ネットワーク アクセス保護 (NAP) のインターネット プロトコル セキュリティ (IPSec) 強制は、クライアント コンピューターのネットワーク正常性要件への準拠を維持するための、最も強力で柔軟な方法です。

IPsec 強制では、準拠していると見なされて正常性証明書を取得したコンピューターだけがネットワーク上で通信を許可されます。IPsec とその構成の柔軟性を利用することで、この NAP 強制方法では、準拠しているクライアントとのセキュリティ保護された通信のための要件を、IP アドレスまたはポート番号ごとに定義できます。IPsec の詳細については、https://go.microsoft.com/fwlink/?LinkId=50170 (英語の可能性あり) を参照してください。

IPsec 強制のメリット

IPsec 強制は、802.1X、DHCP、VPN の強制よりも強力で堅牢な強制方法が必要な場合に一般に使用されます。IPsec 強制には次のようなメリットがあります。

改ざんされにくい強制

NAP クライアントを再構成して IPsec 強制を迂回することはできません。NAP クライアントは、ユーザーがローカルの管理者特権を持っている場合でも、ローカル コンピューターの設定を操作することで正常性証明書を受け取ったり、準拠するコンピューターと通信を開始したりすることはできません。また、ハブや仮想コンピューター テクノロジを使用して IPsec 強制を迂回することはできません。

インフラストラクチャのアップグレードが不要

IPsec 強制は TCP/IP プロトコル群のインターネット層で動作するため、ハブ、スイッチ、ルーターなどの物理ネットワーク インフラストラクチャ コンポーネントから独立しています。

サーバーごと、またはアプリケーションごとにネットワーク アクセスを制限できる

IPsec 強制では、準拠しているコンピューターが準拠していないコンピューターとの通信を開始することはできますが、準拠していないコンピューターが準拠しているコンピューターとの通信を開始することはできません。管理者は、正常性証明書で認証し、IPsec ポリシー設定を通じて IPsec で保護する必要のあるトラフィックの種類を定義します。IPsec ポリシーでは、発信元 IP アドレス、宛先 IP アドレス、IP プロトコル番号、発信元と宛先の TCP ポート、および発信元と宛先の UDP ポートでトラフィックを定義する IP フィルターを作成できます。IPsec ポリシーと IP フィルター定義を使用することで、サーバーごとまたはアプリケーションごとにネットワーク アクセスを制限することができます。

オプションのエンド ツー エンドの暗号化

IPsec ポリシー設定を指定することで、非常に機密性が高いトラフィックに対し、IPsec ピア間で IP トラフィックを暗号化することができます。IEEE 802.11 ワイヤレス ローカル エリア ネットワーク (LAN) では、ワイヤレス クライアントからワイヤレス アクセス ポイントへのフレームだけが暗号化されますが、IPsec の暗号化は IPsec ピア コンピューター間で行われます。

IPsec 強制と論理ネットワーク

IPsec 強制では、物理ネットワークが 3 つの論理ネットワークに分割されます。コンピューターは、どの時点においても、いずれか 1 つのみの論理ネットワークのメンバーとなります。論理ネットワークは、正常性証明書を持っているコンピューターと、着信の通信要求に対して IPsec 認証が必要なコンピューターで定義されます。論理ネットワークを使用すると、正常性要件を満たさないコンピューターのアクセスが制限され、準拠しているコンピューターに対して準拠していないコンピューターからの一定レベルの保護が提供されます。IPsec 強制では、次の論理ネットワークが定義されます。

  • セキュリティ保護されたネットワーク

    セキュリティ保護されたネットワーク上のコンピューターは、正常性証明書を持ち、着信の通信要求に対しては、これらの証明書を使用した認証が必要です。これらのコンピューターでは、IPsec 保護を提供するために、共通の IPsec ポリシー設定を使用します。たとえば、Active Directory® インフラストラクチャのほとんどのサーバーとクライアント コンピューターは、セキュリティ保護されたネットワークに含まれます。NAP 正常性ポリシー サーバー、Active Directory 証明書サービス (AD CS) が動作するサーバー、および電子メール サーバーは、一般にセキュリティ保護されたネットワーク内に置かれるネットワーク コンポーネントの例です。

  • 境界ネットワーク

    境界ネットワーク上のコンピューターは正常性証明書を持っていますが、着信の通信要求では IPsec 認証は必要ありません。境界ネットワーク上のコンピューターは、ネットワーク全体のコンピューターにアクセスできる必要があります。このような種類のコンピューターは、NAP クライアントの正常性を評価し修正したり、制限付きネットワーク内のコンピューターに対してネットワーク サービスを提供する必要があるサーバーです。HRA サーバー、ウイルス対策更新サーバー、読み取り専用のドメイン コントローラー、DNS サーバーなどが該当します。境界ネットワーク内のコンピューターは認証や保護された通信が必要ないため、セキュリティ保護されたネットワーク内のコンピューターを攻撃するために利用されないように、厳重に管理する必要があります。

  • 制限付きネットワーク

    制限付きネットワーク上のコンピューターは、正常性証明書を持ちません。これらのコンピューターは、正常性チェックが完了していないか、ゲストであるか、NAP 非対応のコンピューターです。NAP 非対応のコンピューターには、NAP をサポートしていないバージョンの Windows が動作するコンピューターや、Apple Macintosh コンピューター、UNIX ベースのコンピューターなどが含まれます。

次の図に IPsec 論理ネットワークの例を示します。

IPsec ネットワーク

その他の参照情報