다음을 통해 공유

NAP 클라이언트 아키텍처

  • 아티클

참고

네트워크 액세스 보호 플랫폼은 Windows 10 시작해서 사용할 수 없습니다.

 

NAP 클라이언트는 NAP 플랫폼을 포함하는 WINDOWS XP SP3(서비스 팩 3), Windows Vista 또는 Windows Server 2008을 실행하는 컴퓨터입니다.

이 그림은 NAP 클라이언트에서 NAP 플랫폼의 아키텍처를 보여줍니다.

낮잠 클라이언트에서 낮잠 플랫폼의 아키텍처

NAP 클라이언트 아키텍처는 다음으로 구성됩니다.

  • EC(적용 클라이언트) 구성 요소 계층

    각 NAP EC는 서로 다른 유형의 네트워크 액세스에 대해 정의됩니다. 예를 들어 DHCP용 NAP EC 구성과 원격 액세스 VPN 연결을 위한 NAP EC가 있습니다. NAP EC는 특정 유형의 NAP 적용 지점과 일치할 수 있습니다. 예를 들어 DHCP NAP EC는 DHCP 기반 NAP 적용 지점에서 작동하도록 설계되었습니다. 일부 NAP IC는 NAP 플랫폼과 함께 제공되며 타사 소프트웨어 공급업체 또는 Microsoft는 다른 PC를 제공할 수 있습니다.

  • SHA(시스템 상태 에이전트) 구성 요소 계층

    SHA 구성 요소는 시스템 상태의 하나 또는 여러 요소를 유지 관리하고 보고합니다. 예를 들어 바이러스 백신 서명에 대한 SHA와 운영 체제 업데이트를 위한 SHA가 있을 수 있습니다. SHA는 NAP 클라이언트가 비규격 상태를 수정하기 위해 액세스할 수 있는 상태 업데이트 리소스가 포함된 컴퓨터인 수정 서버와 일치시킬 수 있습니다. 예를 들어 바이러스 백신 서명을 확인하기 위한 SHA는 최신 바이러스 백신 서명 파일이 포함된 서버와 일치합니다. SHA에는 해당 수정 서버가 있을 필요가 없습니다. 예를 들어 SHA는 로컬 시스템 설정을 검사 호스트 기반 방화벽을 사용하도록 설정할 수 있습니다. Windows Vista 및 Windows XP 서비스 팩 3에는 Windows 보안 앱의 설정을 모니터링하는 WSHA(Windows 보안 Health Agent)가 포함되어 있습니다. 타사 소프트웨어 공급업체 또는 Microsoft는 NAP 플랫폼에 추가 SHA를 제공할 수 있습니다.

  • NAP 에이전트

    NAP 클라이언트의 현재 상태 정보를 유지하고 NAP EC와 SHA 계층 간의 통신을 용이하게 합니다. NAP 에이전트는 NAP 플랫폼과 함께 제공됩니다.

  • 시스템 상태 에이전트 API

    SHA가 NAP 에이전트에 등록하고, 시스템 상태 상태 나타내고, NAP 에이전트의 시스템 상태 상태 대한 쿼리에 응답하고, NAP 에이전트가 시스템 상태 수정 정보를 SHA에 전달할 수 있도록 하는 함수 집합을 제공합니다. SHA API를 사용하면 공급업체가 추가 SHA를 만들고 설치할 수 있습니다. SHA API는 NAP 플랫폼과 함께 제공됩니다. 다음 NAP 인터페이스를 참조하세요. INapSystemHealthAgentBinding2, INapSystemHealthAgentCallbackINapSystemHealthAgentRequest.

특정 SHA의 상태를 나타내기 위해 SHA는 SoH(상태 문)를 만들어 NAP 에이전트에 전달합니다. SoH는 시스템 상태의 하나 또는 여러 요소를 포함할 수 있습니다. 예를 들어 바이러스 백신 프로그램의 SHA는 컴퓨터에서 실행되는 바이러스 백신 소프트웨어의 상태, 해당 버전 및 마지막으로 받은 바이러스 백신 서명 업데이트가 포함된 SoH를 만들 수 있습니다. SHA는 상태 업데이트할 때마다 새 SoH를 만들고 NAP 에이전트에 전달합니다. NAP 클라이언트의 전반적인 상태를 나타내기 위해 NAP 에이전트는 NAP 클라이언트에 대한 버전 정보와 설치된 SH에 대한 SoH 집합을 포함하는 SSoH(시스템 상태 설명)를 사용합니다.

다음 섹션에서는 NAP 클라이언트 아키텍처의 구성 요소에 대해 자세히 설명합니다.

NAP 적용 클라이언트

EC(NAP 적용 클라이언트)는 네트워크에 대한 어느 정도의 액세스를 요청하고 컴퓨터의 상태 상태 네트워크 액세스를 제공하는 NAP 적용 지점에 전달합니다. NAP 적용 지점은 NAP를 사용하거나 NAP 클라이언트의 상태 평가를 요구하고 제한된 네트워크 액세스 또는 통신을 제공하기 위해 NAP와 함께 사용할 수 있는 컴퓨터 또는 네트워크 액세스 디바이스입니다. 컴퓨터의 상태가 규정을 준수하지 않는 경우 NAP EC는 NAP 클라이언트 아키텍처의 다른 구성 요소에 대한 NAP 클라이언트의 제한된 상태 나타냅니다.

