NAP 서버 쪽 아키텍처

  • 아티클

참고

네트워크 액세스 보호 플랫폼은 Windows 10

 

NAP 서버 쪽 플랫폼 아키텍처는 Windows Server 2008을 실행하는 컴퓨터를 사용합니다. 다음 그림에서는 Windows 기반 NAP 적용 지점 및 NAP 상태 정책 서버로 구성된 NAP 플랫폼에 대한 서버 쪽 지원 아키텍처를 보여 줍니다.

낮잠 플랫폼에 대한 서버 쪽 지원 아키텍처

Windows 기반 NAP 적용 지점에는 ES(NAP Enforcement Server) 구성 요소 계층이 있습니다. 각 NAP ES는 다른 유형의 네트워크 액세스 또는 통신에 대해 정의됩니다. 예를 들어 원격 액세스 VPN 연결을 위한 NAP ES와 DHCP 구성을 위한 NAP ES가 있습니다. NAP ES는 일반적으로 특정 유형의 NAP 지원 클라이언트와 일치합니다. 예를 들어 DHCP NAP ES는 DHCP 기반 EC(NAP Enforcement Client)와 작동하도록 설계되었습니다. 타사 소프트웨어 공급업체 또는 Microsoft는 NAP 플랫폼에 대한 추가 NAP ES를 제공할 수 있습니다. NAP ES는 해당 NAP EC에서 SSoH(System Statement of Health)를 가져와 RADIUS(Remote Authentication Dial-in User Service) VSA(공급업체별 특성)로 NAP 상태 정책 서버에 보냅니다 Access-Request 메시지

서버 쪽 아키텍처 그림에 표시된 것처럼 NAP 상태 정책 서버에는 다음과 같은 구성 요소가 있습니다.

  • NPS(네트워크 정책 서버) 서비스

    RADIUS Access-Request 메시지를 수신하고 SSoH를 추출한 다음 NAP 관리 서버 구성 요소에 전달합니다. NPS 서비스는 Windows Server 2008과 함께 제공됩니다.

  • NAP 관리 서버

    NPS 서비스와 SHV(시스템 상태 유효성 검사기) 간의 통신을 용이하게 합니다. NAP 관리 서버 구성 요소는 NAP 플랫폼과 함께 제공됩니다.

  • SHV 구성 요소 계층

    각 SHV는 하나 이상의 시스템 상태 정보에 대해 정의되며 SHA와 일치할 수 있습니다. 예를 들어 바이러스 백신 프로그램에 대한 SHV가 있을 수 있습니다. SHV는 하나 이상의 상태 요구 사항 서버와 일치할 수 있습니다. 예를 들어 바이러스 백신 서명을 확인하기 위한 SHV는 최신 서명 파일이 포함된 서버와 일치합니다. SHV에는 해당 상태 요구 사항 서버가 있을 필요가 없습니다. SHV는 NAP 지원 클라이언트에게 로컬 시스템 설정을 검사 호스트 기반 방화벽이 사용하도록 설정되도록 지시할 수 있습니다. Windows Server 2008에는 Windows 보안 상태 유효성 검사기(WSHV)가 포함되어 있습니다. 추가 SHV는 타사 소프트웨어 공급업체 또는 Microsoft가 NAP 플랫폼에 대한 추가 기능으로 제공합니다.

  • SHV API

    SHV가 NAP 관리 서버 구성 요소에 등록하고, NAP 관리 서버 구성 요소에서 SoHs(Health Statements of Health)를 수신하고, SOHR(Health 응답 문)을 NAP 관리 서버 구성 요소로 보낼 수 있도록 하는 함수 호출 집합을 제공합니다. SHV API는 NAP 플랫폼과 함께 제공됩니다. 다음 NAP 인터페이스를 참조하세요. INapSystemHealthValidatorINapSystemHealthValidationRequest.

