Windows Server 2008 中的策略驱动网络访问

这往往使得 Windows® 管理员在充满挑战的安全性中间需求一种平衡行为：如何能够轻松地访问资源，同时仍满足日益增长的信息和网络安全要求。

尽管所有这些挑战可能没有一个万全的解决方案，但作为 Windows 管理员，您还是可以利用许多工具来更好地控制安全性，如您已具有的边缘防火墙。为了帮助在访问权限和安全性之间达到适当的平衡，最佳方法是将传统的连接性模型转型为力求以更具逻辑和侧重策略的方式定义网络访问。

策略驱动的网络访问的目的是：打破在主要根据网络拓扑边界建立基本信任时所遇到的现有限制。例如，只因为某个设备插入到您公司防火墙后面的以太网交换机端口之一中，您就能真正确定应信任该设备并授权其连接到运行“客户关系管理”(CRM) 应用程序的服务器吗？

相反，新模型通过验证设备的安全状况和请求访问的用户身份来制定访问决策，而不考虑用户从哪里进行连接。验证完成后，此相同框架随后可用于授权可以访问的信息和资源。

从防护状态转变为更注重访问权限的模式涉及诸多关键因素，包括需要可验证连接主机的身份和策略合规性的现成机制、签发受信任的用户身份，以及根据这些属性动态地控制网络访问。为简化这些形式多样的可变部分的管理，集中式策略存储也是一个重要的组成部分。

采用策略驱动方式后，您可将多个迥异的网络访问归纳到一起，并将多个安全控制托管在一个更全面的解决方案中。这样，您就可以在连接构造之上的逻辑层设置网络访问基本规则，进而改进以深层防御为主的传统最佳实践。

例如，当用户将其便携式计算机连接到组织的无线网络时，可根据最新的安全配置要求来检查设备的合规性。一旦确定该便携式计算机具备所有最新的防病毒更新和重要的安全补丁，并且启用了其所有端点安全控制（如主机防火墙），就可授予对公司网络的访问权限。之后，当用户尝试访问业务应用程序时，会使用该便携式计算机的运行状况和用户的网络身份这两种因素为依据，确定是否授权该用户连接到托管应用程序的资源。通过在物理网络基础结构之上的逻辑层进行操作，可以持续地强制执行策略，即使用户从无线转为有线，甚至远程访问连接。

实施后，策略驱动的网络访问可为用户提供更为顺畅的连接体验，而不影响进程的安全性。对于管理员，从交换机端口或远程访问网关配置来提升网络访问控制可简化管理。在这两种情况下，最终结果均是提高了生产力和组织网络运行状态的总体改进，即使网络中的各方具备不同的访问权限（例如，受邀来宾或其他来宾、供应商、合作伙伴和员工）也是如此。

与任何其他安全项目相同，实施策略驱动的网络访问的第一步是开发一组全面的操作策略。这通常包括以下几方面的指导方针：

一旦开发出访问策略，您将需要选择那些既能轻松部署，又能有效地强制执行它们的技术。Windows Server® 2008 正是您理想的选择。这是因为它不仅是目前为止最安全的 Windows Server，还为管理员提供了稳固的安全平台，让策略驱动的网络访问解决方案具备了扎实的基础。在其众多新功能和增强功能中，Windows Server 2008 提供了大量必要组件，用于实现以策略为基础的安全网络访问，从而有助于确保敏感信息不受损坏。

Windows Server 2008 中网络安全改进的核心是下一代 TCP/IP 堆栈，它是平台联网功能和相关服务的一项重大更新。除了提高的网络性能和可伸缩性，Windows Server 2008 还提供了一系列集成的网络功能，它们为构建策略驱动的网络访问解决方案奠定了坚实的基础，从而使网络更加安全。

Internet 协议安全 (IPsec) 就是在 Windows Server 2008 中得到重要升级的一项此类功能，它在策略驱动的网络访问方法中扮演着重要角色。现在，这不是指使用 IPsec 作为通道和加密协议，而是充分利用其主机对主机网络验证功能。此外，由于 IPsec 在第 3 层工作，因此可利用它在各个网络类型中强制执行网络访问策略。

