保證網絡的安全，對于企業的日常工作來說是非常重要的，這一點毋庸置疑，而采取的方案也基本是大同小異，通過使用硬件或者軟件的防火墻，我們保證了邊界網絡的安全，有效地對內部和外部的通信進行了控制，防止了大量來自Internet上面的攻擊。
 

一、企業網絡安全的現狀：

保證網絡的安全，對于企業的日常工作來說是非常重要的，這一點毋庸置疑，而采取的方案也基本是大同小異，通過使用硬件或者軟件的防火墻，我們保證了邊界網絡的安全，有效地對內部和外部的通信進行了控制，防止了大量來自Internet上面的攻擊。
對于企業內部的服務器和客戶端上，可以部署相應的殺毒軟件來保證系統和重要數據不受病毒和木馬等惡意軟件的干擾?？梢酝ㄟ^部署WSUS服務或者通過SMS/SCCM把重要的系統補丁及時地安裝到客戶端。
但是，如果一位員工拿著他的筆記本電腦出差一個月，在這段時間里，他沒有及時更新他電腦中的病毒庫，沒有及時進行安全更新。那么等他出差歸來，連入公司內部網絡時，他的電腦就是一個潛在的危險，我們在基于windowsserver2003的系統上面，可以使用網絡隔離技術來防止這種情況的發生，但是一旦用戶通過驗證，網絡隔離就不再對其發揮作用。那么如果對企業中大量的客戶端的情況進行實時地檢測和控制？對于不滿足要求的客戶端及時進行強制性的補救工作呢？在WindowsSever2008推出之后，通過使用2008所提供的NAP網絡訪問保護技術，可以對客戶端的健康狀態進行實時地監控，保證企業內部的所有設備均按照管理員定制的健康條件正常運轉。就像我們身邊的家庭醫生時刻檢查我們的身體狀態一樣，NAP如同企業內部的一位專職醫生，時刻檢查企業內部每一臺機器的健康狀態。那么NAP是如何實現這一目標的呢？我們來看一下NAP的實現機制。

二、NAP的實現機制

1、組成：

要想在企業內部部署NAP，如上圖所示，要具備以下幾部分。
1）客戶端：
在客戶端，主要有兩部分組成。一個是啟用NAP的客戶端，一個是“補救服務器”。
由于NAP設計的目的是保證訪問企業內部的計算機的“健康”，所以，對于不滿足健康狀態的計算機，并不是禁止訪問，而是限制訪問，因此從客戶端角度，自然會提供相應的用于補救（Remediation）的服務器，所以從物理實現的角度，要在企業內部的網絡中，分出受限和非受限的網絡，并且將補救的服務器放于受限的網絡中，以便不“健康”的客戶端能夠得到“救治”。從WindowsXPSP3開始，所有啟用了NAPAgent服務的客戶端操作系統，在NAP里面，都有一個統一的名稱：EC（EnforcementClient）。而每個EC的健康狀態都有系統健康代理（SHA）負責收集，而每一個SHA都和相應的補救服務器相對應，因此在企業內部部署受限網絡中的補救服務器的數量時，要考慮進行搜集的項目來確定。
2）服務器端：
在服務器端，主要由三部分組成，分別是ES（EnforcementServer），健康策略（NAPHealthyPolicy）服務器和健康要求（HealthyRequirement）服務器
面對來自EC的驗證和授權請求，在企業內部就要有相應的設備來應答，這類設備可以通過把2008的成員服務器上相應服務來完成，或者由第三方來提供，但能夠應答的設備統稱為ES；而ES在收到這些請求之后，就會把相應的請求送達給健康策略服務器來進行健康狀況的檢測，而檢測的依據就由健康要求服務器來提供。對于部署NAP的企業來說，每部署一個檢測的項目，就要有一個系統健康確認者（SHV），而一個SHV會與一個健康要求服務器相對應，因此在企業內部，如果健康要求服務器用Windows2008來進行配置的話，可以和健康策略服務器一起由一臺服務器完成，但如果通過第三方來實現，就需要投入額外的資金了。
因此，在企業內部實現NAP，從服務器的數量上面，至少要有兩臺服務器，一臺處于受限網絡中的補救服務器，另外一臺處于企業內部的服務器，來完成ES，網絡策略服務器（根據EC的類型來決定連接的策略，提供RADIUS集中驗證服務）、健康策略服務器和健康要求服務器這四個角色。而整個NAP解決方案，要實現三類對應，即SHA的數量和補救服務器的數量相對應，SHV和健康要求服務器的數量相對應，而EC的類型和ES的類型相對應。對于我們的企業來說，當對各種角色的服務器的數量要求很多的時候，我們可以考慮使用2008的虛擬化技術，來減少資金的投入，并且使得管理和維護的工作更加容易。
那么在NAP的客戶端和服務器端之間，傳遞了什么樣的信息，這些信息如何傳遞的呢？

