Network Erişim Koruması (NAP) Internet Protokolü güvenliği (IPsec) zorlaması istemci bilgisayarın ağ durumu gereksinimleriyle uyumluluğunu sağlamanın en güçlü ve en esnek yöntemidir.

IPsec zorlaması ağınızdaki iletişimi uyumlu olarak kabul edilen ve sistem durumu sertifikası almış bilgisayarlarla sınırlar. IPsec ve yapılandırma yeteneğini kullanarak, bu NAP zorlama yöntemi uyumlu istemciler arasında güvenli iletişimin IP adresi başına veya bağlantı noktası numarası temelinde gereksinimlerini tanımlamanıza izin verir. IPsec hakkında daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?LinkId=50170 (Bu sayfa İngilizce içeriğe sahip olabilir).

IPsec zorlamasının yararları

802.1X, DHCP veya VPN zorlamasının sağladığından daha güçlü ve daha dayanıklı bir zorlaması istediğinizde genelde IPsec zorlaması kullanılır. IPsec zorlamasının yararları aşağıda açıklanmıştır:

Yetkisiz değiştirmeye dayanıklı zorlama

IPsec zorlaması NAP istemcisini yeniden yapılandırarak geçilemez. Bir kullanıcı yerel yönetici önceliklerine sahip olsa bile, yerel bilgisayarlardaki ayarlarla oynayarak NAP istemcisi bir sistem durumu sertifikası alamaz veya uyumlu bir bilgisayarla iletişim başlatamaz. Buna ek olarak, IPsec zorlaması hub'lar veya sanal bilgisayar teknolojilerini kullanarak da geçilemez.

Altyapı yükseltmesi gerekli değildir

IPsec zorlaması TCP/IP protokol takımının Internet katmanında çalışır ve bu yüzden, hub, anahtarlar ve yönlendiriciler gibi ağ altyapı bileşenlerinden bağımsızdır.

Ağ erişimi sunucu başına veya uygulama başına sınırlandırılır

IPsec zorlamasıyla, uyumlu bilgisayarlar uyumlu olmayan bilgisayarlarla iletişim başlatabilir, ancak uyumlu olmayan bilgisayarlar uyumlu olanlarla iletişimi başlatamaz. Yönetici, bir sistem durumu sertifikasıyla doğrulanmış ve IPsec ilke ayarlarıyla IPsec ile korunan trafik türünü tanımlar. IPsec ilkesi, kaynak IP adresi, hedef IP adresi, IP protokol numarası, kaynak ile hedef TCP bağlantı noktası ve kaynak ile hedef UDP bağlantı noktasına göre trafiği tanımlayabilecek IP filtrelerinin oluşturulmasını sağlar. IPsec ilkesi ve IP filtresi tanımıyla, sunucu başına veya uygulama başına temelde ağ erişimini sınırlamak mümkündür.

İsteğe bağlı uçtan uca şifreleme

IPsec ilkesi ayarlarını belirterek, yüksek derecede duyarlı trafik için IPsec uçları arasındaki IP trafiğini şifreleyebilirsiniz. Yalnızca kablosuz istemciden kablosuz erişim noktası arasındaki çerçeveleri şifreleyen, IEEE 802.11 kablosuz yerel ağlarından (LAN) farklı olarak, IPsec şifrelemesi IPsec uç bilgisayarları arasındadır.

IPsec zorlaması ve mantıksal ağlar

IPsec zorlaması fiziksel ağı üç mantıksal ağa böler. Bir bilgisayar herhangi bir anda bir mantıksal ağın bir üyesidir. Mantıksal ağlar, gelen iletişim denemeleri için hangi bilgisayarların sistem durumu sertifikalarına sahip olduğunu ve hangi bilgisayarların IPsec kimlik doğrulaması gerektirdiğine göre tanımlanır. Mantıksal ağlar sistem durumu gereksinimlerine uymayan bilgisayarların erişimini izin verir ve uyumlu bilgisayarlarla uyumlu olmayanlar arasında bir korunma düzeyi sağlarlar. IPsec zorlaması aşağıdaki mantıksal ağları tanımlar:

  • Güvenli ağ

    Güvenli ağdaki bilgisayarların sistem durumu sertifikaları vardır ve gelen iletişim denemelerinin kimlik doğrulamasının bu sertifikalarla yapılması gerekir. IPsec koruması sağlamak için IPsec ilkesi ayarlarının ortak bir kümesini kullanırlar. Örneğin, Active Directory® altyapısının üyesi olan çoğu sunucu ve istemci bilgisayarlar güvenli bir ağda olur. NAP sistem durumu ilkesi sunucuları, Active Directory Sertifika Hizmetleri'ni (AD CS) çalıştıran sunucular ve e-posta sunucuları normalde güvenli bir ağda bulunan ağ bileşenlerinin örnekleridir.

  • Sınır ağ

    Sınır ağındaki bilgisayarların sistem durumu sertifikaları vardır ancak gelen iletişim denemeleri için bir IPsec kimlik doğrulaması gerektirmez. Sınır ağdaki bilgisayarlar tüm ağdaki bilgisayarlar için erişilebilir olmalıdır. Bu bilgisayar türleri NAP istemci durumunu değerlendirme ve düzeltilmesi için gereken veya HRA sunucuları, virüsten korunma sunucuları, salt okunur etki alanı denetleyicileri ve DNS sunucuları gibi kısıtlı ağdaki bilgisayarlara ağ hizmeti sağlayan sunuculardır. Sınır ağdaki bilgisayarlar kimlik doğrulama veya korumalı iletişim gerektirmediği için, güvenli ağdaki bilgisayarlara saldırı için kullanılmalarını engellemek amacıyla yakın bir şekilde yönetilmelidir.

  • Kısıtlı ağ

    Kısıtlı ağdaki bilgisayarların sistem durumu sertifikaları yoktur. Bunlar, sistem durumu denetimini tamamlamış, konuk veya NAP desteklemeyen Windows sürümü çalıştıran bilgisayarlar, Apple Macintosh veya UNIX tabanlı bilgisayarlar gibi NAP'a uygun olmayan bilgisayarlardır.

Aşağıdaki şekil IPsec mantıksal ağlarının bir örneğini gösterir.

IPsec ağı

Ek başvurular