Hálózatvédelmi infrastruktúra

A hálózat eléréséhez a NAP-ügyfél először információt kér állapotáról a rendszerállapot-ügynököknek (SHA) nevezett helyileg telepített szoftvertől. Az ügyfélszámítógépen telepített valamennyi rendszerállapot-ügynök információt szolgáltat a megfigyelendő aktuális beállításokról vagy műveletekről. A rendszerállapot-ügynökök információit a helyi számítógépen futó NAP-ügynök nevű szolgáltatás gyűjti. A NAP-ügynök összegzi a számítógép állapotadatait, és az információt továbbítja egy vagy több NAP-kényszerítési ügyfélnek. A kényszerítési ügyfelek olyan szoftverek, amelyek a hálózat elérése vagy a hálózaton való kommunikáció céljából létesítenek kapcsolatot a NAP-kényszerítési pontokkal.

A NAP-kényszerítési pont olyan kiszolgáló vagy hardvereszköz, amely valamilyen szintű hálózatelérést biztosít a NAP-ügyfélszámítógépnek. Minden NAP-kényszerítési technológia más típusú NAP-kényszerítési pontot használ, lásd az alábbi táblázatot.

A Windows Server 2008 vagy Windows Server 2008 R2 rendszert futtató NAP-kényszerítési pontokat NAP-kényszerítési kiszolgálónak nevezzük. Minden NAP-kényszerítési kiszolgálónak Windows Server 2008 vagy Windows Server 2008 R2 rendszert kell futtatnia. A 802.1X típusú NAP-kényszerítésnél a NAP-kényszerítési pont egy IEEE 802.1X-kompatibilis kapcsoló vagy vezeték nélküli hozzáférési pont. Az IPsec, DHCP és Távoli asztali átjáró használatával történő kényszerítésnél a NAP-kényszerítési kiszolgálón RADIUS-proxyként vagy NAP állapotházirend-kiszolgálóként konfigurált Hálózati házirend-kiszolgálót kell futtatni. A VPN-kényszerítést használó hálózatvédelemhez nem szükséges telepíteni a VPN-kiszolgálón a Hálózati házirend-kiszolgálót.

A NAP állapotházirend-kiszolgáló olyan, Windows Server 2008 vagy Windows Server 2008 R2 rendszerű számítógép, amelyen NPS szerepkör-szolgáltatást telepítettek és konfiguráltak a NAP-ügyfélszámítógépek állapotellenőrzése céljából. Minden NAP-kényszerítési technológiánál legalább egy állapotházirend-kiszolgálóra szükség van. A NAP állapotházirend-kiszolgálók házirendek és beállítások használatával értékelik a NAP-ügyfélszámítógépektől kapott hálózat-hozzáférési kérelmeket.

A NAP szervizkiszolgálók frissítéseket és szolgáltatásokat biztosítanak a nem megfelelő ügyfélszámítógépek számára. A szervizhálózat kialakításától függően a szervizkiszolgálót elérhetik a megfelelő számítógépek is. Néhány példa NAP szervizkiszolgálókra:

• Víruskeresési aláírásfájlokat tároló kiszolgálók. Ha az állapotházirendek megkövetelik a számítógépektől az aktuális vírusellenőrzési aláírást, a nem megfelelő számítógépeknek el kell érniük egy kiszolgálót, ahonnan megkaphatják ezeket a frissítéseket.
  
  
• A Windows Server Update Services szolgáltatás. Ha az állapotházirendek megkövetelik a számítógépektől az aktuális biztonsági frissítéseket és más szoftverfrissítéseket, ez teljesíthető a WSUS szolgáltatás szervizkiszolgálóra való telepítésével.
  
  
• A System Center kiszolgálókomponensei. A System Center Configuration Manager szolgáltatás kezelési pontjai, szoftverfrissítési pontjai és terjesztési pontjai tárolják a számítógépek megfelelő állapotra hozásához szükséges szoftverfrissítéseket. A NAP Configuration Manager eszközzel történő központi telepítése esetén a hálózatvédelemmel történő használatra alkalmas számítógépeknek hozzá kell férniük ezekhez a helyrendszer-szerepköröket futtató számítógépekhez, hogy letölthessék ügyfélházirendjüket, ellenőrizhessék a szoftverfrissítési követelményeknek való megfelelést és letölthessék a legújabb szoftverfrissítéseket.
  
  
• Tartományvezérlők. A nem megfelelő számítógépeknek hitelesítés céljára, a Csoportházirend szolgáltatásból történő házirend-letöltéshez vagy a tartományi profilbeállítások karbantartása céljából szükségük lehet a nem megfelelő hálózat tartományi szolgáltatásainak elérésére.
  
  
• DNS-kiszolgálók. Az állomásnevek feloldásához a nem megfelelő számítógépeknek hozzáféréssel kell rendelkezniük a DNS-kiszolgálókhoz.
  
  
• DHCP-kiszolgálók. A nem megfelelő számítógépeknek hozzáféréssel kell rendelkezniük a DHCP-kiszolgálóhoz olyan esetekben, ha a nem megfelelő hálózaton megváltozik az ügyfél IP-profilja vagy ha a DHCP-bérlet lejár.
  
  
• Hibaelhárító kiszolgálók. A szervizkiszolgáló-csoportok konfigurálása során lehetőség van egy hibaelhárítási URL-cím megadására, ahol azok az utasítások találhatók, amelyeket követve a számítógépek az állapotházirendnek megfelelő állapotra hozhatók. Az egyes állapotházirendekhez különböző URL-címek adhatók meg. Ezeknek az URL-címeknek a szervizhálózaton elérhetőknek kell lenniük.
  
  
• Egyéb szolgáltatások. Ha a szervizhálózaton internetelérést biztosít, a nem megfelelő számítógépek elérhetik a Windows Update szolgáltatást és más internetes szervizszolgáltatásokat.
  
  

Az állapotkövetelmény-kiszolgálók olyan számítógépek, amelyek állapotházirend-követelményeket és állapotértékelési információt biztosítanak egy vagy több rendszerállapot-érvényesítő (SHV) számára. Ha a NAP-ügyfél által jelentett állapotadatokat az NPS-kiszolgáló más eszközöktől kért információ nélkül érvényesítheti, akkor nincs szükség állapotkövetelmény-kiszolgálóra. A Windows biztonságiállapot-érvényesítővel (WSHV) használt WSUS-kiszolgáló például nem tekinthető állapotkövetelmény-kiszolgálónak. A rendszergazdák használhatják ugyan a WSUS szolgáltatást az ügyfélszámítógép számára szükséges frissítések meghatározására, de a szükséges telepítések elvégzéséről az ügyfélszámítógép küld jelentést. Ilyen felállásban a WSUS nem állapotkövetelmény-kiszolgáló, hanem szervizkiszolgáló.

Ha a NAP szolgáltatást a Configuration Manager rendszerállapot-érvényesítőjével telepíti, akkor használni fog állapotkövetelmény-kiszolgálót. A Configuration Manager rendszerállapot-érvényesítője az ügyfél állapotadatainak érvényesítése céljából kapcsolatba lép egy globáliskatalógus-kiszolgálóval, és ellenőrzi az Active Directory tartományi szolgáltatásokban (AD DS) közzétett állapotadat-hivatkozást. Ezért, ha telepítette a Configuration Manager rendszerállapot-érvényesítőjét, a tartományvezérlő állapotkövetelmény-kiszolgálónak minősül. Más rendszerállapot-érvényesítők is használhatnak állapotkövetelmény-kiszolgálókat.

• Hálózatvédelem (NAP) - áttekintés