Tvingande NAP (Network Access Protection) för IPsec (Internet Protocol security) är den starkaste och mest flexibla metoden för att se till att klientdatorer följer nätverkshälsokrav.

Tvingande IPsec innebär att kommunikationen på nätverket begränsas till de datorer som anses uppfylla kraven och som har erhållit hälsocertifikat. Genom att använda IPsec med dess flexibla konfiguration kan du med den här tvingande NAP-metoden definiera kraven för säker kommunikation med klienter som uppfyller kraven med utgångspunkt i IP-adress eller portnummer. Mer information om IPsec finns på https://go.microsoft.com/fwlink/?LinkId=50170 (sidan kan vara på engelska).

Fördelar med tvingande IPsec

Tvingande IPsec används ofta när du vill ha en starkare och robustare tvingande mekanism än vad tvingande 802.1X, DHCP eller VPN kan ge. Här följer några av fördelarna med tvingande IPsec:

Står emot försök till modifiering

Tvingande IPsec kan inte förbigås genom att omkonfigurera en NAP-klient. En NAP-klient kan inte motta ett hälsocertifikat eller initiera kommunikation med en dator som uppfyller kraven genom att ändra inställningarna på den lokala datorn även om användaren har lokala administratörsbehörigheter. Dessutom kan tvingande IPsec inte förbigås med hjälp av nav eller virtuell datorteknik.

Infrastrukturen behöver inte uppgraderas

Tvingande IPsec arbetar i Internetskiktet i protokollsviten för TCP/IP och är därför oberoende av fysisk infrastruktur i nätverket som nav, växlar och routrar.

Nätverksåtkomsten kan begränsas för varje server eller varje program

Med tvingande IPsec kan datorer som uppfyller kraven påbörja kommunikation med datorer som inte uppfyller kraven, men det motsatta går inte. Administratören definierar vilken typ av trafik som måste autentiseras med ett hälsocertifikat och skyddas med IPsec via IPsec-principinställningar. IPsec-principen tillåter att IP-filter skapas som kan definiera trafik genom käll-IP-adress, mål-IP-adress, IP-protokollnummer, käll- och mål-TCP-port samt käll- och mål-UDP-port. Med IPsec-principen och definition av IP-filter är det möjligt att begränsa nätverksåtkomst för varje enskild server eller varje enskilt program.

Valfri kryptering från slutpunkt till slutpunkt

Du kan kryptera mycket känslig IP-trafik mellan IPsec-motparter genom att ange inställningar för IPsec-principen. Till skillnad från IEEE 802.11 trådlösa LAN (local area networks), som endast krypterar ramar från den trådlösa klienten till den trådlösa åtkomstpunkten, sker IPsec-kryptering mellan IPsec-motparter.

Tvingande IPsec och logiska nätverk

Tvingande IPsec delar upp ett fysiskt nätverk i tre logiska nätverk. En dator är bara medlem i ett logiskt nätverk i taget. De logiska nätverken definieras enligt vilka datorer som har hälsocertifikat och vilka som kräver IPsec-autentisering för inkommande kommunikationsförsök. Med logiska nätverk kan du begränsa åtkomsten för datorer som inte uppfyller hälsokraven och förse datorer som uppfyller kraven med ett visst mått av skydd mot datorer som inte gör det. Tvingande IPsec definierar följande logiska nätverk:

  • Säkert nätverk

    Datorer på det säkra nätverket har hälsocertifikat och kräver att inkommande kommunikation autentiseras med dessa certifikat. De använder en gemensam uppsättning IPsec-principinställningar för sitt IPsec-skydd. De flesta server- och klientdatorer som är medlemmar i en Active Directory®-infrastruktur är t.ex. i ett säkert nätverk. NAP-hälsoprincipservrar, servrar som kör Active Directory-certifikattjänster och e-postservrar är exempel på nätverkskomponenter som ofta befinner sig i ett säkra nätverk.

  • Barriärnätverk

    Datorer på barriärnätverket har hälsocertifikat men kräver inte IPsec-autentisering av inkommande kommunikationsförsök. Datorer i barriärnätverket måste vara tillgängliga för datorer på hela nätverket. Den här typen av datorer är servrarna som krävs för att utvärdera och reparera hälsan för NAP-klienter eller på andra sätt förse datorer i det begränsade nätverket med nätverkstjänster, t.ex. HRA-servrar, servrar för uppdatering av antivirusprogram, skrivskyddade domänkontrollanter och DNS-servrar. Eftersom datorer i barriärnätverket inte kräver autentisering och skyddad kommunikation måste de övervakas noga så att de inte används till att attackera datorer i det säkra nätverket.

  • Begränsat nätverk

    Datorer i det begränsade nätverket har inte hälsocertifikat. De här datorerna har inte genomfört hälsokontroller, är gäster eller är datorer som inte är kompatibla med NAP, t.ex. datorer som kör Windows-versioner som inte stöder NAP, Apple Macintosh- datorer och UNIX-baserade datorer.

I illustrationen nedan visas ett exempel på logiska IPsec-nätverk.

IPsec-nätverk

Ytterligare referenser