在组网规模相对大一些的局域网工作环境中,连接到网络中的每一台计算机安全状况也是各不相同,好一些的既有杀毒软件又有网络防火墙的保护,一般化的往往是只安装了杀毒软件、防火墙中的一种,最差的当然是什么也没有安装了。那些没有任何安全防护的计算机一旦连接到局域网中时,病毒、木马很可能会通过网络袭击局域网中的文件服务器或其他重要计算机,严重时能导致局域网网络发生瘫痪现象。那对于局域网管理员来说,该如何才能有效制止那些没有采取任何安全措施的计算机直接连接到局域网中呢?对于这样的难题,网络管理员们好像始终没有找到有效的应对办法;不过,自从有了Windows Server 2008系统后,这样的难题就被迎刃而解了,因为该系统推出了一种新的安全防护措施——网络访问保护功能,该功能会自动对访问局域网的所有普通计算机强制进行安全检查,如果发现其安全健康标准不达标时,会责令其立即采取安全修正措施,或者干脆禁止其访问局域网网络,那样一来局域网网络的安全性就能得到有效保证了!
走近网络访问保护
网络访问保护功能,其实并不是Windows Server 2008系统所特有的,早在Windows Vista系统中该功能就被推出了,只是该功能在Windows Server 2008组网环境中有了更大的用武之地;网络访问保护功能可以对连接到局域网中的所有普通计算机强行执行安全检查,以便确保那些通过安全检查的普通计算机才能连接到局域网中,对于那些安全标准不达标的普通计算机来说,网络访问保护功能则会强制其及时采取相关措施进行安全防护,或者干脆禁止其访问局域网网络,那样一来局域网网络的安全性就能得到有效保证了。
不同的局域网工作环境,对网络访问的安全性要求是不相同的,网络访问保护功能可以允许网络管理员依照局域网的实际组网情况,来个性化定制网络访问健康策略,并能灵活地指定究竟哪些计算机连接到局域网中时需要进行健康策略安全验证;当局域网中有计算机没有通过网络访问保护功能的安全检查时,该功能还允许网络管理员通过合适设置,来指定这些没有安全达标的普通计算机是连接到一个受限制的网络,还是进行其他安全修正操作,直到它们的安全检查符合网络访问保护功能设定的健康策略为止。
为了让那些安全措施不合格的普通计算机能够重新通过安全审查,网络访问保护功能特意内置了系统运行状况代理、系统健康验证器、第三方网络安全保护应用程序等功能组件,来帮助普通计算机自动使用网络管理员之前设置好的安全解决方案,比方说安装杀毒软件、更新补丁程序、使用虚拟连接通道、安装防火墙程序等。
当然,我们在这里需要弄清楚的是,网络访问保护功能自身是没有抵抗入侵、查杀病毒木马本领的,它其实是起一种牵头、协调作用,将局域网中的安全措施、安全设置以及第三方安全工具协调好,让它们在关键时刻各司其责、分工协作,共同保护局域网网络能够安全运行。
网络访问保护原理
利用网络访问保护功能保护局域网运行安全时,往往需要经过安全健康认证检查、网络安全隔离、强制安全修正以及持续安全监控等工作环节。
为了检查普通计算机的安全性是否符合要求,我们必须之前就要定义好一组安全健康标准,以便通过该健康标准对普通计算机进行安全评估。当有普通计算机尝试连接局域网网络时,网络访问保护功能就会自动使用安全健康标准对照检查普通计算机的安全状况,一旦发现普通计算机不符合安全健康标准时,网络访问保护功能就会认定它们为不安全的计算机。对于那些不安全的普通计算机来说,网络访问保护功能可以通过合适设置将普通计算机的网络连接设置成适当状态,例如可以将不安全的计算机设置成隔离状态,让其从局域网网络中逻辑隔绝开来,直到普通计算机通过安全检查为止。
为了让那些不安全的普通计算机快速恢复到安全状态,网络访问保护功能的强制安全修正环节会自动要求不安全的计算机连接到指定的服务器中下载、安装网络病毒程序或系统漏洞补丁程序;对于那些安全的普通计算机来说,网络访问保护功能仍然会对它们进行继续监控。