NAP：Windows Server 2008新功能

你知道有这么一句古话吗？“摆脱某个旧事物的最快方法就是不断尝试新事物。”如果这句古话对你适用，那么你一定会对Windows Server 2008的一个新功能---NAP（网络访问保护）产生浓厚的兴趣。

　　NAP既是一项技术也是一门学问，它可以让电脑根据自身的“健康”状况进行评估。管理员对什么样的电脑算是“健康”的电脑设定了一个底线，如果一台机器不能达到基本的健康，NAP就会阻止该计算机访问网络---也就是同健康系统隔离，直到用户修复好机器为止。在某些情况下，如果修复很简单的话，那么NAP可以自动修复这个问题。例如，如果一个系统管理员设定健康“底线”是Windows防火墙必须打开，当防火墙关闭时NAP可以很容易地打开防火墙，因而修复了问题并允许该计算机接入网络。

　　NAP阻止携带恶意软件的不健康机器进入你的网络并且同网络中的健康机器互联。在恶意代码的面前，你要做的就是“挂断电话，关上门（同病毒隔离）。”

　　细节

　　NAP包括以下三个部分：

　　Health policy validation（健康标准检查），该模块负责按照管理员设定的健康标准对机器进行检查。检查可以包括查看补丁状态，服务包级别，存在的影音软件，以及防火墙是否开启等。第三方软件也可以用来执行检查。例如，如果有一个Linux软件供应商开发了一个引擎，同过该引擎，NAP也可以查看开源客户端的状态。

　　Health policy compliance（健康标准修复），该模块负责管理那些在健康标准检查中不合格的计算机，并使它自动更新或通过系统管理服务器以及其它一些管理软件进行自我修复。这是一个可选项，但非常有用，它可以使获得了很多好处，不需要明显增加服务成本就能使不健康的机器远离您的网络。

　　Limited access(限制进入)，该模块本质上是NAP的强制执行机制。NAP可以按照延迟执行方式运行，这使得对连接到网络上的电脑的健康检查和修复作用延期发挥作用。但在执行方式下，没有通过健康检查的电脑会被放入一个隔离区，在隔离区它们只能同一系列“抵抗力”特别强的服务器互联，这些服务器上包含能让电脑恢复正常的最常见的必要工具

　　NAP的功能和缺陷

　　NAP是Windows Server 2008的一个重要特点---事实上，它是我的最爱。NAP的好处数不胜数。它可以在恶意程序渗透到你的网络之前进行非常有效地保护。NAP为你的用户提出了另一种重视安全问题的方式，NAP的费用包括在服务器产品的许可费用里。如果用户的电脑系统没有达到健康标准，他们就不能正常工作，所以系统完整性成为IT和用户社区的一个统一的优先考虑因素。另外，NAP已经能智能到能够修复一些简单的问题，所以，快速修复不需要你的支持部门感到现场。

　　这并不是说NAP是一个通往安全天堂的黄金车票；NAP确实还存在一些弊端。有些怀疑论者甚至质疑NAP的安全功能。考虑下列因素：

　　有一些方法可以影响NAP的效果。举例来说，基于DHCP的保护（即少数航线的分配，才健康核查） ，是很容易被客户端有丰富网络经验的人绕过，他们只是简单地输入一个静态的IP地址、DNS以及路由器信息。

　　探测上网的网络设备的功能很难被安全实施，特别是那些依赖于检测广播包的解决方案。

　　最后，最好的部署方法---与交换机或路由器硬件兼容的 802.1x保护措施---是非常昂贵的，而且需要大量的时间进行测试然后才能在网络上投入使用。

　　具有IPSec(IP安全)功能的NAP可以解决上述很大一部分，这两种技术的结合可以用神奇来形容，在这里就不作具体阐述了。