앞서 설명한 것처럼 NAP 서버 쪽 인프라에 대한 보다 일반적인 구성은 특정 유형의 네트워크 액세스 또는 통신을 제공하는 NAP 적용 지점과 시스템 상태 유효성 검사 및 수정을 제공하는 별도의 NPS 상태 정책 서버로 구성됩니다. 개별 Windows 기반 NAP 적용 지점에 NPS 서비스를 NAP 상태 정책 서버로 설치할 수 있습니다. 그러나 이 구성에서 각 NAP 적용 지점은 네트워크 액세스 및 상태 정책을 사용하여 별도로 구성해야 합니다. 권장되는 구성은 별도의 NAP 상태 정책 서버를 사용하는 것입니다.

전체 NAP 아키텍처는 다음 구성 요소 집합으로 구성됩니다.

  • 세 개의 NAP 클라이언트 구성 요소(SHA 계층, NAP 에이전트 및 NAP EC 계층).
  • 4개의 NAP 서버 쪽 구성 요소(WINDOWS 기반 NAP 적용 지점의 SHV 계층, NAP 관리 서버, NPS 서비스 및 NAP ES 계층).
  • NAP 상태 정책 서버에 대한 현재 시스템 상태 요구 사항을 제공할 수 있는 컴퓨터인 상태 요구 사항 심각도입니다.
  • 수정 서버- NAP 클라이언트가 비준수 상태를 수정하기 위해 액세스할 수 있는 상태 업데이트 리소스를 포함하는 컴퓨터입니다.

다음 그림에서는 NAP 플랫폼의 구성 요소 간의 관계를 보여 줍니다.

낮잠 플랫폼의 구성 요소 간의 관계

다음 구성 요소 집합의 일치를 확인합니다.

  • NAP IC 및 NAP ES는 일반적으로 일치합니다.

    예를 들어 NAP 클라이언트의 DHCP NAP EC는 DHCP 서버의 DHCP NAP ES와 일치합니다.

  • SHA 및 수정 서버를 일치시킬 수 있습니다.

    예를 들어 클라이언트의 바이러스 백신 SHA는 바이러스 백신 서명 수정 서버와 일치합니다.

  • SHV 및 상태 요구 사항 서버를 일치시킬 수 있습니다.

    예를 들어 NAP 상태 정책 서버의 바이러스 백신 SHV를 바이러스 백신 상태 요구 사항 서버와 일치시킬 수 있습니다.

타사 소프트웨어 공급업체는 다음과 같은 방법으로 NAP 플랫폼을 확장할 수 있습니다.

  • NAP 클라이언트의 상태를 평가하는 새 메서드를 만듭니다.

    타사 소프트웨어 공급업체는 NAP 클라이언트용 SHA, NAP 상태 정책 서버용 SHV 및 필요한 경우 상태 요구 사항 및 수정 서버를 만들어야 합니다. 바이러스 백신 서명 배포 서버와 같은 상태 요구 사항 또는 수정 서버가 이미 있는 경우 해당 SHA 및 SHV 구성 요소만 만들어야 합니다. 경우에 따라 상태 요구 사항 또는 수정 서버가 필요하지 않습니다.

  • 네트워크 액세스 또는 통신에 대한 상태 요구 사항을 적용하기 위한 새 방법을 만듭니다.

    타사 소프트웨어 공급업체는 NAP 클라이언트에 NAP EC를 만들어야 합니다. 적용 방법이 Windows 기반 서비스를 사용하는 경우 타사 소프트웨어 공급업체는 RADIUS 프로토콜을 사용하거나 NAP 적용 지점에 설치된 NPS 서비스를 RADIUS 프록시로 사용하여 NAP 상태 정책 서버와 통신하는 해당 NAP ES를 만들어야 합니다.

다음 섹션에서는 NAP 서버 쪽 아키텍처의 구성 요소를 자세히 설명합니다.

NAP 적용 서버

ES(NAP 적용 서버)는 어느 정도의 네트워크 액세스 또는 통신을 허용하고, 평가를 위해 NAP 클라이언트의 상태 상태 네트워크 상태 정책 서버에 전달할 수 있으며, 응답에 따라 제한된 네트워크 액세스의 적용을 제공할 수 있습니다.

Windows Server 2008에 포함된 NAP ES는 다음과 같습니다.

  • IPsec 보호 통신용 IPsec NAP ES입니다.