2、實現原理：

NAP的服務器端和客戶端之間所傳遞的信息，其實就是客戶端的健康狀態以及服務器端的健康反饋，具體的實現過程和我們進行體檢的過程十分類似。
SHA如同我們體檢的每一個科室，根據它所對應的補救服務器的類型，分別收集客戶端的健康數據，我們在體檢的時候，對身體各項指標都有相應的記錄，而在NAP里，這些由SHA所監測出來的數據稱之為健康聲明（StatementofHealthy，簡稱SoH）就是每臺EC的體檢記錄。當我們在體檢中心的各個診室檢查完身體，就會有完整的體檢報告，通過護士收集后送達倒醫生手中，在NAP中，所有SHA監測出來的SoH，都會通過NAPAgent收集到系統健康聲明中（SystemStatementofHealth，簡稱SSoH），然后這份SSoH會通過EC發送到對應的ES處。
在體檢報告交到專業醫生手里之后，他會對他所負責的監測項目進行判斷，來得出體檢人員的健康狀況，在NAP中，ES收到的SSoH會最終傳達到健康策略服務器，通過NAPAdministrationServer服務，把SSoH所包含的每一個SoH，送達到相應的SHV進行監測。每一個SoH都會對應一個健康聲明響應（StatementofHealthResponse，簡稱SoHR）
，而所有的SoHR都會通過NAPAdministrationServer收集到系統健康聲明響應中（SystemStatementofHealthResponse，簡稱SSoHR），并通過ES傳遞給EC。
在體檢完成時，當我們拿到體檢報告，如果有不合格的項目，我們會根據情況選擇去對應的醫院就醫，排除病灶。在NAP中，當EC收到的SSoHR后，如果該EC有不滿足企業安全的項目，就會被送到隔離的網絡中，然后通過相應的補救服務器，來改善自身的健康狀態，直到再一次的“體檢”結果是健康的時候，才能夠正常的訪問企業內網中的資源。

三、企業應用的場景

通過NAP技術，我們可以實時地根據企業要求，動態的設定健康檢測的項目，對企業內部各種類型的EC進行相應的設定。具體到實際應用上面，WindowsServer2008可以支持以下幾種NAP的技術：
IPSec、802.1X、VPN、DHCP和TSGateway的NAP強制，這幾種強制方式包含了企業中可能用到的各種網絡連接環境，對提升網絡安全，保護企業內部數據通信的安全有效，發揮了非常重要的作用。對于部署NAP，需要注意EC和ES的聯系十分重要，如果EC沒有通過ES就完成了網絡連接的工作，那么NAP的作用就無從談起了。因此對于DHCP的強制，需要注意企業內部被強制的客戶端，不能手動配置IP。
此外，NAP只能保證按照我們設定的健康策略來實現計算機本身的健康，而不能保證操作計算機的人員的健康，所以，在企業中各種制度的完善也是保證企業整體安全不可或缺的一環。
希望借助WindowsServer2008的NAP技術，能夠幫助我們的企業營造更加安全可靠的IT環境，充分發揮它應有的作用，保證企業內部主機的健康運轉。

【編輯推薦】

1. Windows Server 2008 R2 與UNIX環境整合之SUA
2. 優秀的接班人——Windows Server 2008
3. Windows Server 2008 R2虛擬化有效幫助企業降低運營成本
4. Windows Server 2008組策略安全實踐手冊
5. IIS7在Windows Server 2008 R2中的技術革新