Принудительная защита доступа к сети для политик IPSec брандмауэра Windows развертывается с использованием сервера сертификации работоспособности, сервера центра регистрации работоспособности, сервера политики сети и клиента принудительной защиты IPSec. Сервер сертификации работоспособности выдает клиентам защиты доступа к сети сертификаты X.509, подтверждающие, что эти клиенты достигли соответствия. Впоследствии эти сертификаты используются для проверки подлинности клиентов защиты доступа к сети, когда они инициируют обмен данными по протоколу IPsec с другими клиентами защиты доступа к сети, находящимися во внутренней сети.

Применение IPsec ограничивает обмен данными в сети соответствующими клиентами и обеспечивает наиболее строгую реализацию защиты доступа к сети. Поскольку в этом методе применения используется протокол IPsec, можно определить требования к безопасному взаимодействию как для IP-адресов, так и для номеров TCP/UDP-портов.

Требования

Для развертывания защиты доступа к сети с IPsec и центром регистрации работоспособности необходимо выполнить следующие действия:

  • На сервере сетевых политик необходимо настроить политику запросов на подключение, сетевую политику и политику работоспособности защиты доступа к сети. Можно настроить эти политики по отдельности с помощью консоли сервера политики сети или воспользоваться мастером Новая политика защиты доступа к сети.

  • Включить клиент применения защиты доступа к сети по протоколу EAP и службу NAP на клиентских компьютерах с поддержкой защиты доступа к сети.

  • Установить центр регистрации работоспособности на локальном или удаленном компьютере.

  • Установить и настроить службы сертификации Active Directory® и шаблоны сертификатов.

  • Настроить групповую политику и другие параметры, требуемые для развертывания.

  • В зависимости от конфигурации защиты доступа к сети настроить средство проверки работоспособности системы безопасности Windows или установить и настроить другие агенты работоспособности системы и средства проверки работоспособности системы.

Если центр регистрации работоспособности не установлен на локальном компьютере, необходимо также выполнить следующие действия:

  • Установить сервер политики сети на компьютере, где выполняется центр регистрации работоспособности.

  • Настроить сервер политики сети на удаленном сервере с сервером политики сети и центром регистрации работоспособности в качестве RADIUS-прокси для перенаправления запросов на подключение на локальный сервер политики сети.

Для получения дополнительных сведений о центре регистрации работоспособности откройте консоль этого центра, нажмите клавишу F1 и изучите справку.

  • Применение защиты доступа к сети для DHCP
  • Принудительная защита доступа к сети для шлюза удаленных рабочих столов