首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > Windows Server 2008 中的策略驱动网络访问 > 正文

Windows Server 2008 中的策略驱动网络访问

出处:TechNet Magazine 作者:Ian Hameroff and Amith Krishnan 时间:2008-5-23 12:17:17
概览:
  • 平衡网络访问和安全性
  • 策略驱动的网络访问方法
  • Windows Server 2008 中的新安全性技术

移动员工日益增多,需要访问组织 IT 资源的用户和设备种类日见增长,从而导致传统的网络外围退出历史舞台,
这方面的文章已经有许多。为提高生产力,用户和业务线所有者们大力提倡既流畅又简约的连接体验。这样,原本已经复杂的情况又增加了许多法规符合性负担、处于演变的威胁环境以及与数据分散相关的风险。
这往往使得 Windows® 管理员在充满挑战的安全性中间需求一种平衡行为:如何能够轻松地访问资源,同时仍满足日益增长的信息和网络安全要求。
尽管所有这些挑战可能没有一个万全的解决方案,但作为 Windows 管理员,您还是可以利用许多工具来更好地控制安全性,如您已具有的边缘防火墙。为了帮助在访问权限和安全性之间达到适当的平衡,最佳方法是将传统的连接性模型转型为力求以更具逻辑和侧重策略的方式定义网络访问。

策略驱动的网络访问方法
策略驱动的网络访问的目的是:打破在主要根据网络拓扑边界建立基本信任时所遇到的现有限制。例如,只因为某个设备插入到您公司防火墙后面的以太网交换机端口之一中,您就能真正确定应信任该设备并授权其连接到运行“客户关系管理”(CRM) 应用程序的服务器吗?
相反,新模型通过验证设备的安全状况和请求访问的用户身份来制定访问决策,而不考虑用户从哪里进行连接。验证完成后,此相同框架随后可用于授权可以访问的信息和资源。
从防护状态转变为更注重访问权限的模式涉及诸多关键因素,包括需要可验证连接主机的身份和策略合规性的现成机制、签发受信任的用户身份,以及根据这些属性动态地控制网络访问。为简化这些形式多样的可变部分的管理,集中式策略存储也是一个重要的组成部分。
采用策略驱动方式后,您可将多个迥异的网络访问归纳到一起,并将多个安全控制托管在一个更全面的解决方案中。这样,您就可以在连接构造之上的逻辑层设置网络访问基本规则,进而改进以深层防御为主的传统最佳实践。
例如,当用户将其便携式计算机连接到组织的无线网络时,可根据最新的安全配置要求来检查设备的合规性。一旦确定该便携式计算机具备所有最新的防病毒更新和重要的安全补丁,并且启用了其所有端点安全控制(如主机防火墙),就可授予对公司网络的访问权限。之后,当用户尝试访问业务应用程序时,会使用该便携式计算机的运行状况和用户的网络身份这两种因素为依据,确定是否授权该用户连接到托管应用程序的资源。通过在物理网络基础结构之上的逻辑层进行操作,可以持续地强制执行策略,即使用户从无线转为有线,甚至远程访问连接。
实施后,策略驱动的网络访问可为用户提供更为顺畅的连接体验,而不影响进程的安全性。对于管理员,从交换机端口或远程访问网关配置来提升网络访问控制可简化管理。在这两种情况下,最终结果均是提高了生产力和组织网络运行状态的总体改进,即使网络中的各方具备不同的访问权限(例如,受邀来宾或其他来宾、供应商、合作伙伴和员工)也是如此。
与任何其他安全项目相同,实施策略驱动的网络访问的第一步是开发一组全面的操作策略。这通常包括以下几方面的指导方针:
  • 设备安全合规性—设备运行状况良好的含义是什么?
  • 逻辑网络分区—如何从授权设备中区分出运行状况不佳的设备?
  • 信息风险管理—如何分类敏感数据并保护其免受损坏?
幸运的是,Microsoft® TechNet 安全中心 (microsoft.com/technet/security) 汇集了各式各样的策略开发资源。
一旦开发出访问策略,您将需要选择那些既能轻松部署,又能有效地强制执行它们的技术。Windows Server® 2008 正是您理想的选择。这是因为它不仅是目前为止最安全的 Windows Server,还为管理员提供了稳固的安全平台,让策略驱动的网络访问解决方案具备了扎实的基础。在其众多新功能和增强功能中,Windows Server 2008 提供了大量必要组件,用于实现以策略为基础的安全网络访问,从而有助于确保敏感信息不受损坏。

