Windows 防火墙的 Internet 协议安全 (IPSec) 策略的网络访问保护 (NAP) 强制通过使用健康证书服务器、健康注册机构 (HRA) 服务器、运行网络策略服务器 (NPS) 的服务器和 IPSec 强制客户端进行部署。在确定 NAP 客户端符合要求后,健康证书服务器会向其颁发 X.509 证书。然后,当 NAP 客户端启动与 Intranet 上的其他 NAP 客户端的 IPSec 通信时,这些证书用来对 NAP 客户端进行身份验证。

IPSec 强制将网络上的通信限制于符合要求的客户端,并提供最强大的 NAP 实现。由于该强制方法使用 IPSec,您可以逐个 IP 地址或逐个 TCP/UDP 端口号地定义安全通信要求。

要求

若要使用 IPSec 和 HRA 部署 NAP,必须进行下列配置:

  • 在 NPS 中,配置连接请求策略、网络策略和 NAP 健康策略。可以使用 NPS 控制台分别配置这些策略,也可以使用“新建网络访问保护”向导进行配置。

  • 在支持 NAP 的客户端计算机上启用 NAP IPSec 强制客户端和 NAP 服务。

  • 在本地计算机或远程计算机上安装 HRA。

  • 安装和配置 Active Directory(R) 证书服务 (AD CS) 和证书模板。

  • 配置部署所需的组策略和其他设置。

  • 配置 Windows 安全健康验程序 (WSHV),或安装并配置其他系统健康代理 (SHA) 和系统健康验程序 (SHV),取决于您的 NAP 部署。

如果本地计算机上未安装 HRA,必须进行下列配置:

  • 在运行 HRA 的计算机上安装 NPS。

  • 将远程 HRA NPS 服务器上的 NPS 配置为远程身份验证拨入用户服务 (RADIUS) 代理,以将连接请求转发到本地 NPS 服务器。

有关 HRA 的详细信息,请打开 HRA 控制台,然后按 F1,以访问 HRA 帮助内容。


目录