    IPsec 보호 통신의 경우 Windows Server 2008을 실행하는 컴퓨터인 HRA(상태 등록 기관)와 규격 컴퓨터의 CA(인증 기관)에서 상태 인증서를 가져오는 IIS(인터넷 정보 서비스)는 NAP 클라이언트의 상태 상태 정보를 NAP 상태 정책 서버에 전달합니다.

  • DHCP 기반 IP 주소 구성을 위한 DHCP NAP ES입니다.

    DHCP NAP ES는 업계 표준 DHCP 메시지를 사용하여 NAP 클라이언트의 DHCP NAP EC와 통신하는 DHCP 서버 서비스의 기능입니다. 제한된 네트워크 액세스에 대한 DHCP 적용은 DHCP 옵션을 통해 수행됩니다.

  • TS 게이트웨이 서버 기반 연결에 대한 TS(터미널 서비스) 게이트웨이 NAP ES입니다.

원격 액세스 VPN 및 802.1X 인증 연결의 경우 NPS 서비스의 기능은 NAP 클라이언트와 NAP 상태 정책 서버 간에 PEAP-TLV 메시지를 사용합니다. VPN 적용은 VPN 연결에 적용되는 IP 패킷 필터를 통해 수행됩니다. 802.1X 적용은 연결에 IP 패킷 필터를 적용하거나 연결에 제한된 네트워크에 해당하는 VLAN ID를 할당하여 802.1X 네트워크 액세스 디바이스에서 수행됩니다.

NAP 관리 서버

NAP 관리 서버 구성 요소는 다음 서비스를 제공합니다.

  • NPS 서비스를 통해 NAP ES에서 SSoH를 가져옵니다.
  • SSoHs의 SoH를 적절한 SHV(시스템 상태 유효성 검사기)에 배포합니다.
  • SHV에서 SoHR을 수집하고 평가를 위해 NPS 서비스에 전달합니다.

NPS 서비스

RADIUS는 RFC(주석 요청) 2865 및 2866에 설명된 네트워크 액세스를 중앙 집중식 인증, 권한 부여 및 고려하도록 하는 널리 배포된 프로토콜입니다. 원래 전화 접속 원격 액세스를 위해 개발된 RADIUS는 이제 무선 액세스 지점, 이더넷 스위치 인증, VPN 서버, DSL(디지털 구독자 회선) 액세스 서버 및 기타 네트워크 액세스 서버에서 지원됩니다.

NPS는 Windows Server 2008에서 RADIUS 서버 및 프록시의 구현입니다. NPS는 Windows Server 2003의 IAS(인터넷 인증 서비스)를 대체합니다. NAP 플랫폼의 경우 NPS 서비스에는 NAP 관리자 서버 구성 요소, SHV API 지원 및 설치 가능한 SHV, 상태 정책 구성 옵션이 포함됩니다.

SHV의 SoHR 및 구성된 상태 정책에 따라 NPS 서비스는 NAP 클라이언트가 규격인지 비준수인지 여부를 나타내고 SHV의 SoHR 집합을 포함하는 SSoHR(시스템 상태 응답 문)을 만듭니다.

SHV(시스템 상태 검사기)

SHV는 NAP 관리 서버에서 SoH를 수신하고 시스템 상태 상태 정보를 필요한 시스템 상태와 비교합니다. 예를 들어 SoH가 바이러스 백신 SHA에서 온 것이고 마지막 바이러스 서명 파일의 버전 번호를 포함하는 경우 해당 바이러스 백신 SHV는 최신 버전 번호에 대한 바이러스 백신 상태 요구 사항 서버와 검사 NAP 클라이언트의 SoH의 유효성을 검사할 수 있습니다.

SHV는 SOHR을 NAP 관리 서버에 반환합니다. SoHR은 NAP 클라이언트의 해당 SHA가 현재 시스템 상태 요구 사항을 충족하는 방법에 대한 정보를 포함할 수 있습니다. 예를 들어 바이러스 백신 SHV에서 보낸 SoHR은 NAP 클라이언트의 바이러스 백신 SHA에 특정 바이러스 백신 서명 서버에서 이름 또는 IP 주소로 최신 버전의 바이러스 백신 서명 파일을 요청하도록 지시할 수 있습니다.