做过很多项目,也接触过很多企业客户,尽管这些客户对于IT规划的需求是各不相同的,有的要求标准化的企业环境,有的要求自动化的系统部署,还有的要求实现应用系统的单点登录,但这些客户在做IT规划和实施的时候,都会最先考虑一个问题:安全。安全已经成为企业IT规划中的头等大事。随着IT技术、互联网的不断发展,我们说面临的安全威胁也越来越大,我们经常会听说,某某病毒爆发、某某蠕虫爆发、某某组织受到黑客攻击等类似的事件,甚至于还经常能听说某某杀毒软件误将操作系统搞崩溃,连安全软件厂商都不能保障我们的系统安全,企业该如何应对这与日俱增的风险? 谈到安全,这无疑是个复杂的问题,我们会经常谈到纵深的安全,因为仅仅凭借一个软件,一项技术是无法保障企业IT环境安全的。企业需要保障网络安全、系统安全、信息传递安全和数据的安全,这就需要我们有纵深的安全解决方案才能做到。 Windows Server 2008在安全方面也有了很大的改进,也能够为企业提供一些基本的纵深安全特性,为企业实现纵深安全解决方案提供了基础: 今天我想讨论的是网络访问的安全,企业用户在连入互联网的同时,也面临了各种各样的威胁,我们可以通过各种防火墙将这些安全威胁阻止掉,但来自于企业内部的网络连接威胁,企业往往就束手无策了。很多企业经常会有来宾访问,这些来宾如果携带了自己的笔记本,就可以直接连接到企业内部的网络中,而不会受到防火墙和各种外部访问策略的限制,如果这些笔记本中携带了恶意的应用程序、病毒、木马等,就会直接对企业内部网络安全造成影响。那么如何才能限制这些用户呢?在Windows Server 2008中为我们提供了一个非常强大的新功能:网络访问保护,也就是我们经常听到的NAP。其实之前也有类似的技术,如Cisco的NAC,Windows Server 2003 Resources Kit中的Network Access Quarantine Control。那么NAP能够实现怎样的功能呢? NAP主要包含几个部分内容: 1.健康策略验证:当一台客户端计算机试图连接到网络时,会根据设定的安全策略对计算机的健康状况进行验证,如果计算机不满足安全策略的要求(如防火墙、自动更新没有开启、没有安装最新版本的杀毒软件),可以将计算机放置在受限制或者受监视的环境当中。 2.健康策略遵循:当连入计算机被发现不符合企业策略要求时,可以通过企业内部的System Operation Center、SMS或者企业修复服务器对这些计算机进行自动修复,以满足策略需求。 3.限制访问:管理员可以将不符合健康策略要求的客户端放置到受限的网络当中,可以设定这些客户端在指定时间无法访问网络,或者只能访问指定的网络和资源。 后面我们会详细讨论Windows Server 2008 NAP的技术细节,如何部署几种方式的NAP。 |