Vista新知纵览：有关Vista NAP

微软的网络接入防护（NAP）是内置于Windows Longhorn Server以及Windows Vista客户端操作系统的安全机制，它是Windows Server 2003中的网络接入隔离控制（Network Access Quarantine Control）功能的扩展。NAP可以让用户监视任何试图接入用户网络的计算机的健康状态，并确保接入的计算机都具有符合用户健康策略的安全防范措施。那些不符合用户健康策略的电脑，将被接入到一个受限的网络环境，用户可以在这个网络环境中存储一些安全软件，帮助这些安全性较差的计算机提高到符合用户要求的安全水平。在部署NAP之前，用户应该了解以下几点知识：

1: NAP 是安全机制的补充

NAP并不能取代网络和系统中的其它安全机制，比如防火墙、反病毒软件、入侵监测系统等。此外它也不能防止任何未经验证的用户接入用户的网络。实际上，NAP是通过检验接入网络的用户是否安装了最新的安全补丁，是否有安全配置方面的错误等方式来帮助用户提高自身网络的安全性，防止由于接入网络的电脑存在安全隐患而给整个网络带来安全威胁。

2: NAP包括监视模式和隔离模式

如果用户将NAP设置为监视模式，并设置了监视策略，那么即使合法用户的电脑存在安全隐患，也可以正常接入网络，只是这些信息会被纪录下来，以便管理员提醒该用户进行安全增强工作。而在隔离模式下，不满足用户的安全策略的电脑将只能接入到一个隔离的网络环境，在这个网络环境中，用户可以提供一些安全增强工具，以便这些电脑可以符合用户的安全策略。

3: 用户可以选择审查接入网络的计算机的安全项目

用户可以设定所要审查的内容，比如服务补丁包，安全升级，是否安装了反病毒软件，是否有反间谍软件程序，是否有防火墙，系统是否设置为自动更新。具体的配置内容可以在NAP服务器的System Health Validator (SHV)中查看和配置。

4: NAP服务器必需采用Windows Longhorn Server

NAP服务器是一个网络策略服务器（Network Policy Server ，NPS）。而NPS则是Longhorn中替代Windows Server 2003中IAS（互联网验证服务）功能的组件，它可以提供验证和授权。NAP服务包括NAP Administration Server以及NAP Enforcement Server,而System Health Validator (SHV)则运行于服务器上。

5: NAP 需要接入网络的电脑安装 NAP客户端软件

Windows Vista内置了NAP客户端，而针对XP的NAP客户端则会在Windows Longhorn Server推出后随之推出。System Health Validator (SHV)运行于客户端。如果接入网络的电脑所使用的操作系统不支持NAP，用户可以通过创建例外规则免除这些电脑的安全级别检验，以便这些电脑能够正常的使用网络。如果用户不在服务器上建立例外规则，那么不兼容NAP的电脑将只能访问到受限制的网络环境。

6: SHA基于接入电脑的健康状态建立Statement of Health (SoH)

NAP会将电脑的健康状态（SoH）提交给System Health Validator (SHV)，SHV与策略服务器连接，判断该电脑的健康状态是否符合网络管理员所设定的安全级别。如果符合，该电脑可以正常接入网络，如果不符合（在隔离模式下），计算机将只能接入到一个受限的网络环境，下载所需的安全升级补丁或者安全软件，从而符合接入网络所需的安全级别。在这个受限网络中，存储客户端所需的升级文件和安全软件的服务器被称作remediation servers （治疗服务器）。

7: 用户可以使用健康证书实现一致性

在这种情况下，用户需要使用Windows Longhorn Server运行IIS，并实现CA服务，发布健康证书。这样的服务器被称作Health Registration Authority (HRA)，即健康注册授权。NAP客户端将SoH发送给HRA，HRA再将其发送给NPS服务器。NPS服务器与策略服务器联系，确认该SoH是否有效。如果该SoH符合安全级别，HRA将颁发给客户端电脑一个健康证书，可以实现基于IPSec的网络通信。

8:四种 NAP强制方式

第一种是IPSec强制，这种方式依赖于HRA和X.509 证书。802.1x 强制依赖于EAPHost NAP强制客户端，适用于使用802.1x接入点接入网络的客户端（可以是无线接入也可以是有线接入）。限制接入的脚本存放在受限客户端，通过包过滤或VLAN身份限制等措施限制这些客户端只能访问一个受限的网络。VPN强制 依赖于VPN服务器，当客户端需要使用VPN接入方式时，VPN服务器会强制执行健康策略。DHCP强制是通过DHCP服务器实现的，当客户端需要重新预订IP地址时，DHCP服务器强制其执行健康策略。管理员可以选择其中一种或几种强制方式。

9: 只有通过四种强制方式接入网络的客户端电脑才会在健康状况不达标的情况下进入受限区域

在各种强制方式中，DHCP方式实现起来最简单，而且具有最广泛的覆盖能力，因为大部分客户端电脑都需要续订IP地址（除了那些采用固定IP的电脑），但是IPSec强制方式是最强大的方式。当一台电脑的连接受到限制，它仍然有能力访问DNS和DHCP服务器，还有治疗服务器。当然，管理员可以制定策略，将第二个DNS服务器放置在受限网络中，或转发到受限网络中，而不是让安全程度较低的电脑直接访问DNS服务器。

10: NAP与Windows Server 2003中的Network Access Quarantine Control不同

NAP可以被用在网络中的任何系统中，而不仅限于远程接入客户端。通过NAP，管理员可以查看网络中现有的电脑的健康状况，甚至包括那些一直处于局域网中的台式机。另外NAP的部署也相对简单，它不需要像NAQC那样建立客户端脚本，也没需要进行命令行方式的手动配置。第三方软件厂商可以通过NAP的API建立与NAP健康状态兼容的安全等级和网络接入限制组件。NAP 和 NAQC的使用方法类似，但是一般都认为NAP是NAQC的代替产品。