为了有助于更加轻松地实现基于 Ipsec 的网络访问控制，Windows Server 2008 引进了许多改进和新功能，旨在简化策略创建、实施和维护。例如，增加了可用 IPsec 验证方法的数量和类型。这是通过引进验证 IP (AuthIP) 来实现的，它是对 Internet 密钥交换 (IKE) 协议的扩展。您可以使用 AuthIP 编写连接安全规则（Windows Server 2008 中 IPsec 策略的另一名称），这些规则要求通信方不仅使用计算机凭据，还可以有选择地使用用户或运行状况凭据来成功地对彼此进行验证。这种新增的灵活性使您可以设计极为复杂的逻辑网络，同时又不必升级您的交换和路由基础结构。

具有高级安全性的新 Windows 防火墙以我们刚刚提到的 IPsec 功能为基础。通过将 IPsec 连接安全性规则与防火墙过滤器组合到一个策略中，新的 Windows 防火墙引进了另一种策略驱动的网络访问维度：更智能化的验证防火墙操作。

如图 1 所示，在定义入站或出站防火墙过滤器应采取的具体操作时，您可从三个选项中进行选择：允许、阻隔或仅在安全时允许。选中“Allow the connection if it is secure”（在安全情况下允许连接）时，Windows 防火墙会利用 IPsec 的主机对主机网络验证功能来确定：基于您已定义的策略，是否应批准主机或用户的连接请求。您可以使用防火墙规则设定哪些用户、计算机和组有权进行连接。值得注意的是，这增加了一个附加保护层，从而对现有的操作系统和应用程序级访问控制起到了支持作用。

到目前为止，您应了解到：如何可以通过一项集中式策略将不同的网络安全控制归纳到一起，从而更加灵活、有效地管理网络访问。

返回到 CRM 示例：管理员可以选中“Allow the connection if it is secure”（在安全情况下允许连接）选项，为运行公司 CRM 应用程序（通过程序的可执行文件或服务端口）的服务器创建入站规则。在相同的防火墙策略内，管理员可以指定只有“CRM Application Users”（CRM 应用程序用户）组的成员可以连接到此网络应用程序，如图 2 中所示。如果您采用此相同概念并将其扩大到您网络上所有受控计算机之间的网络通信，则您的策略驱动网络访问政策中现在又会新增一个“服务器和域隔离”层。

大多数组织正面临着越来越多的来宾和其他不受控设备连接到其网络的情况，因此，能够以某种方式分离并保护您的信任主机已成为当务之急。令人庆幸的是，有许多途径可以将信任和受控的计算机与网络中的其他设备相隔离。但是，这些方法大多成本高昂（如另行铺设物理电缆系统），并且在网络扩大时难于维护（例如基于交换机的 VLAN）。

“服务器和域隔离”提供了一种更具成本效益和可控性的方式，将您所处的环境划分为逻辑上彼此分离且安全的网络。如图 3 所示，您基本上是使用我们先前提到的连接安全性规则（即 IPsec 策略），但通过 Active Directory® 组策略将其映射到所有受控计算机。这导致网络访问策略要求所有对等方在开始任何通信之前，先要彼此成功地验证身份。由于这种隔离发生在第 3 层，因此这些访问控制的实施可跨越物理和地理界限扩大到集线器、交换机和路由器。

要创建隔离的网络，需要根据所需的访问类型划分网络上的不同计算机。策略可被定义为允许隔离网络上的计算机向网络中的所有计算机发起通信，包括不在隔离网络中的计算机。反之，隔离网络外的计算机不能向隔离网络内的计算机发起通信。实际上，隔离网络内的计算机会忽略从隔离网络外的计算机发出的所有通信请求。

Active Directory 域和域成员关系用于强制执行网络策略。域成员计算机仅接受来自其他域成员计算机的已验证且安全的通信。或者，也可强制要求加密隔离域内的所有通信。

由于无需对现有网络基础结构或应用程序进行重大变更，因此“服务器和域隔离”可带来巨大的成本优势。此解决方案筑造起了启用策略的防护屏，不但有助于抵御极具破坏力的网络攻击和对受信任网络资源进行未经授权的访问，并且无需在网络拓扑发生变化时持续进行维护。

如前所述，“服务器和域隔离”解决方案确保从逻辑上分隔网络上的不同计算机和服务器。它有助于防止对网络进行未经授权的访问，但不能保证已授权的计算机万无一失。

网络访问保护 (NAP) 是 Windows Server 2008 中的一个内置平台，用于确保连接到网络或通过网络通信的计算机达到您所定义的系统运行状况要求（即，安全性和策略合规性）。