下一代联网
Windows Server 2008 中网络安全改进的核心是下一代 TCP/IP 堆栈,它是平台联网功能和相关服务的一项重大更新。除了提高的网络性能和可伸缩性,Windows Server 2008 还提供了一系列集成的网络功能,它们为构建策略驱动的网络访问解决方案奠定了坚实的基础,从而使网络更加安全。
Internet 协议安全 (IPsec) 就是在 Windows Server 2008 中得到重要升级的一项此类功能,它在策略驱动的网络访问方法中扮演着重要角色。现在,这不是指使用 IPsec 作为通道和加密协议,而是充分利用其主机对主机网络验证功能。此外,由于 IPsec 在第 3 层工作,因此可利用它在各个网络类型中强制执行网络访问策略。
为了有助于更加轻松地实现基于 Ipsec 的网络访问控制,Windows Server 2008 引进了许多改进和新功能,旨在简化策略创建、实施和维护。例如,增加了可用 IPsec 验证方法的数量和类型。这是通过引进验证 IP (AuthIP) 来实现的,它是对 Internet 密钥交换 (IKE) 协议的扩展。您可以使用 AuthIP 编写连接安全规则(Windows Server 2008 中 IPsec 策略的另一名称),这些规则要求通信方不仅使用计算机凭据,还可以有选择地使用用户或运行状况凭据来成功地对彼此进行验证。这种新增的灵活性使您可以设计极为复杂的逻辑网络,同时又不必升级您的交换和路由基础结构。

具有高级安全性的 Windows 防火墙
具有高级安全性的新 Windows 防火墙以我们刚刚提到的 IPsec 功能为基础。通过将 IPsec 连接安全性规则与防火墙过滤器组合到一个策略中,新的 Windows 防火墙引进了另一种策略驱动的网络访问维度:更智能化的验证防火墙操作。
图 1 所示,在定义入站或出站防火墙过滤器应采取的具体操作时,您可从三个选项中进行选择:允许、阻隔或仅在安全时允许。选中“Allow the connection if it is secure”(在安全情况下允许连接)时,Windows 防火墙会利用 IPsec 的主机对主机网络验证功能来确定:基于您已定义的策略,是否应批准主机或用户的连接请求。您可以使用防火墙规则设定哪些用户、计算机和组有权进行连接。值得注意的是,这增加了一个附加保护层,从而对现有的操作系统和应用程序级访问控制起到了支持作用。
图 1 定义验证防火墙规则 (单击该图像获得较大视图)
到目前为止,您应了解到:如何可以通过一项集中式策略将不同的网络安全控制归纳到一起,从而更加灵活、有效地管理网络访问。
返回到 CRM 示例:管理员可以选中“Allow the connection if it is secure”(在安全情况下允许连接)选项,为运行公司 CRM 应用程序(通过程序的可执行文件或服务端口)的服务器创建入站规则。在相同的防火墙策略内,管理员可以指定只有“CRM Application Users”(CRM 应用程序用户)组的成员可以连接到此网络应用程序,如图 2 中所示。如果您采用此相同概念并将其扩大到您网络上所有受控计算机之间的网络通信,则您的策略驱动网络访问政策中现在又会新增一个“服务器和域隔离”层。
图 2 管理员可根据此策略指定谁可以进行连接 (单击该图像获得较大视图)

