NAP为中小企业提供网络接入防护

对任何一个IT安全策略来说，保护网络都是非常重要的一个目的，而且也有数量众多的良好机制可以让你使用，以便更好的控制到底谁可以访问网络，以及他们如何访问网络。不幸的是，中小型企业常常沮丧的发现，可供它们挑选的第三方产品往往不是过于复杂，就是过于昂贵。举例来说，如果使用Cisco的NAC（网络访问控制，Network Admission Control）就需要花费数千美金。对那些小型企业来说，这明显属于一笔不可承受的巨额费用。

不过，如果你打算将你的网络操作系统升级到下一版本的Windows Server（现在被称为“Longhorn”）的话，你会很高兴看到网络接入防护NAP（Network Access Protection的简写）平台将被内置在系统中，并可以和Windows Vista协同使用，或和那些运行了NAP客户端插件的Windows XP客户端协同使用（ 这些NAP客户端插件计划在新服务器操作系统发布时同步推出，而XP NAP客户端目前已经进入了Beta测试阶段）。而Windows Server 2003也可能成为一个NAP客户端。

SMB可以利用这个Longhorn服务器或Vista的核心部件，以确保连接到网络上的客户端们达到相应的健康和安全标准。

保护网络存取的重要性
连接到本地网络上的每一台计算机都是一个潜在的威胁。如果它上面感染了病毒或者间谍软件，如果它没有适当的防火墙保护，没有打上最新的补丁或者更新等等……，那么整个网络都将被置于危险笼罩之下。对那些本地直连的电脑你还有一些控制的办法，但是对那些通过远程连接连上本地局域网的电脑该怎么办？对那些员工曾接上过家里的网络或者公共网络，随后又带到办公室来的笔记本电脑，你又该怎么办？

要保护你的网络，你就必须设定一个策略，在任何电脑可以连入本地网之前，都必须保证其满足一定的“健康”标准。但是你不能指望用户们都自觉遵守这一条，所以你必须有一个强制性的机制来检测一个系统是否已经满足了标准，并以此来决定是阻止其连入网络，或是对其放行。这就是NAP的用武之地；也是微软的健康策略平台。

NAP给人的第一印象，会让人觉得它听起来和Windows Server 2003的网路接入隔离控制（NAQC，Network Access Quarantine Control）非常的相似，因NAQC被用于在通过远程拨号或通过VPN连接Windows Server 2003系统时强制执行某策略，但NAP是一种完全不同的技术，而且它的用处更广泛。NAQC仅适用于远程存取客户端，而NAP则是被设计用于保护连到网络上所有系统的健康。

举例来说，通过NAP，你可以对特定设备强制执行IPsec策略以进行安全通信，对无线客户端则强制执行801.1x策略，同时对VPN的客户端强制执行某些健康策略。你也可以在某台电脑试图更新或者通过DHCP获取一个新IP地址时（无论何时），都使用DHCP强制功能，来执行强制健康策略。同时，NAP也有和Cisco的NAC一起协同工作的能力。

如果使用NAQC，你将不得不自行书写脚本，并使用命令行工具来人工配置相关行为。你可以同时使用NAQC和NAP，但是绝大多数情况下，NAP都可以完全取代NAQC。

NAP如何工作
NAP允许你定义对连上网络电脑所打算施行的策略，并根据具体的策略，对每一台联网的电脑进行检查。而如果碰到了不满足要求的电脑，你也有其他的选择。比如：

你可以依旧允许它访问网络，但是在Log中标记具体的信息，以便你可以追踪它，以查看它是否最终满足了要求。

你也可以仅允许它访问一个受限的网络，而不是访问整个网络。这一点很有用，这样你可以在受限网络中提供相关资源（比如，相关的安全更新或者反病毒软件，或者某些系统补丁），以便用户对电脑进行修正以便最终满足要求。也可以对不满足要求的电脑做出限制，让它访问网络的时间只能在规定的长度之内。

或者通过使用SMS或其他管理系统，对不满足要求的系统进行自动更新，最终使得系统满足要求。

NAP的部件
在Windows Vista和Longhorn Server中用于校验一台电脑健康状态的部件叫做SHA（system health agents）和SHV（system health validators）。第三方软件生产商可以在软件中提供SHA和SHV，以便和NAP协同工作。

SHA运行在NAP客户端，并提供客户端的健康状态信息。SHV则运行在服务器上，并对SHA所提供的信息是否满足你的策略进行校验。而健康策略则被配置在NPS服务器上。NPS服务器的部件包括一个NAP管理服务器，以及NAP强制服务器。用户和电脑帐户信息，包括网络存取属性，则被存储在活动目录之中。

你也可以使用来自权威认证机构的健康证书来证明自己。在这种情况下，你需要一台Longhorn服务器来作为健康注册机构，并运行IIS来获取这些认证。

而为那些运行在受限网络中的电脑提供资源，从而确保这些电脑修正后可以满足要求的服务器，则被叫做“补救服务器”（remediation servers）。

总结
NAP是一个很好的解决方案，可以用来根据电脑的健康状态而控制它的网络存取，并完全接管NAQC留下的一切。这是一个Windows Longhorn Server以及Windows Vista中内置的部件，所以使用这些操作系统的SMB将能够利用它的优点，而无需另外单独购买或者部署其他第三方的产品。NAP提供了可伸缩性以及与其他技术（比如Cisco的NAC）的协同工作性，以便在你的网络不断扩张时，你可以继续提供公司所需的防护水准。

（责任编辑:陈毅东）