NAP是一種能夠確保只有符合安全要求的電腦允許接入網(wǎng)絡(luò)的Windows機(jī)制，使用NAP可以讓網(wǎng)絡(luò)更安全。遺憾的是，當(dāng)微軟首次推出這一機(jī)制的時(shí)候，NAP只能檢查一些配置設(shè)置且很難被執(zhí)行。但是NAP已經(jīng)有所改進(jìn)，Windows Vista和Windows Server 2008中的改進(jìn)已經(jīng)結(jié)合起來，因此完整規(guī)模的NAP部署現(xiàn)在已經(jīng)很容易了。

NAP基礎(chǔ)

為了在所有電腦上強(qiáng)制執(zhí)行連接網(wǎng)絡(luò)的安全請(qǐng)求，不論電腦連接如何，NAP必須能夠控制訪問。這要求具備一個(gè)VPN連接把關(guān)者，處理了有線和無線交換機(jī)以及其他接入方法的分配與連接。微軟通過讓你配置多種“執(zhí)行點(diǎn)”將這些內(nèi)容包含進(jìn)來，而“執(zhí)行點(diǎn)”扮演的就是網(wǎng)絡(luò)把關(guān)者的角色。可能執(zhí)行的包含了運(yùn)行于Windows Server 2008上的VPN或DHCP服務(wù)器，可以解決認(rèn)證機(jī)構(gòu)發(fā)證問題的網(wǎng)絡(luò)服務(wù)器以及與無線和有線交換機(jī)兼容的802.1x。

執(zhí)行點(diǎn)的任務(wù)是：當(dāng)客戶端連接網(wǎng)絡(luò)的時(shí)候，它會(huì)提示是否所有的網(wǎng)絡(luò)接入都符合安全策略。執(zhí)行點(diǎn)只會(huì)將名為健康狀態(tài)的結(jié)果轉(zhuǎn)發(fā)到網(wǎng)絡(luò)策略服務(wù)器(NPS)，該服務(wù)器是微軟遠(yuǎn)程驗(yàn)證撥號(hào)用戶服務(wù)服務(wù)器(RADIUS)的執(zhí)行。

根據(jù)NPS所返回值的不同答案，執(zhí)行點(diǎn)可以訪問網(wǎng)絡(luò)，拒絕訪問或僅讓客戶端連接到矯正伺服器上，這樣就可以讓大家訪問那些可能需要用來修復(fù)客戶端安全缺陷的資源。一個(gè)健康的策略服務(wù)器要檢查客戶端的配置信息，并將其與策略設(shè)置進(jìn)行比對(duì)，然后生成用于執(zhí)行點(diǎn)的響應(yīng)。

陳述NAP

NAP之所以如此吸引人是因?yàn)樗�有�?dāng)前微軟客戶操作系統(tǒng)都包括了要求做健康檢查的NAP客戶端功能，因此你不必在網(wǎng)絡(luò)客戶端再進(jìn)行其他配置和安裝。從網(wǎng)絡(luò)角度來看，NAP涵蓋了大部分的網(wǎng)絡(luò)接入點(diǎn)。不要認(rèn)為你必須將所有的接入方式都考慮進(jìn)來。相反，只要在一個(gè)接入點(diǎn)強(qiáng)制執(zhí)行健康檢查，如一個(gè)VPN服務(wù)器，然后才逐步將NAP擴(kuò)展到其他執(zhí)行點(diǎn)。

開始使用的時(shí)候只需向運(yùn)行在Windows Server 2008上添加“網(wǎng)絡(luò)策略和訪問服務(wù)”功能。然后，運(yùn)行NAP向?qū)б耘渲貌呗裕�該策略定義了哪種類型的客戶端應(yīng)該被檢查，以及如果可能的話，可以使用哪種類型的矯正伺服器。下一步，你必須定義系統(tǒng)健康驗(yàn)證器(SHVs)。這些是客戶端需要報(bào)告的設(shè)置，如是否需要補(bǔ)丁或安裝防病毒軟件。

一旦NPS服務(wù)器和策略都到位后，你就需要配置執(zhí)行點(diǎn)。這包括了兩個(gè)部分：首先，需要讓執(zhí)行點(diǎn)與NPS服務(wù)器連通。要做到這一點(diǎn)，要將其配置成為RADIUS客戶端。然后，要對(duì)執(zhí)行點(diǎn)在檢查成功和失敗兩種情況下如何響應(yīng)客戶端進(jìn)行配置。

擴(kuò)展NAP

一旦你為每種類型的接入都安裝了NAP，將其擴(kuò)展到其他連接類型就非常簡單了。從這一點(diǎn)考慮，你應(yīng)該從微軟和第三方的資源中探索出額外的SHVs，以便對(duì)更多客戶端進(jìn)行健康檢查。NAP看似復(fù)雜，其實(shí)不然，如果采用循序漸進(jìn)的方式來部署，它的執(zhí)行則相對(duì)較為簡單。