NAP 伺服器端架構
注意
從 Windows 10 開始,無法使用網路存取保護平臺
NAP 伺服器端平臺架構使用執行 Windows Server 2008 的電腦。 下圖顯示 NAP 平臺伺服器端支援的架構,其中包含 Windows 型 NAP 強制執行點和 NAP 健康情況原則伺服器。
Windows 型 NAP 強制端點具有一層 NAP 強制伺服器, (ES) 元件。 每個 NAP ES 都會針對不同類型的網路存取或通訊定義。 例如,有 NAP ES 用於遠端存取 VPN 連線,以及用於 DHCP 設定的 NAP ES。 NAP ES 通常會比對特定類型的 NAP 功能用戶端。 例如,DHCP NAP ES 的設計目的是使用 DHCP 型 NAP 強制執行用戶端 (EC) 。 協力廠商軟體廠商或 Microsoft 可以為 NAP 平臺提供額外的 NAP ES。 NAP ES 會從其對應的 NAP EC 取得健康情況 (SSoH) 的系統聲明,並將其傳送至 NAP 健康情況原則伺服器作為遠端驗證撥入使用者服務, (RADIUS) RADIUS) 廠商特定的屬性, (VSA ) RADIUS Access-Request訊息
如伺服器端架構圖所示,NAP 健康狀態原則伺服器具有下列元件:
網路原則伺服器 (NPS) 服務
接收 RADIUS Access-Request訊息、擷取 SSoH,並將它傳遞至 NAP Administration Server 元件。 NPS 服務隨附于 Windows Server 2008。
NAP 管理伺服器
有助於 NPS 服務與系統健康情況驗證程式之間的通訊, (SHV) 。 NAP 系統管理伺服器元件會與 NAP 平臺一起提供。
SHV 元件的一層
每個 SHV 都會針對一或多個類型的系統健康情況資訊定義,而且可以比對 SHA。 例如,可能有防毒軟體的 SHV。 SHV 可以比對一或多部健康情況需求伺服器。 例如,用於檢查防毒簽章的 SHV 會與包含最新簽章檔案的伺服器相符。 SHV 不需要有對應的健康情況需求伺服器。 SHV 可以指示 NAP 支援的用戶端檢查本機系統設定,以確保已啟用主機型防火牆。 Windows Server 2008 包含 Windows 安全性 Health Validator (WSHV) 。 其他 SHV 是由協力廠商軟體廠商或 Microsoft 提供,作為 NAP 平臺的附加元件。
SHV API
提供一組函式呼叫,可讓 SHV 向 NAP 管理伺服器元件註冊、從 NAP 系統管理伺服器元件接收健康情況聲明 (SoHs) ,以及將健康情況回應的語句傳送至 NAP 系統管理伺服器元件 (So) RS。 SHV API 隨附于 NAP 平臺。 請參閱下列 NAP 介面: INapSystemHealthValidator 和 INapSystemHealthValidationRequest。
如先前所述,NAP 伺服器端基礎結構的較常見設定包含 NAP 強制執行點,提供特定類型的網路存取或通訊,以及提供系統健康情況驗證和補救的個別 NPS 健康狀態原則伺服器。 您可以將 NPS 服務安裝為個別 Windows 型 NAP 強制執行點上的 NAP 健康情況原則伺服器。 不過,在此設定中,每個 NAP 強制執行點都必須使用網路存取和健康情況原則個別設定。 建議的設定是使用不同的 NAP 健康情況原則伺服器。
整體 NAP 架構包含下列一組元件:
- 三個 NAP 用戶端元件 (SHA 層、NAP 代理程式和 NAP EC 層) 。
- 四個 NAP 伺服器端元件 (SHV 層、NAP 系統管理伺服器、NPS 服務和 Windows 型 NAP 強制執行點上的 NAP ES 層) 。
- 健康情況需求伺服器,這是可為 NAP 健康情況原則伺服器提供目前系統健康情況需求的電腦。
- 補救伺服器,這些電腦包含 NAP 用戶端可以存取的健全狀況更新資源,以補救其不符合規範的狀態。
下圖顯示 NAP 平臺元件之間的關聯性。
請注意下列元件集的比對:
NAP ECS 和 NAP ES 通常會比對。
例如,NAP 用戶端上的 DHCP NAP EC 會與 DHCP 伺服器上的 DHCP NAP ES 相符。
SHA 和補救伺服器可以比對。
例如,用戶端上的防毒 SHA 會與防毒軟體簽章補救伺服器相符。
SHV 和健康情況需求伺服器可以比對。
例如,NAP 健康情況原則伺服器上的防毒 SHV 可以與防毒健康情況需求伺服器比對。
