NAP是一種能夠確保只有符合安全要求的電腦允許接入網(wǎng)絡(luò)的Windows機制，使用NAP可以讓網(wǎng)絡(luò)更安全。遺憾的是，當(dāng)微軟首次推出這一機制的時候，NAP只能檢查一些配置設(shè)置且很難被執(zhí)行。但是NAP已經(jīng)有所改進，Windows Vista和Windows Server 2008中的改進已經(jīng)結(jié)合起來，因此完整規(guī)模的NAP部署現(xiàn)在已經(jīng)很容易了。

　　NAP基礎(chǔ)

　　為了在所有電腦上強制執(zhí)行連接網(wǎng)絡(luò)的安全請求，不論電腦連接如何，NAP必須能夠控制訪問。這要求具備一個VPN連接把關(guān)者，DHCP處理了有線和無線交換機以及其他接入方法的分配與連接。微軟通過讓你配置多種“執(zhí)行點”將這些內(nèi)容包含進來，而“執(zhí)行點”扮演的就是網(wǎng)絡(luò)把關(guān)者的角色�？赡軋�(zhí)行的包含了運行于Windows Server 2008上的VPN或DHCP億恩科技服務(wù)器，可以解決認(rèn)證機構(gòu)發(fā)證問題的網(wǎng)絡(luò)億恩科技服務(wù)器以及與無線和有線交換機兼容的802.1x。

　　執(zhí)行點的任務(wù)是：當(dāng)客戶端連接網(wǎng)絡(luò)的時候，它會提示是否所有的網(wǎng)絡(luò)接入都符合安全策略。執(zhí)行點只會將名為健康狀態(tài)的結(jié)果轉(zhuǎn)發(fā)到網(wǎng)絡(luò)策略億恩科技服務(wù)器(NPS)，該億恩科技服務(wù)器是微軟遠程驗證撥號用戶服務(wù)億恩科技服務(wù)器(RADIUS)的執(zhí)行。

　　根據(jù)NPS所返回值的不同答案，執(zhí)行點可以訪問網(wǎng)絡(luò)，拒絕訪問或僅讓客戶端連接到矯正伺服器上，這樣就可以讓大家訪問那些可能需要用來修復(fù)客戶端安全缺陷的資源。一個健康的策略億恩科技服務(wù)器要檢查客戶端的配置信息，并將其與策略設(shè)置進行比對，然后生成用于執(zhí)行點的響應(yīng)。

　　陳述NAP

　　NAP之所以如此吸引人是因為所有當(dāng)前微軟客戶操作系統(tǒng)都包括了要求做健康檢查的NAP客戶端功能，因此你不必在網(wǎng)絡(luò)客戶端再進行其他配置和安裝。從網(wǎng)絡(luò)角度來看，NAP涵蓋了大部分的網(wǎng)絡(luò)接入點。不要認(rèn)為你必須將所有的接入方式都考慮進來。相反，只要在一個接入點強制執(zhí)行健康檢查，如一個VPN億恩科技服務(wù)器，然后才逐步將NAP擴展到其他執(zhí)行點。

　　開始使用的時候只需向運行在Windows Server 2008上添加“網(wǎng)絡(luò)策略和訪問服務(wù)”功能。然后，運行NAP向?qū)б耘渲貌呗�，該策略定義了哪種類型的客戶端應(yīng)該被檢查，以及如果可能的話，可以使用哪種類型的矯正伺服器。下一步，你必須定義系統(tǒng)健康驗證器(SHVs)。這些是客戶端需要報告的設(shè)置，如是否需要補丁或安裝防病毒軟件。

　　一旦NPS億恩科技服務(wù)器和策略都到位后，你就需要配置執(zhí)行點。這包括了兩個部分：首先，需要讓執(zhí)行點與NPS億恩科技服務(wù)器連通。要做到這一點，要將其配置成為RADIUS客戶端。然后，要對執(zhí)行點在檢查成功和失敗兩種情況下如何響應(yīng)客戶端進行配置。

　　擴展NAP

　　一旦你為每種類型的接入都安裝了NAP，將其擴展到其他連接類型就非常簡單了。從這一點考慮，你應(yīng)該從微軟和第三方的資源中探索出額外的SHVs，以便對更多客戶端進行健康檢查。NAP看似復(fù)雜，其實不然，如果采用循序漸進的方式來部署，它的執(zhí)行則相對較為簡單。