網路存取保護 (NAP) 網際網路通訊協定安全性 (IPsec) 強制提供最強且最有彈性的方法,維持用戶端電腦符合網路健康需求。

IPsec 強制限制您的網路與視為合格且取得健康情況憑證的電腦之間的通訊。利用 IPsec 與其設定彈性,此 NAP 強制方法可讓您針對每個 IP 位址或連接埠號碼,定義與合格用戶端的安全通訊需求。如需 IPsec 的相關資訊,請參閱 https://go.microsoft.com/fwlink/?LinkId=50170 (可能為英文網頁)

IPsec 強制的優點

當您想要有比 802.1X、DHCP 或 VPN 強制所提供的機制更強且更完備的強制機制時,通常使用 IPsec 強制。下列是 IPsec 強制的優點:

抗破壞的強制

重新設定 NAP 用戶端無法略過 IPsec 強制。即便使用者具有本機系統管理員權限,NAP 用戶端也無法透過操作本機電腦上的設定,接收健康情況憑證或起始與相容電腦的通訊。此外,使用集線器或虛擬電腦技術也無法略過 IPsec 強制。

不需要升級基礎結構

IPsec 強制在 TCP/IP 通訊協定套件的網際網路層運作,因此獨立於實體網路基礎結構元件 (例如集線器、交換器和路由器) 之外。

以每個伺服器或每個應用程式為基礎限制網路存取

使用 IPsec 強制,相容的電腦可以起始與不相容電腦的通訊,但是不相容電腦無法起始與相容電腦的通訊。系統管理員定義的流量類型,必須以健康情況憑證驗證,並透過 IPsec 原則設定以 IPsec 保護。IPsec 原則允許建立 IP 篩選器,可透過來源 IP 位址、目的地 IP 位址、IP 通訊協定號碼、來源與目的地 TCP 連接埠,以及來源與目的地 UDP 連接埠定義流量。使用 IPsec 原則和 IP 篩選器定義,就可以針對每個伺服器或每個應用程式限制網路存取。

選擇性端對端加密

透過指定 IPsec 原則設定,您可以加密 IPsec 對等體之間極容易受影響的流量之 IP 流量。和 IEEE 802.11 無線區域網路 (LAN) 不同,它僅加密無線用戶端到無線存取點的框架,而 IPsec 加密是介於 IPsec 對等體電腦之間。

IPsec 強制與邏輯網路

IPsec 強制將實體網路分成三個邏輯網路。一部電腦在任何時間都只是一個邏輯網路的成員。邏輯網路的定義是根據具備健康情況憑證的電腦,以及需要連入通訊嘗試的 IPsec 驗證的電腦。邏輯網路可讓您限制不符合健康需求的電腦存取權,以及提供相容電腦來自不相容電腦的保護等級。IPsec 強制定義下列邏輯網路:

  • 安全網路

    在安全網路上的電腦具有健康情況憑證,而且需要以這些憑證驗證連入通訊。它們使用一組通用的 IPsec 原則設定提供 IPsec 保護。例如,屬於 Active Directory(R) 基礎結構成員的大多數伺服器和用戶端電腦,都在安全網路中。NAP 健康原則伺服器、執行 Active Directory 憑證服務 (AD CS) 的伺服器,以及電子郵件伺服器都是網路元件的範例,通常位於安全網路中。

  • 邊界網路

    邊界網路上的電腦具有健康情況憑證,但不需要連入通訊嘗試的 IPsec 驗證。邊界網路中的電腦必須可讓整個網路上的電腦存取。這些類型的電腦是存取和修復 NAP 用戶端健康情況所需的伺服器,或是提供網路服務給限制的網路中的電腦,例如 HRA 伺服器、防毒更新伺服器、唯讀網域控制站以及 DNS 伺服器。因為邊界網路中的電腦不需要驗證和受保護的通訊,所以必須密切管理,以避免被用來攻擊安全網路中的電腦。

  • 限制的網路

    限制的網路中的電腦沒有健康情況憑證。這些是沒有完成健康情況檢查、來賓電腦或 NAP 不合格的電腦,例如執行不支援 NAP 的 Windows 版本、Apple Macintosh 或 UNIX 的電腦。

下圖顯示 IPsec 邏輯網路的範例。

IPsec 網路

其他參考資料