協力廠商軟體廠商可以透過下列方式擴充 NAP 平臺:
建立評估 NAP 用戶端健康情況的新方法。
協力廠商軟體廠商必須建立 NAP 用戶端的 SHA、NAP 健康情況原則伺服器的 SHV,並視需要建立健康情況需求和補救伺服器。 如果健康情況需求或補救伺服器已經存在,例如防毒簽章發佈伺服器,則只需要建立對應的 SHA 和 SHV 元件。 在某些情況下,不需要健康情況需求或補救伺服器。
建立新的方法來強制執行網路存取或通訊的健康情況需求。
協力廠商軟體廠商必須在 NAP 用戶端上建立 NAP EC。 如果強制執行方法使用以 Windows 為基礎的服務,協力廠商軟體廠商必須建立對應的 NAP ES,以使用 RADIUS 通訊協定或使用 NAP 強制端點上安裝的 NPS 服務作為 RADIUS Proxy,與 NAP 健康情況原則伺服器通訊。
下列各節詳細說明 NAP 伺服器端架構的元件。
NAP 強制伺服器
NAP 強制伺服器 (ES) 允許某種層級的網路存取或通訊、可以將 NAP 用戶端的健康狀態傳遞至網路健康情況原則伺服器以進行評估,並根據回應,提供有限網路存取的強制執行。
Windows Server 2008 隨附的 NAP ES 如下:
IPsec NAP ES,適用于受 IPsec 保護的通訊。
針對受 IPsec 保護的通訊,健康情況註冊授權單位 (HRA) ,執行 Windows Server 2008 和 Internet Information Services 的電腦 (IIS) ,從憑證授權單位單位取得健康情況憑證 (CA) ,將 NAP 用戶端的健康情況狀態資訊傳遞至 NAP 健康狀態伺服器。
DHCP NAP ES,用於 DHCP 型 IP 位址設定。
DHCP NAP ES 是 DHCP 伺服器服務中的功能,其使用業界標準 DHCP 訊息與 NAP 用戶端上的 DHCP NAP EC 通訊。 限制網路存取的 DHCP 強制執行是透過 DHCP 選項來完成。
TS 閘道伺服器連線的終端機服務 (TS) 閘道 NAP ES。
針對遠端存取 VPN 和 802.1X 驗證的連線,NPS 服務中的功能會使用 NAP 用戶端與 NAP 健康情況原則伺服器之間的 PEAP-TLV 訊息。 VPN 強制執行是透過套用至 VPN 連線的 IP 封包篩選器來完成。 802.1X 強制執行是在 802.1X 網路存取裝置上執行,方法是將 IP 封包篩選套用至連線,或指派對應至受限制網路的 VLAN 識別碼。
NAP 管理伺服器
NAP 管理伺服器元件提供下列服務:
- 透過 NPS 服務從 NAP ES 取得 SSoHs。
- 將 SSoHs 中的 SoHs 散發至適當的系統健康情況驗證程式, (SHV) 。
- 從 SHV 收集 SoHR,並將其傳遞給 NPS 服務以進行評估。
NPS 服務
RADIUS 是一種廣泛部署的通訊協定,可啟用集中式驗證、授權和考慮網路存取,如要求批註 (RFC) 2865 和 2866 中所述。 最初是針對撥號遠端存取所開發,無線存取點現在支援 RADIUS、驗證乙太網路交換器、VPN 伺服器、數位訂閱者線路 (DSL) 存取伺服器和其他網路存取伺服器。
NPS 是 Windows Server 2008 中 RADIUS 伺服器和 Proxy 的實作。 NPS 會取代 Windows Server 2003 中的網際網路驗證服務 (IAS) 。 針對 NAP 平臺,NPS 服務包含 NAP 系統管理員伺服器元件、支援 SHV API 和可安裝的 SHV,以及設定健康情況原則的選項。
根據 SHV 的 SoHR 和設定的健康情況原則,NPS 服務會建立健康情況回應的系統聲明 (SSoHR) ,指出 NAP 用戶端是否符合規範或不符合規範,並且包含 SHV 的 SoHR 集合。
系統健康狀態驗證 (SHV)
SHV 會從 NAP 系統管理伺服器接收 SoH,並將系統健康狀態資訊與必要的系統健康狀態狀態進行比較。 例如,如果 SoH 來自防毒軟體 SHA,且包含最後一個病毒簽章檔案的版本號碼,對應的防毒軟體 SHV 可以檢查防毒軟體健康情況需求伺服器是否有最新版本號碼,以驗證 NAP 用戶端的 SoH。
SHV 會將 SoHR 傳回至 NAP 管理伺服器。 SoHR 可以包含 NAP 用戶端上對應 SHA 如何符合目前系統健康情況需求的資訊。 例如,由防毒軟體 SHV 傳送的 SoHR 可能會指示 NAP 用戶端上的防毒軟體 SHA,依名稱或 IP 位址向特定防毒軟體簽章伺服器要求最新版的防毒簽章檔案。