SP3, Windows Vista 및 Windows Server 2008을 사용하여 Windows XP에서 제공하는 NAP 플랫폼용 NAP IC는 다음과 같습니다.

  • IPsec 보호 통신을 위한 IPsec NAP EC입니다.
  • 802.1X 인증 연결을 위한 EAPHost NAP EC입니다.
  • 원격 액세스 VPN 연결을 위한 VPN NAP EC입니다.
  • DHCP 기반 IPv4 주소 구성을 위한 DHCP NAP EC입니다.
  • TS 게이트웨이 연결에 대한 TS 게이트웨이 NAP EC입니다.

WINDOWS XP SP3의 경우 802.1X 인증 유선 및 무선 연결을 위한 별도의 NAP IC가 있습니다.

IPsec NAP EC

IPsec NAP EC는 NAP 에이전트에서 SSoH를 가져와서 HRA(상태 등록 기관), Windows Server 2008을 실행하는 컴퓨터 및 규격 컴퓨터에 대한 CA(인증 기관)에서 상태 인증서를 가져오는 IIS(인터넷 정보 서비스)로 보내는 구성 요소입니다. IPsec NAP EC는 NAP 클라이언트 구성 스냅인에서 IPsec 신뢰 당사자 EC라고 합니다. IPsec NAP EC는 다음과도 상호 작용합니다.

  • 상태 인증서를 저장할 인증서 저장소입니다.
  • Windows의 IPsec 구성 요소는 상태 인증서가 IPsec로 보호된 통신에 사용되는지 확인합니다.
  • IPsec 보호 트래픽이 방화벽에서 허용되도록 호스트 기반 방화벽(예: Windows 방화벽)입니다.

EAPHost NAP EC

EAPHost NAP EC는 NAP 에이전트에서 SSoH를 가져와서 802.1X 인증 연결에 대한 PEAP-Type-Length-Value(TLV) 메시지로 보내는 구성 요소입니다. EAPHost NAP EC는 NAP 클라이언트 구성 스냅인에서 EAP 격리 EC라고 합니다.

VPN NAP EC

VPN NAP EC는 NAP 에이전트에서 SSoH를 가져오고 원격 액세스 VPN 연결을 위한 PEAP-TLV 메시지로 보내는 원격 액세스 연결 관리자 서비스의 기능입니다. VPN NAP EC는 NAP 클라이언트 구성 스냅인에서 원격 액세스 격리 EC라고 합니다.

DHCP NAP EC

DHCP NAP EC는 산업 표준 DHCP 메시지를 사용하여 시스템 상태 메시지와 제한된 네트워크 액세스 정보를 교환하는 DHCP 클라이언트 서비스의 기능입니다. IPsec DHCP EC는 NAP 클라이언트 구성 스냅인에서 DHCP 격리 EC라고 합니다. DHCP NAP EC는 NAP 에이전트에서 SSoH를 가져옵니다. DHCP 클라이언트 서비스는 필요한 경우 SSoH를 조각화하고 각 조각을 DHCPDiscover, DHCPRequest 또는 DHCPInform 메시지로 전송되는 Microsoft 공급업체별 DHCP 옵션에 넣습니다. DHCPDecline 및 DHCPRelease 메시지에는 SSoH가 포함되어 있지 않습니다.

시스템 상태 에이전트

SHA(시스템 상태 에이전트)는 시스템 상태 업데이트를 수행하고 SOH 형식의 상태 NAP 에이전트에 게시합니다. SoH에는 NAP 상태 정책 서버가 클라이언트 컴퓨터가 필요한 상태인지 확인하는 데 사용할 수 있는 정보가 포함되어 있습니다. SHA는 NAP 플랫폼 아키텍처의 서버 쪽에 있는 SHV(시스템 상태 유효성 검사기)와 일치합니다. 해당 SHV는 NAP EC 및 NAP 에이전트에 의해 SHA에 전달되는 NAP 클라이언트에 SoH 응답(SoHR)을 반환하여 SHA가 필요한 상태가 아닌 경우 수행할 작업을 알릴 수 있습니다. 예를 들어 바이러스 백신 SHV에서 보낸 SoHR은 해당 바이러스 백신 SHA에 바이러스 백신 서명 서버를 쿼리하여 최신 버전의 바이러스 백신 서명 파일을 가져오도록 지시할 수 있습니다. SoHR은 쿼리할 바이러스 백신 서명 서버의 이름 또는 IP 주소를 포함할 수도 있습니다.

SHA는 로컬로 설치된 정책 클라이언트를 사용하여 정책 서버와 함께 시스템 상태 관리 기능을 지원할 수 있습니다. 예를 들어 소프트웨어 업데이트 SHA는 로컬로 설치된 소프트웨어 클라이언트 소프트웨어(정책 클라이언트)를 사용하여 버전 검사 및 설치를 수행하고 소프트웨어 업데이트 서버(정책 서버)로 함수를 업데이트할 수 있습니다.

NAP 에이전트

NAP 에이전트는 다음 서비스를 제공합니다.

  • 각 SHA에서 SoH를 수집하고 캐시합니다. SHA가 새 SoH 또는 업데이트된 SoH를 제공할 때마다 SoH 캐시가 업데이트됩니다.
  • SSoH를 저장하고 요청 시 NAP IC에 제공합니다.
  • 제한된 상태가 변경되면 SHA에 알림을 전달합니다.
  • 시스템 제한 상태를 유지하고 각 SHA에서 상태 정보를 수집합니다.
  • SoHR을 적절한 SHA에 전달합니다.