网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP（DEMO演示）
和其他厂商的合作
应用实例(MS IT)分析
Q&A
健康计算机
不健康的计算机
私有网络
NAP
Network Policy
Server
Network Policy
Server
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP（DEMO演示）
和其他厂商的合作
应用实例(MS IT)分析
Q&A
策略评估
网络限制约束
补救
继续依从策略
数据
应用程序
主机
内部网络
边界网络
策略, 过程和通告
策略服务器
MSFT Security Center,
SMS, Antigen
or 3rd party
3
1
Windows
Vista 客户机
优点：
2
DHCP, VPN
Switch/Router
MSFT
Network
Policy Server
不符合策略
要求
4
受限网络
修补服务器
WSUS, SMS &
3rd party
符合策略
要求
5
企业内部网络
安全增强
所有的通讯都经过验证授权并保证是健康的
采用DHCP, VPN, IPsec, 802.1X等技术实现了深度防御
基于策略的访问使得设置和控制均可实现
强制方式
健康客户机
不健康的客户机
DHCP
可以访问整个网络
限制可访问的网络（由路
由器加以限制）
VPN (Microsoft
and 3rd Party)
完全访问
基于IP包过滤器的过滤
802.1X
完全访问
通过IP包过滤器过滤或 虚
拟局域网来限制
能够和任何受信客户端 健康的通讯伙伴将拒绝不
进行通讯
符合要求的通讯请求
IPsec
• 是2层保护的补充
• 可以工作在现有的服务器和网络基础结构之上
• 很容易实现隔离
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP（DEMO演示）
和其他厂商的合作
应用实例(MS IT)分析
Q&A
NAP – 强制选项
NAP with DHCP
基于IPSEC的通讯
NAP with RRAS
Network Policy Server (NPS)
Network Access Protection (NAP) Policy
Server
IEEE 802.11 Wireless
IEEE 802.3 Wired
RADIUS Server
RADIUS Proxy
Routing and Remote Access
Remote Access Service
Routing
Health Registration Authority (HRA)
修补服务器
系统健康服务器
更新
客户机
Health policy
安全申明
网络访问请求
系统安全代理(SHA)
MS Network
Policy Server
微软或其他
隔离代理(QA)
强制客户端 (EC)
(DHCP, IPSec, 802.1X, VPN)
安全证书
网络接入设备和服务器
系统安全检察
隔离服务器(QS)
我需要一个IP租约
请求接入
这是我的健康状态.
客户机
IEEE 802.1X
设备
DHCP Server
你不符合健康要求
客户机要求更新
修补服务器
NPS Server
VPN Server
允许接入，这是你的新
的IP地址
基于DHCP的NAP
问题：(DHCP的NAP实际上是微软的DHCP
什么技术的发展？)
安全网络
IPsec Authenticated
Unauthenticated
边界网络
受限网络
基于IPSEC的NAP
问题：如果这台计算机不是域内的计算机，它能不能从HRA
（健康代理）那里获得证书呢？
RADIUS 消息
PEAP 消息
Client
VPN Server
修补服务器
NPS Server
基于VPN的NAP
问题：和传统的VPN隔离网络相比，它们之间有什么异同呢？
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP（DEMO演示）
和其他厂商的合作
应用实例(MS IT)分析
Q&A
和传统的Cisco厂商所提供的NAC比较
微软的NAP有自己独特的地方
因为集成在操作系统中，所以可以完美的实现在网络和主机
两个层面上实施防护
网络层面的防护
主机层面的防护
Restricted Network
Remediation
Servers
System Health
Servers
Here you go.
Can I have
updates?
Ongoing policy
updates to Network
Server
ShouldPolicy
this client
May I have
access?
Requesting
access.
Here’s my
my new
current
Here’s
health
status.
health
status.
Client
You are given
restricted access
until fix-up.
802.1x
Switch
be restricted
based
on its health?
According to
MS NPS
According
to
policy, the client
policy,
client
is notthe
up to
date.
isQuarantine
up is
togranted
date. access to
Client
request it
fullclient,
intranet.
Grant
access.
to update.
No
Policy
Authenticati
on
Optional
Authenticati
on
Required
Required
May I have a health certificate?
Here’s my SoH.
Client
Client
You don’t get a health
Here’s your health
certificate.
certificate.
Go fix up.
I need updates.
Client ok?
HRA
HRA
Accessing the network
Yes.
Issuefix-up.
No.
Needs
health certificate.

Here you go.
Remediation
Remediation
Server
Server
NPS
NPS
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP（DEMO演示）
和其他厂商的合作
应用实例(MS IT)分析
Q&A
客户操作系统支持
Vista: DHCP, VPN, IPsec, 802.1x, Terminal Services,
Windows Security Center
XP NAP: 和vista一样支持, 目前beta版的客户端已经可用
其他厂商: NAP 跨平台授权
Longhorn Server Beta 3
新功能: NAP-NAC, SMSv4, MOMv3, XP 802.1x,
改善了管理
在微软IT部门和早期技术测试伙伴中已经开始推广
部署亮点
在微软的生产环境中部署超过75000台
在微软中开始担负起发现和修补不符合要求的系统的工作
NPS 正在执行数量高达百万的事务
所有TAP 客户在使用中
今天NAP正在微软大量的使用 .
NAP TAP 伙伴正在跟进
强制方式
Windows 2008服务
器数量
2 NPS/HRA Servers
– NT Dev Domain
IPSec
DHCP
2 NPS/HRA Servers
– Redmond and
North America
Domain
2 DHCP Servers
客户数量
Deferred enforcement
8,000 Vista Clients
Windows SHA (Firewall, AU
and AV)
32,000 Vista
Clients
Deferred enforcement
Wired – 11,900
IP’s
(B40,B41,43,44)
Reporting mode only
Wireless – 5100
IP’s
(B40,B41,43,44)
VPN
健康策略检察
SMS SHA
Windows SHA (Firewall, AU
and AV)
2 NPS
100 clients in Feb
Enforcement Mode
2 VPN
1000 clients in
March
Windows SHA (Firewall)
SCCM (patch management)
CA E-Trust (AV)
Windows 2008
server
网络设备
 DHCP
 2 NPS
Servers
 Wireless
802.1x
 2 NPS
Proxies
 Cisco Wired
Switches
 Windows SHA
(spyware, Firewall)
 Extreme
 Wired
802.1x
 2 DHCP
Servers
强制方式
 IPSec
Wired
Switches
 Aruba
Wireless
安全策略检察
 SCCM (patching)
 Computer
Associates (AV)
• 开发人员改善了错误报告
• 用户可以更清晰的理解NAP
强制，并更熟练的修改以依从
策略要求
网络接入安全需求分析
微软网络接入防护(NAP)解决方案概述
如何实现NAP（DEMO演示）
和其他厂商的合作
应用实例(MS IT)分析
防病毒
软件安全类
应用程序安全类
网络设备类
系统集成类
补丁类
站点和 白皮书
www.microsoft.com/nap
NAP FAQ
http://www.microsoft.com/technet/network/nap/napfaq.mspx
NAP Blog
http://blogs.technet.com/nap/default.aspx
Windows Server 2008
http://www.microsoft.com/windowsserver2008/default.mspx
答惑解疑
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.