- •Для чего нужна защита доступа к сети?
- •Некоторые дополнительные особенности
- •Применение защиты доступа к сети и ограничение доступа к сети
- •Обновление
- •Способы применения защиты доступа к сети
- •Применение защиты доступа к сети для соединений iPsec
- •Применение защиты доступа к сети для стандарта безопасности 802.1x
- •Применение защиты доступа к сети для виртуальных частных сетей
- •Применение защиты доступа к сети для протокола dhcp
- •Применение защиты доступа к сети для шлюза служб терминалов
- •Комбинированные подходы
- •Подготовка к развертыванию
- •Клиентские компоненты защиты доступа к сети
- •Серверные компоненты защиты доступа к сети
Клиентские компоненты защиты доступа к сети
Клиент с поддержкой защиты доступа к сети представляет собой компьютер, на котором установлены компоненты защиты доступа к сети и который способен проверять свое состояние работоспособности путем отправки сведений о состоянии работоспособности серверу политики сети. Часто используемые клиентские компоненты защиты доступа к сети описаны ниже.
Агент работоспособности системы. Агент работоспособности системы от-слеживает и сообщает состояние работоспособности клиентского компьютера, чтобы сервер политики сети мог контролировать состояние обновления и правильность настройки параметров, за которыми следит агент. Например, агент работоспособности системы безопасности Windows может следить за работой брандмауэра Windows, проверять, что антивирусное ПО установлено, включено и обновлено, что антишпионские программы установлены, включены и обновлены, что службы обновления Microsoft включены и на компьютере установлены самые новые обновления для системы безопасности от служб обновления Microsoft. Агенты работоспособности системы, предлагаемые сторонними компаниями, могут обеспечивать дополнительные возможности.
Агент защиты доступа к сети. Агент защиты доступа к сети собирает сведе-ния о работоспособности и управляет ими. Кроме того, он обрабатывает сведения о состоянии работоспособности, полученные от агентов работоспособности системы, и создает отчеты о работоспособности клиента для установленных клиентов принудительной защиты доступа к сети. Для указания общего состояния работоспособности клиента защиты доступа к сети агент защиты доступа к сети использует системное состояние работоспособности.
Клиент принудительной защиты доступа к сети. Для использования защиты доступа к сети на клиентском компьютере должен быть установлен и включен хотя бы один клиент принудительной защиты доступа к сети. Как было сказано выше, каждый клиент принудительной защиты доступа к сети использует лишь определенный способ применения защиты доступа к сети. Клиенты принудительной защиты доступа к сети интегрируются с технологиями доступа к сети, такими как протокол IPsec, управление доступом к проводной и беспроводной сети с использованием портов 802.1X, виртуальная частная сеть с маршрутизацией и удаленным доступом, протокол DHCP и шлюз служб терминалов. Клиент принудительной защиты доступа к сети запрашивает доступ к сети, передает сведения о состоянии работоспособности клиентского компьютера серверу политики сети и сообщает об ограниченном статусе клиентского компьютера другим компонентам клиентской архитектуры защиты доступа к сети.
Состояние работоспособности. Состояние работоспособности – это декларация агента работоспособности системы, в которой определяется его статус работоспособности. Агенты работоспособности системы создают состояния работоспособности и отправляют их агенту защиты доступа к сети.
Серверные компоненты защиты доступа к сети
Часто используемые серверные компоненты защиты доступа к сети описаны ниже.
Сервер политики работоспособности защиты доступа к сети. На этом сервере работает сервер политики сети, выполняющий функции сервера оценки работоспособности NAP. Сервер политики работоспособности NAP включает политики работоспособности и политики сети, определяющие требования к работоспособности и параметры применения защиты доступа к сети для клиентских компьютеров, запрашивающих доступ к сети. Сервер политики работоспособности NAP использует сервер политики сети для обработки сообщений RADIUS с запросом доступа, содержащих системное состояние работоспособности, отправленное клиентом принудительной защиты доступа к сети, и передает их для оценки серверу администрирования NAP.
Сервер администрирования NAP. Сервер администрирования NAP по функциональности схож с агентом защиты доступа к сети на клиентской стороне. Он отвечает за сбор сведений о состоянии работоспособности с точек применения защиты доступа к сети и доставку этих сведений соответствующим средствам проверки работоспособности системы, а также за получение откликов о состоянии работоспособности от средств проверки работоспособности системы и их передачу для оценки службе сервера политики сети.
