Принудительная защита доступа к сети посредством IPsec обеспечивает самый надежный и гибкий метод поддержки совместимости клиентских компьютеров с требованиями работоспособности в сети.

Внедрение IPsec ограничивает взаимодействие в сети только теми компьютерами, которые считаются совместимыми и получили сертификаты работоспособности. Так как при этом методе принудительной защиты доступа к сети используется IPsec с возможностью гибкой настройки, можно определить требования к безопасным подключениям совместимых клиентов по определенным IP-адресам или портам. Дополнительные сведения о протоколе IPsec см. на веб-сайте http://go.microsoft.com/fwlink/?LinkId=50170.

Преимущества принудительной защиты с помощью IPsec

Принудительная защита с помощью IPsec обычно используется, если необходим более сильный и надежный механизм принудительной защиты, чем защита с помощью 802.1X, DHCP или VPN. Далее перечислены преимущества принудительной защиты с помощью IPsec.

Устойчивая к взлому защита

Принудительную защиту IPsec невозможно обойти путем перенастройки клиента NAP. Клиент NAP не может получать сертификат работоспособности или связаться с совместимым компьютером путем изменения параметров на локальном компьютере, даже если пользователь имеет права локального администратора. Кроме того, принудительную защиту с помощью IPsec невозможно обойти путем использования технологий концентраторов или виртуальных компьютеров.

Нет необходимости в обновлении инфраструктуры

Принудительная защита с помощью IPsec работает с набором протоколов TCP/IP на уровне Интернета, поэтому она независима от компонентов физической инфраструктуры, таких как концентраторы, коммутаторы и маршрутизаторы.

Ограничение доступа к сети по серверам или по приложениям

При использовании принудительной защиты с помощью IPsec совместимые компьютеры могут начать взаимодействие с несовместимыми компьютерами, однако несовместимые компьютеры не смогут начать взаимодействие с совместимыми компьютерами. Администратор определяет тип трафика, который должен пройти проверку по сертификату работоспособности и должен быть защищен с помощью IPsec посредством параметров политики IPsec. Политика IPsec позволяет создавать IP-фильтры, с помощью которых можно определить трафик по IP-адресу источника, целевому IP-адресу, номеру IP-протокола, локальному и удаленному TCP-порту, а также по локальному и удаленному UDP-порту. С помощью политики IPsec и определения IP-фильтра возможно ограничить доступ к сети по серверам или по приложениям.

Дополнительное сквозное шифрование

Определяя параметры политики IPsec, можно шифровать трафик по протоколу IP между партнерами по IPsec для конфиденциального трафика. В отличие от беспроводных локальных сетей IEEE 802.11, которые шифруют кадры, идущие от беспроводного клиента на беспроводную точку доступа, шифрование IPsec происходит между партнерами по IPsec.

Принудительная защита с помощью IPsec и логические сети

Принудительная защита с помощью IPsec разделяет физическую сеть на три логических сети. Одновременно компьютер может являться членом только одной логической сети. Логические сети определяются по тому, какие компьютеры имеют сертификаты работоспособности и для каких компьютеров требуется проверка подлинности по IPsec для входящих подключений. С помощью логических сетей можно ограничить доступ компьютеров, которые не соответствуют требованиям к работоспособности, и предоставить совместимым компьютерам защиту от несовместимых компьютеров. С помощью принудительной защиты посредством IPsec можно определить следующие логические сети:

  • Безопасная сеть

    Компьютеры в безопасной сети имеют сертификаты работоспособности и требуют проверки подлинности входящих подключений с помощью этих сертификатов. Они используют общий набор параметров политики IPsec для предоставления защиты с помощью IPsec. Например, большинство серверов и клиентских компьютеров, являющихся членами инфраструктуры Active Directory® будут размещены в безопасной сети. Серверы политики работоспособности NAP, серверы, на которых работают службы сертификатов Active Directory, а также серверы электронной почты являются примерами компонентов сети, которые обычно располагаются в безопасной сети.

  • Пограничная сеть

    Компьютеры в пограничной сети имеют сертификаты работоспособности, но не требуют проверки подлинности по IPsec для входящих подключений. Доступ к компьютерам в пограничной сети должны иметь компьютеры всей сети. Эти типы компьютеров включают в себя серверы, необходимые для оценки работоспособности клиентов NAP или для предоставления сетевых служб для компьютеров в сети с ограниченным доступом, такие как серверы HRA, серверы обновления антивирусных программ, контроллеры домена, предназначенные только для чтения, и DNS-серверы. Так как компьютеры в пограничной сети не требуют проверки подлинности и защищенной связи, они должны быть хорошо управляемыми, чтобы предотвратить вероятность их использования для атаки компьютеров в безопасной сети.

  • Сеть с ограниченным доступом

    Компьютеры в сети с ограниченным доступом не имеют сертификатов работоспособности. Это компьютеры, которые не прошли проверку на работоспособность, гости, компьютеры, не поддерживающие NAP, например компьютеры, работающие под управлением операционных систем Windows, не поддерживающих NAP, компьютеры Apple Macintosh и компьютеры с операционными системами UNIX.

На следующем рисунке приведен пример логических сетей IPsec.

Сеть IPsec

Дополнительные источники информации

  • Устранение неполадок центра регистрации работоспособности
  • Проверка настройки клиента защиты доступа к сети