NAP是一種能夠確保只有符合安全要求的電腦允許接入網(wǎng)絡的Windows機制，使用NAP可以讓網(wǎng)絡更安全。遺憾的是，當微軟首次推出這一機制的時候，NAP只能檢查一些配置設置且很難被執(zhí)行。但是NAP已經(jīng)有所改進，Windows Vista和Windows Server 2008中的改進已經(jīng)結合起來，因此完整規(guī)模的NAP部署現(xiàn)在已經(jīng)很容易了。

NAP基礎

為了在所有電腦上強制執(zhí)行連接網(wǎng)絡的安全請求，不論電腦連接如何，NAP必須能夠控制訪問。這要求具備一個VPN連接把關者，處理了有線和無線交換機以及其他接入方法的分配與連接。微軟通過讓你配置多種“執(zhí)行點”將這些內(nèi)容包含進來，而“執(zhí)行點”扮演的就是網(wǎng)絡把關者的角色。可能執(zhí)行的包含了運行于Windows Server 2008上的VPN或DHCP服務器，可以解決認證機構發(fā)證問題的網(wǎng)絡服務器以及與無線和有線交換機兼容的802.1x。

執(zhí)行點的任務是：當客戶端連接網(wǎng)絡的時候，它會提示是否所有的網(wǎng)絡接入都符合安全策略。執(zhí)行點只會將名為健康狀態(tài)的結果轉發(fā)到網(wǎng)絡策略服務器(NPS)，該服務器是微軟遠程驗證撥號用戶服務服務器(RADIUS)的執(zhí)行。

根據(jù)NPS所返回值的不同答案，執(zhí)行點可以訪問網(wǎng)絡，拒絕訪問或僅讓客戶端連接到矯正伺服器上，這樣就可以讓大家訪問那些可能需要用來修復客戶端安全缺陷的資源。一個健康的策略服務器要檢查客戶端的配置信息，并將其與策略設置進行比對，然后生成用于執(zhí)行點的響應。

陳述NAP

NAP之所以如此吸引人是因為所有當前微軟客戶操作系統(tǒng)都包括了要求做健康檢查的NAP客戶端功能，因此你不必在網(wǎng)絡客戶端再進行其他配置和安裝。從網(wǎng)絡角度來看，NAP涵蓋了大部分的網(wǎng)絡接入點。不要認為你必須將所有的接入方式都考慮進來。相反，只要在一個接入點強制執(zhí)行健康檢查，如一個VPN服務器，然后才逐步將NAP擴展到其他執(zhí)行點。

開始使用的時候只需向運行在Windows Server 2008上添加“網(wǎng)絡策略和訪問服務”功能。然后，運行NAP向導以配置策略，該策略定義了哪種類型的客戶端應該被檢查，以及如果可能的話，可以使用哪種類型的矯正伺服器。下一步，你必須定義系統(tǒng)健康驗證器(SHVs)。這些是客戶端需要報告的設置，如是否需要補丁或安裝防病毒軟件。

一旦NPS服務器和策略都到位后，你就需要配置執(zhí)行點。這包括了兩個部分：首先，需要讓執(zhí)行點與NPS服務器連通。要做到這一點，要將其配置成為RADIUS客戶端。然后，要對執(zhí)行點在檢查成功和失敗兩種情況下如何響應客戶端進行配置。

擴展NAP

一旦你為每種類型的接入都安裝了NAP，將其擴展到其他連接類型就非常簡單了。從這一點考慮，你應該從微軟和第三方的資源中探索出額外的SHVs，以便對更多客戶端進行健康檢查。NAP看似復雜，其實不然，如果采用循序漸進的方式來部署，它的執(zhí)行則相對較為簡單。