Средства проверки работоспособности системы. Средства проверки работоспособности системы – это серверные аналоги агентов работоспособности системы. Каждому агенту работоспособности системы на клиентском компьютере соответствует средство проверки работоспособности системы на сервере политики сети. Средства проверки работоспособности системы проверяют состояние работоспособности, созданное соответствующим агентом работоспособности системы на клиентском компьютере. Средства проверки работоспособности системы и агенты работоспособности системы сопоставлены друг с другом, а также с соответствующим сервером состояния работоспособности (если это уместно) и, возможно, с сервером обновлений. Средство проверки работоспособности системы может также выявить, что состояние работоспособности не получено (например, если агент работоспособности системы не был установлен либо был поврежден или удален). Независимо от того, соответствует ли состояние работоспособности требованиям определенной политики или нет, средство проверки работоспособности системы отправляет серверу администрирования NAP сообщение с откликом о состоянии работоспособности. В одной сети могут работать несколько средств проверки работоспособности системы разных видов. В этом случае сервер политики сети должен координировать вывод всех средств проверки работоспособности системы и определять, необходимо ли ограничить доступ к сети для компьютера, не соответствующего требованиям. Если используются несколько средств проверки работоспособности системы, необходимо понимать их взаимодействие и тщательно планировать действия при настройке политик работоспособности.
Сервер принудительной защиты доступа к сети. Сервер принудительной защиты доступа к сети сопоставляется с соответствующим клиентом принудитель-ной защиты доступа к сети для используемого способа применения защиты доступа к сети. Сервер принудительной защиты доступа к сети получает список состояний работоспособности от клиента принудительной защиты доступа к сети и передает их для оценки серверу политики сети. На основе отклика он предоставляет клиенту защиты доступа к сети ограниченный или неограниченный доступ к сети. В зависимости от типа применения защиты доступа к сети клиент принудительной защиты доступа к сети может быть компонентом точки применения защиты доступа к сети.
Точка NAP. Сервер или устройство доступа к сети, которое использует защиту доступа к сети или может быть использовано с ней для определения требования оценки состояния работоспособности клиента защиты доступа к сети и предоставления ограниченного доступа к сети или соединения. Точка NAP может быть центром регистрации работоспособности (в случае принудительной защиты доступа к сети с помощью IPsec), коммутатором проверки подлинности или точкой беспроводного доступа (в случае применения системы ограничений 802.1x), сервером со службой маршрутизации и удаленного доступа (в случае обеспечения работоспособности DHCP) или сервером шлюза служб терминалов (в случае применения карантина шлюза сервера терминалов).
Сервер состояния работоспособности. Программный компонент, который взаимодействует со средством проверки работоспособности системы при предоставлении сведений, используемых для оценки требований к работоспособности системы. Например, сервером состояния работоспособности может быть сервер сигнатур вирусов, предоставляющий версию текущего файла сигнатур для проверки состояния работоспособности клиентского антивирусного ПО. Серверы состояния работоспособности сопоставляются со средствами проверки работоспособности системы, но не все средства проверки работоспособности системы нуждаются в сервере состояния работоспособности. Например, средство проверки работоспособности системы может указать клиентам с поддержкой защиты доступа к сети проверить параметры локальной системы, чтобы гарантировать, что индивидуальный брандмауэр включен.
Сервер обновлений. Сервер обновлений содержит обновления, которые могут использоваться агентами защиты доступа к сети для приведения клиентских компьютеров в соответствие политике. Например, на сервере обновлений могут храниться обновления программного обеспечения. Если политика работоспособности требует, чтобы на клиентских компьютерах защиты доступа к сети были установлены последние обновления программного обеспечения, клиент принудительной защиты доступа к сети ограничит доступ к сети для клиентов, на которых эти обновления не установлены. Серверы обновлений должны быть доступны клиентам с ограниченным доступом к сети, чтобы клиенты могли получать обновления, необходимые для соответствия политикам работоспособности.
Отклик о состоянии работоспособности. Отклик о состоянии работоспособности содержит результаты оценки клиентского состояния работоспособности средством проверки работоспособности системы. Отклик о состоянии работоспособности передается по пути, противоположному состоянию работоспособности, и отправляется агенту работоспособности системы клиентского компьютера. Если клиентский компьютер не соответствует требованиям, отклик о состоянии работоспособности содержит инструкции по обновлению, которые будут использоваться агентом работоспособности системы на клиентском компьютере для приведения конфигурации клиентского компьютера в соответствие требованиям к работоспособности.
Как каждый тип состояния работоспособности содержит сведения о статусе работоспособности системы, так и каждое сообщение с откликом о состоянии работоспособности содержит сведения о том, как привести компьютер в соответствие требованиям к работоспособности.