服务器和域隔离
大多数组织正面临着越来越多的来宾和其他不受控设备连接到其网络的情况,因此,能够以某种方式分离并保护您的信任主机已成为当务之急。令人庆幸的是,有许多途径可以将信任和受控的计算机与网络中的其他设备相隔离。但是,这些方法大多成本高昂(如另行铺设物理电缆系统),并且在网络扩大时难于维护(例如基于交换机的 VLAN)。
“服务器和域隔离”提供了一种更具成本效益和可控性的方式,将您所处的环境划分为逻辑上彼此分离且安全的网络。如图 3 所示,您基本上是使用我们先前提到的连接安全性规则(即 IPsec 策略),但通过 Active Directory® 组策略将其映射到所有受控计算机。这导致网络访问策略要求所有对等方在开始任何通信之前,先要彼此成功地验证身份。由于这种隔离发生在第 3 层,因此这些访问控制的实施可跨越物理和地理界限扩大到集线器、交换机和路由器。
图 3 定义满足您网络访问需求的验证要求 (单击该图像获得较大视图)
要创建隔离的网络,需要根据所需的访问类型划分网络上的不同计算机。策略可被定义为允许隔离网络上的计算机向网络中的所有计算机发起通信,包括不在隔离网络中的计算机。反之,隔离网络外的计算机不能向隔离网络内的计算机发起通信。实际上,隔离网络内的计算机会忽略从隔离网络外的计算机发出的所有通信请求。
Active Directory 域和域成员关系用于强制执行网络策略。域成员计算机仅接受来自其他域成员计算机的已验证且安全的通信。或者,也可强制要求加密隔离域内的所有通信。
由于无需对现有网络基础结构或应用程序进行重大变更,因此“服务器和域隔离”可带来巨大的成本优势。此解决方案筑造起了启用策略的防护屏,不但有助于抵御极具破坏力的网络攻击和对受信任网络资源进行未经授权的访问,并且无需在网络拓扑发生变化时持续进行维护。

网络访问保护
如前所述,“服务器和域隔离”解决方案确保从逻辑上分隔网络上的不同计算机和服务器。它有助于防止对网络进行未经授权的访问,但不能保证已授权的计算机万无一失。
网络访问保护 (NAP) 是 Windows Server 2008 中的一个内置平台,用于确保连接到网络或通过网络通信的计算机达到您所定义的系统运行状况要求(即,安全性和策略合规性)。
即使是授权的用户也会时常成为网络上传播病毒和间谍软件的载体。例如,用户休假时,管理员可能没有对其计算机设置安全要求合规性。如果在此期间发布的强制性补丁程序或签名未能安装到计算机上,则可能会产生严重后果。
跟踪连接到网络的每名用户远远超出了管理员的能力范围。我们需要的是一种自动化工具,可以验证每台联网计算机的运行状况合规性,从而根据中央策略修正所有不合规定的状况。而 NAP 的职责正是如此,以便向您的策略驱动网络访问解决方案添加另一个层。
NAP 代理—内置于客户端计算机的操作系统中(如 Windows Vista®)或单独安装(对于旧版的 Windows 和非 Windows 操作系统)—向网络策略服务器 (NPS) 报告所有合规性方面的问题,该服务器是内置于 Windows Server 2008 中的一个策略引擎。您是在 NPS 中定义每台设备必须遵循的合规性策略。
在必须限制未通过合规性检查的设备的同时,确保它们可以进行隔离和修正也非常重要。在启用防火墙或防病毒解决方案的情况下,您可以使用 NAP 自动修正设备;或者以手动方式强制其进入隔离区。此时,设备可以访问带有最新补丁程序、更新和签名的修正服务器。一旦用户手动更新设备,在通过合规性验证后,便会授予其对网络的访问权限。
随着普及程度的提高,网络访问已越来越简单。但是,这又带来了额外的负担,必须确保设备在任何访问机制下都能保持良好的运行状况且符合规定。计算机可通过兼容 802.1X 的常规交换机或无线接入点访问网络,也可以使用 VPN 或基于终端服务的远程访问连接从住宅进行远程连接。NAP 不但可以确保通过不同机制联网的计算机满足规定要求,还在 DHCP 服务器、802.1X 交换机、VPN 网关、终端服务网关或兼容 802.1X 的无线访问点提供了强制执行措施。
图 4 中,已使用服务器和域隔离解决方案对网络进行了隔离。将 NAP 与这样的隔离网络配合使用还有其他益处,那就是可以确保联网计算机的运行状况合规性。客户端在启动后,将其运行状况声明 (SoH) 发送给运行状况注册授权机构 (HRA),它是一个证书服务器。HRA 向 NPS 递交 SoH 进行策略验证。如果 SoH 有效,HRA 会向 NAP 客户端签发运行状况证书,客户端即可与安全资源进行基于 Ipsec 的安全通信。如果 SoH 无效,HRA 会告知 NAP 客户端如何更正其运行状况,但不签发运行状况证书。如果其他计算机需要运行状况证书以进行 IPsec 验证,则 NAP 客户端无法与它们通信。但是,NAP 客户端可以与修正服务器通信,以便自身达到合规性。
图 4 使用 IPsec 强制措施的网络访问保护 (单击该图像获得较大视图)

