A Windows tűzfal IP-biztonsági (IPSec-) házirendjeinek NAP-kényszerítéséhez egy állapottanúsítvány-kiszolgálót, egy állapotjegyző (HRA) kiszolgálót, egy hálózati házirend-kiszolgálót futtató kiszolgálót és egy IPsec-kényszerítési ügyfelet kell telepíteni. Az állapottanúsítvány-kiszolgáló X.509 tanúsítványokat állít ki a hálózatvédelmi ügyfeleknek, ha azok kompatibilisnek bizonyulnak. Ezek a tanúsítványok a hálózatvédelmi ügyfelek hitelesítéséhez szükségesek, amikor azok IPsec-kommunikációt kezdeményeznek más hálózatvédelmi ügyfelekkel egy intraneten.

Az IPsec-kényszerítés a kompatibilis ügyfelekre korlátozza a kommunikációt a hálózaton, és a hálózatvédelem legerősebb implementációját biztosítja. Mivel ez a kényszerítési módszer IP-biztonságot alkalmaz, IP-címenként vagy TCP-/UDP-portszámonként határozhatja meg a biztonságos kommunikáció feltételeit.

Követelmények

Ha a hálózatvédelmet az IPsec és az állapotjegyző szolgáltatásokkal kívánja telepíteni, a következőket kell beállítania:

  • A hálózati házirend-kiszolgálón konfigurálja a kapcsolatkérelem-házirendet, a hálózati házirendet és a NAP állapotházirendjét is. Ezeket a házirendeket külön-külön is konfigurálhatja a hálózati házirend-kiszolgáló konzolján, vagy használhatja az Új hálózatvédelmi házirendek varázslót.

  • Engedélyezze a hálózatvédelem IPSec-kényszerítési ügyfelét és a hálózatvédelmi szolgáltatást a hálózatvédelemre képes ügyfélszámítógépeken.

  • Telepítse az állapotjegyző (HRA) szolgáltatást a helyi számítógépen vagy egy távoli számítógépen.

  • Telepítse és konfigurálja az Active Directory® tanúsítványszolgáltatásokat és a tanúsítványsablonokat.

  • Állítsa be a csoportházirendet, és adja meg a telepítéshez szükséges többi beállítást.

  • Konfigurálja a Windows biztonságiállapot-érvényesítő szolgáltatást, vagy telepítsen és konfiguráljon más rendszerállapot-ügynököket és rendszerállapot-érvényesítőket a NAP-telepítéstől függően.

Ha az állapotjegyző nincs telepítve a helyi számítógépre, a következőket kell még beállítania:

  • Telepítse a hálózati házirend-kiszolgálót egy olyan számítógépre, amelyen fut az állapotjegyző.

  • Konfigurálja a hálózati házirend-kiszolgálót egy távoli állapotjegyző hálózati házirend-kiszolgálón RADIUS-proxyként, hogy az továbbítsa a kapcsolódási kérelmeket a helyi hálózati házirend-kiszolgálónak.

További információt az állapotjegyzővel kapcsolatban az állapotjegyző konzol megnyitása és az F1 billentyű lenyomása után az állapotjegyző súgójában talál.


Tartalom