一、什么是网络访问保护（NAP）   

网络访问保护 (Network Access Protection) 是 Windows Vista、Microsoft Windows XP 和 Windows Server 2008 操作系统中内置的策略执行平台，它通过强制计算机符合系统健康要求更好地保护网络资产。借助网络访问保护，您可以创建自定义的健康策略以在允许访问或通信之前验证计算机的健康状况、自动更新符合要求的计算机以确保持续的符合性，也可以将不符合要求的计算机限制到受限网络，直到它们变为符合为止。

简单来讲，目前企业内部网络安全问题越来越重要，而人为因素又是造成企业网络安全威胁的一大原因，比如将带有漏洞、病毒的计算机接入企业内部网络，就有可能引起病毒在内部网络的传播，或者为黑客的攻击提供了后门，引起不必要的损失。而网络访问保护（Network Access Protection)的功能就是对接入企业网络的计算机进行安全检测，检查其是否符合公司制定的安全策略，符合安全策略的计算机才允许接入内部网络，不符合的计算机不能访问内部网络，将自动连接到修正服务器，获取安全更新或者策略调整，经过修正符合企业安全策略之后，才可以正常接入公司内部网络。

二、网络访问保护应用环境

网络访问保护 (NAP)主要应用在以下环境：

确保漫游计算机的健康：企业中应用笔记本移动办公越来越广泛，比如需要经常携带笔记本出差的用户，笔记本需要经常连接不安全的外部网络，没有进行Update，没有更新病毒库，或者已经感染病毒，一旦连接到公司网络，需要进行安全检查。

确保桌面计算机的健康：这里的桌面计算机指在公司内部使用，不经常离开内部网络的计算机。虽然这些计算机受到公司防火墙的保护以及安全策略的限制，但是由于可能会访问外部网络，并且连接移动设备，访问共享文件夹以及收发邮件等操作，也具有一定的安全隐患，需要接受补丁包获得更新，并更新病毒库。

确保访客便携计算机的健康：有时候企业访客的计算机需要连接企业内部网络，而客户的计算机没有通过企业内部网络的安全策略，如果连入企业内部网络可能会有安全威胁。这时候，可以通过网络访问保护功能在技术层面进行访问限制，当客户计算机连入内部网络之后，网络访问保护(NAP)可以将客户计算机重定向到一个隔离的网段，会自动连接到修正服务器，对客户计算机实施制定的安全策略，如进行Update，修复漏洞等，在修复安全之后，客户计算机可以自动连接到内部网络，以上操作自动完成，不耽误业务的进展。
确保家庭计算机的健康：企业员工有时候会将工作带到家中完成，需要通过VPN等方式将家中的计算机连接到公司内部网络访问资源，这时候家中的计算机就有可能对公司内部网络造成安全威胁。这时候使用NAP功能可以设置检查家庭计算机，可以将连接入的家庭计算机限制到隔离网段，进行健康修复，直到安全为止。

综上所述，实施网络访问保护(NAP)需要通过四个步骤：

1、策略评估：检查接入的计算机是否符合公司的安全策略要求。
2、网络限制约束：将不符合公司安全策略的计算机接入限制网段。
3、修正: 进行Update，更新病毒库、打开防火墙等操作，使接入的计算机符合公司安全策略。

4、继续依从策略：进行修正过的计算机已经符合公司安全策略，可以接入。

三、NAP架构概览

NAP的架构主要由客户端和服务器端组成，其构架如下图

    网络访问客户端包含于Windows Vista、Windows XP SP3和 Windows Server 2008中，其中包括：
系统安全代理SHA：检查声明客户端安全状态，是否启用Windows FireWall，Windows Defender，Windows Update、杀毒软件是否为最新等，同时向NAP策略服务器询问是否满足健康状况要求，Vista 和2008都包含了一个SHA。
强制客户端EC：是被定义为与不同类型的连接之间的访问，包括DHCP、VPN、IPsec、802.1x等。
隔离代理QA：用于报告客户端健康状况并检查SHA和EC之间的协作。
修正服务器：作用是为不健康的计算机安装所需的更新，启用防火墙，不安全客户端被分配到限制网段，就会自动连接到修补服务器进行更新。

    服务器端主要作用是制订网络访问安全策略，通过系统健康验证来检验客户端的安全状况，并根据系统健康验证的结果限制客户端的访问。NAP采用DHCP、VPN、IPsec、802.1X等技术实现了深度防御，对安全进行了增强，所有通讯都是经过验证授权并保证是健康的，NAP对于不安全的计算机的强制方式包括：
DHCP: 对于不健康的计算机，分配限制IP，进入限制网络；VPN：基于IP包过滤器的过滤来实现安全检测；802.1x：通过IP包过滤器或虚拟局域网来限制不健康的连接；IPsec拒绝不符合要求的通讯请求。

    IPsec 强制
IPsec 强制由健康证书服务器和 IPsec NAP EC 组成。当确定客户端符合时，健康证书服务器颁发 X.509 证书隔离它们。然后当 NAP 客户端开始与 Intranet 上的其他 NAP 客户端通信时，使用这些证书对 NAP 客户端进行身份验证。

IPsec 强制将网络上的通信限制为被认为是符合的那些节点，原因是它想利用 IPsec，您可以为每个 IP 地址或每个 TCP/UDP 端口号上的符合客户端定义与其安全通信的要求。成功连接并且获得有效的 IP 地址配置之后，IPsec 强制限制与符合计算机的通信。IPsec 强制是网络访问保护中最强形式的网络访问限制。

802.1X 强制
802.1X 强制由 NPS 服务器和 EAPHost NAP EC 组件组成。使用 802.1X 强制，NPS 服务器指导 802.1X 访问点（以太网交换机或无线访问点）在 802.1X 客户端上放置受限制的访问配置文件，直到它执行一组修正功能为止。受限制的访问配置文件可以由一组 IP 数据包筛选器或虚拟 LAN (VLAN) 标识符组成，用于限制 802.1X 客户端的通信。802.1X 强制为通过 802.1X 连接访问网络的所有计算机的网络访问提供比较强的限制。

VPN 强制
VPN 强制由 VPN NAP ES 组件和 VPN NAP EC 组件组成。使用 VPN 强制，VPN 服务器可以在计算机尝试对网络进行 VPN 连接时强制健康策略要求。VPN 强制为通过 VPN 连接访问网络的所有计算机的网络访问提供比较强的限制。

DHCP 强制
DHCP 强制由 DHCP NAP ES 组件和 DHCP NAP EC 组件组成。使用 DHCP 强制，DHCP 服务器可以在计算机尝试租用或续订网络上的 IP 地址配置时强制健康策略要求。DHCP 强制是最简单的部署强制，因为所有 DHCP 客户端计算机必须租用 IP 地址。由于 DHCP 强制依赖于 IP 路由表中的条目，因此它是网络访问保护中最弱的网络访问限制形式。

四、总结

    从上面的叙述可以看到，网络访问保护NAP功能可以通过加强的安全机制，有效降低企业内部网络面临的安全威胁，NAP功能具体如何在Windows Server 2008中进行配置实现，请大家继续关注我们的知识学堂栏目。