综述
尽管我们只是介绍了 Windows Server 2008 中新特性和功能的皮毛,但识别每个组件如何构建在原有基础之上非常重要。与传统的深层防御方法相比,这一转变源自 Windows Server 2008 中提供的基础策略架构,例如,Active Directory 组策略。
您将可以为定义和部署策略驱动的网络访问解决方案奠定坚实的工作基础,同时还能利用现有投资,这都归功于此集成式方法。通过将访问决策上升至更具逻辑性且以策略为中心的层,您将有机会根据自己的需要在“便利访问”和“更高的安全性”之间寻求一种平衡行为。
Microsoft 已发布了大量指导性资料,它们深入剖析了本文章中提到的技术领域。我们建议您首先查看这些文章和分步指南,以便对各种功能的运行有个大致印象。(侧栏“Networking Resources”(联网资源)中的链接可帮助您入门。)然后,考虑部署每个阶段,注意使前一阶段为后一阶段打下良好的基础。
例如,按照“具有高级安全性的 Windows 防火墙”一节中所述,为您以任务为中心的应用程序创建一组这样的验证防火墙规则。达到要求后,您可以扩展连接安全性规则以隔离您的网络域,然后在其上部署 NAP。实施策略驱动的网络访问政策的益处很大,包括帮助您与日新月异的公司网络保持步调一致。

Ian Hameroff 是“Microsoft 安全和访问产品营销组”的高级产品经理。他负责 Windows Server 平台联网技术的产品管理和营销。Ian 推动了 Windows Server 联网和解决方案的市场投放策略,它们的重点是关键性安全和联网计划,例如服务器和域隔离、可伸缩联网以及 IPv6 采用。
Amith Krishnan 是“Microsoft 安全和访问产品营销组”的高级产品经理,他负责 Windows Server 联网和安全计划的产品管理和营销,如网络访问保护和安全无线网络。他还开发了市场投放策略并推动这些解决方案的知名度。
相关文章 热门文章
  • 微软宣布已售出4亿份Windows 7许可
  • Lync Server 2010部署攻略之域管理员启用
  • Lync Server 2010部署攻略之服务器部署篇
  • Lync Server 2010部署攻略之标准版部署体验
  • Lync Server 2010部署攻略之规划准备篇
  • 在配置完 Exchange Server 2010 CAS Array后需要做的两件事
  • Powercfg 从命令行控制系统的电源管理
  • windows NT 4.0 Domain升级到windows server 2008 R2需要注意的几个问题
  • windows 7使用GPO统一桌面黑屏
  • Windows server 2008 R2上安装exchange 2010注意的问题
  • Exchange Server 2010与RMS集成
  • Exchange Server 2010 跨组织移动邮箱
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号