网络访问保护 (NAP) Internet 协议安全 (IPSec) 强制可提供最强且最灵活的方法来维护客户端计算机与网络健康要求兼容。

IPSec 强制限制在网络上与那些被认为兼容且已获得健康证书的计算机的通信。通过利用 IPSec 及其配置灵活性,您可以使用此 NAP 强制方法在每个 IP 地址或端口号基础上定义与兼容客户端进行安全通信的要求。有关 IPSec 的详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=50170(可能为英文网页)。

IPSec 强制的益处

当您需要比 802.1X、DHCP、或 VPN 强制提供的强制机制更强大且更稳健的强制机制时,通常会使用 IPSec 强制。以下是 IPsec 强制的益处:

防篡改强制

无法通过重新配置 NAP 客户端跳过 IPSec 强制。即使用户具有本地管理员权限,NAP 客户端也无法接收健康证书,或通过操纵本地计算机上的设置启动与兼容计算机之间的通信。此外,无法通过使用集线器或虚拟计算机技术跳过 IPSec 强制。

无需升级基础结构

IPSec 强制在 TCP/IP 协议集的 Internet 层工作,因此独立于物理网络基础结构组件,如集线器、交换机和路由器。

基于每个服务器或每个应用程序限制网络访问

使用 IPSec 强制,兼容计算机可以启动与非兼容计算机之间的通信,但非兼容计算机无法启动与兼容计算机之间的通信。管理员定义流量类型,必须使用健康证书验证此流量并通过 IPSec 策略设置使用 IPSec 保护该流量。使用 IPSec 策略,可创建 IP 筛选器,它可按源 IP 地址、目标 IP 地址、IP 协议号、源和目标 TCP 端口以及源和目标 UDP 端口定义流量。使用 IPSec 策略和 IP 筛选器定义,可以在每台服务器或每个应用程序基础上限制网络访问。

可选的端对端加密

通过指定 IPSec 策略设置,可以加密 IPSec 对等端之间的 IP 通讯以获得高敏感流量。与 IEEE 802.11 无线局域网 (LAN) 不同,它仅加密从无线客户端到无线访问点的帧,而 IPSec 加密在 IPSec 对等计算机之间进行。

IPSec 强制和逻辑网络

IPSec 强制将物理网络分成三个逻辑网络。一台计算机在任何时候都只是一个逻辑网络的成员。根据哪些计算机具有健康证书以及哪些计算机要求为传入通信尝试进行 IPSec 身份验证来定义逻辑网络。通过逻辑网络,您可以限制对不满足健康要求的计算机的访问,并从非兼容计算机为兼容计算机提供一定程度的保护。IPSec 强制定义了以下逻辑网络:

  • 安全网络

    安全网络上的计算机具有健康证书,并要求使用这些证书对传入通信进行身份验证。它们使用一组常用 IPSec 策略设置来提供 IPSec 保护。例如,大多数属于 Active Directory® 基础结构的服务器和客户端计算机将位于安全网络中。NAP 健康策略服务器、运行 Active Directory 证书服务 (AD CS) 的服务器,以及电子邮件服务器是通常位于安全网络中的网络组件的示例。

  • 边界网络

    位于边界网络上的计算机具有健康证书,但不要求对传入通信尝试进行 IPSec 身份验证。整个网络中的计算机必须都可以访问边界网络上的计算机。这些类型的计算机是评估并修正 NAP 客户端运行状况或为受限网络中的计算机提供网络服务所需的服务器,如 HRA 服务器、防病毒更新服务器、只读域控制器和 DNS 服务器。由于边界网络中的计算机无需进行身份验证和受保护的通信,因此必须小心管理它们,以防它们被用于攻击安全网络中的计算机。

  • 受限网络

    受限网络中的计算机没有健康证书。这些计算机尚未完成健康检查,是来宾计算机或 NAP 不合格的计算机,如运行不支持 NAP 的 Windows 版本的计算机、Apple Macintosh 计算机或基于 UNIX 的计算机。

下图显示 IPSec 逻辑网络示例。

IPsec 网络

其他参考