即使是授权的用户也会时常成为网络上传播病毒和间谍软件的载体。例如，用户休假时，管理员可能没有对其计算机设置安全要求合规性。如果在此期间发布的强制性补丁程序或签名未能安装到计算机上，则可能会产生严重后果。

跟踪连接到网络的每名用户远远超出了管理员的能力范围。我们需要的是一种自动化工具，可以验证每台联网计算机的运行状况合规性，从而根据中央策略修正所有不合规定的状况。而 NAP 的职责正是如此，以便向您的策略驱动网络访问解决方案添加另一个层。

NAP 代理—内置于客户端计算机的操作系统中（如 Windows Vista®）或单独安装（对于旧版的 Windows 和非 Windows 操作系统）—向网络策略服务器 (NPS) 报告所有合规性方面的问题，该服务器是内置于 Windows Server 2008 中的一个策略引擎。您是在 NPS 中定义每台设备必须遵循的合规性策略。

在必须限制未通过合规性检查的设备的同时，确保它们可以进行隔离和修正也非常重要。在启用防火墙或防病毒解决方案的情况下，您可以使用 NAP 自动修正设备；或者以手动方式强制其进入隔离区。此时，设备可以访问带有最新补丁程序、更新和签名的修正服务器。一旦用户手动更新设备，在通过合规性验证后，便会授予其对网络的访问权限。

随着普及程度的提高，网络访问已越来越简单。但是，这又带来了额外的负担，必须确保设备在任何访问机制下都能保持良好的运行状况且符合规定。计算机可通过兼容 802.1X 的常规交换机或无线接入点访问网络，也可以使用 VPN 或基于终端服务的远程访问连接从住宅进行远程连接。NAP 不但可以确保通过不同机制联网的计算机满足规定要求，还在 DHCP 服务器、802.1X 交换机、VPN 网关、终端服务网关或兼容 802.1X 的无线访问点提供了强制执行措施。

在图 4 中，已使用服务器和域隔离解决方案对网络进行了隔离。将 NAP 与这样的隔离网络配合使用还有其他益处，那就是可以确保联网计算机的运行状况合规性。客户端在启动后，将其运行状况声明 (SoH) 发送给运行状况注册授权机构 (HRA)，它是一个证书服务器。HRA 向 NPS 递交 SoH 进行策略验证。如果 SoH 有效，HRA 会向 NAP 客户端签发运行状况证书，客户端即可与安全资源进行基于 Ipsec 的安全通信。如果 SoH 无效，HRA 会告知 NAP 客户端如何更正其运行状况，但不签发运行状况证书。如果其他计算机需要运行状况证书以进行 IPsec 验证，则 NAP 客户端无法与它们通信。但是，NAP 客户端可以与修正服务器通信，以便自身达到合规性。

尽管我们只是介绍了 Windows Server 2008 中新特性和功能的皮毛，但识别每个组件如何构建在原有基础之上非常重要。与传统的深层防御方法相比，这一转变源自 Windows Server 2008 中提供的基础策略架构，例如，Active Directory 组策略。

您将可以为定义和部署策略驱动的网络访问解决方案奠定坚实的工作基础，同时还能利用现有投资，这都归功于此集成式方法。通过将访问决策上升至更具逻辑性且以策略为中心的层，您将有机会根据自己的需要在“便利访问”和“更高的安全性”之间寻求一种平衡行为。

Microsoft 已发布了大量指导性资料，它们深入剖析了本文章中提到的技术领域。我们建议您首先查看这些文章和分步指南，以便对各种功能的运行有个大致印象。（侧栏“Networking Resources”（联网资源）中的链接可帮助您入门。）然后，考虑部署每个阶段，注意使前一阶段为后一阶段打下良好的基础。

例如，按照“具有高级安全性的 Windows 防火墙”一节中所述，为您以任务为中心的应用程序创建一组这样的验证防火墙规则。达到要求后，您可以扩展连接安全性规则以隔离您的网络域，然后在其上部署 NAP。实施策略驱动的网络访问政策的益处很大，包括帮助您与日新月异的公司网络保持步调一致。