remediation Servers 進行更新 我要求取得更新 持續將policy 更新至IAS server 依存取原則, 我是否應授予完整網路存取權? 請求存取網路. 這是新的健康狀態 請求存取網路. 這是我的健康狀態 依照原則, 此用戶端已完成更新, 允許賦予完整存取權 依照原則, 此用戶端並未完成更新, 將它置於隔離區, 令它進行更新 你只有受限的存取權, 直到完成更新 用戶端電腦 網路存取設備(DHCP, VPN) IAS Policy Server 用戶端被賦予完整存取權.

  8. 強制方法

  9. Enforcement Method • 不符規範的用戶端,應限制其網路存取 • Windows Server 2008 NAP支援下列方法 • 802.1x enforcement • DHCP enforcement • VPN enforcement • IPsec enforcement • 依企業網路環境及需要,任選一種即可 • 必要時亦可同時部署多重方法

  10. 802.1x Enforcement • Health state 不符規範的用戶端電腦,將無法經由有線/無線連接存取整個企業網路 • 無法通過網路連接裝置的port認證 • 以vLAN或ACL進行限制 • Non-compliant 用户端只能存取指定的Remediation Servers,直到完成矯治符合規範 • Client OS之外的必備條件 • 支援802.1x 認證的網路裝置 • 有線連接: Ether switch • 無線連接: access point

  11. DHCP Enforcement • Health state 不符規範的DHCPclient,將無法存取整個企業網路 • 用戶端會拿到IP addr. 但不具routing能力 • Default gateway = 0.0.0.0 • Subnet mask = 255.255.255.255 • Non-compliant 用户端只能存取指定的Remediation Servers,直到完成矯治符合規範 • Client OS之外的必備條件 • Windows Server 2008 DHCP server • 用戶端依賴DHCP 來取得IP 組態 • 使用者對該用戶端電腦不具有管理權限

  12. VPN Enforcement • Health state 不符規範的VPNclient,將無法存取整個企業網路 • 由VPN server端以IP Packet Filter進行限制 • Non-compliant 用户端只能存取指定的Remediation Servers,直到完成矯治符合規範 • Client OS之外的必備條件 • Windows Server 2008 Routing & Remote Access Services • 成功案例 • 南亞科技

  13. IPsec Enforcement • Health state 不符規範的用戶端電腦,將無法取得Health Certificate • 由目的端電腦決定是否允許無health certificate電腦的連線 • 連線時需進行IPsec negotiation 並通過以憑證為基礎的身份認證 • Non-compliant 用户端只能存取指定的Remediation Servers,直到完成矯治符合規,進而取得health certificate • Client OS之外的必備條件 • 網管人員對IPsec的規劃/管理能力 • 網路上是否有不支援IPsec的OS/device

  14. NAP - Enforcement Options

  15. 系統需求在 WSHV / WSHA環境之下 *只能偵測狀態, 無強制矯治能力 #Windows XP不支援

  16. Windows System Health Validator

  17. SHV vs. SHA • Windows Server 2008 有內建一組SHV • WSHV - Windows System Health Validator • Windows XP SP3 / Vista有內建一組SHA • WSHA - Windows System Health Agent • NPS上可以同時定義多組SHVs • 相對的,用戶端電腦可以同時啟用多組SHAs

  18. 主要效益

  19. NAP的四大支柱 NAP不是一個安全解決方案,而是一個確保policy 會被強制執行的方案

  20. Health and Policy Validation Healthy Endpoints Connect Defense at Multiple Layers Leverage Existing Investments 主要效益 ROI 增進安全性 • All communications are authenticated, authorized & healthy • Defense-in-depth on your terms with DHCP, VPN, IPsec, 802.1X • Policy-based access that IT Pros can set and control 增進企業商業價值 • Preserves user productivity • Extends existing investments in Microsoft and 3rd party infrastructure • Broad industry partnership Risk Level

  21. NAC方案的最佳選擇 • 業界廣泛支援的平臺 • 開放APIs 供網路, 安全及管理解決方案ISVs/IHVs使用 • 目前已有超過120+ 家合作伙伴開發NAP解決方案 • 包括AV, network, security,SIs • 相容性最高的NAC解決方案 • 與超過98%的市場常見switch/AP相容 • 可與 3rd party VPN 整合 • 業界標準 • 建立在標準的協定之上 • Trusted Computing Group (TCG)/Trusted Network Connect (TNC) • 保障您的投資

  22. Cisco NAC & Microsoft NAPInteroperability Architecture

  23. Cisco NAC Appliance Architecture

  24. 參考文件 • Network Access Protection TechCenter • http://technet.microsoft.com/en-us/network/bb545879.aspx • Introduction to Network Access Protection • http://www.microsoft.com/technet/network/nap/napoverview.mspx • Step-by-Step Guides • Demonstrate IPsec NAP Enforcement in a Test Lab • http://www.microsoft.com/downloads/details.aspx?familyid=298ff956-1e6c-4d97-a3ed-7e7ffc4bed32&displaylang=en • Demonstrate 802.1X NAP Enforcement in a Test Lab • http://www.microsoft.com/downloads/details.aspx?familyid=8a0925ee-ee06-4dfb-bba2-07605eff0608&displaylang=en • Demonstrate VPN NAP Enforcement in a Test Lab • http://www.microsoft.com/downloads/details.aspx?familyid=729bba00-55ad-4199-b441-378cc3d900a7&displaylang=en • Demonstrate DHCP NAP Enforcement in a Test Lab • http://www.microsoft.com/downloads/details.aspx?familyid=ac38e5bb-18ce-40cb-8e59-188f7a198897&displaylang=en

  25. 問題與討論

More Related