NAP是一种能够确保只有符合安全要求的电脑允许接入网络的Windows机制,使用NAP可以让网络更安全。遗憾的是,当微软首次推出这一机制的时候,NAP只能检查一些配置设置且很难被执行。但是NAP已经有所改进,Windows Vista和Windows Server 2008中的改进已经结合起来,因此完整规模的NAP部署现在已经很容易了。
NAP基础
为了在所有电脑上强制执行连接网络的安全请求,不论电脑连接如何,NAP必须能够控制访问。这要求具备一个VPN连接把关者,处理了有线和无线交换机以及其他接入方法的分配与连接。微软通过让你配置多种“执行点”将这些内容包含进来,而“执行点”扮演的就是网络把关者的角色。可能执行的包含了运行于Windows Server 2008上的VPN或DHCP服务器,可以解决认证机构发证问题的网络服务器以及与无线和有线交换机兼容的802.1x。
执行点的任务是:当客户端连接网络的时候,它会提示是否所有的网络接入都符合安全策略。执行点只会将名为健康状态的结果转发到网络策略服务器(NPS),该服务器是微软远程验证拨号用户服务服务器(RADIUS)的执行。
根据NPS所返回值的不同答案,执行点可以访问网络,拒绝访问或仅让客户端连接到矫正伺服器上,这样就可以让大家访问那些可能需要用来修复客户端安全缺陷的资源。一个健康的策略服务器要检查客户端的配置信息,并将其与策略设置进行比对,然后生成用于执行点的响应。
陈述NAP
NAP之所以如此吸引人是因为所有当前微软客户操作系统都包括了要求做健康检查的NAP客户端功能,因此你不必在网络客户端再进行其他配置和安装。从网络角度来看,NAP涵盖了大部分的网络接入点。不要认为你必须将所有的接入方式都考虑进来。相反,只要在一个接入点强制执行健康检查,如一个VPN服务器,然后才逐步将NAP扩展到其他执行点。
开始使用的时候只需向运行在Windows Server 2008上添加“网络策略和访问服务”功能。然后,运行NAP向导以配置策略,该策略定义了哪种类型的客户端应该被检查,以及如果可能的话,可以使用哪种类型的矫正伺服器。下一步,你必须定义系统健康验证器(SHVs)。这些是客户端需要报告的设置,如是否需要补丁或安装防病毒软件。
一旦NPS服务器和策略都到位后,你就需要配置执行点。这包括了两个部分:首先,需要让执行点与NPS服务器连通。要做到这一点,要将其配置成为RADIUS客户端。然后,要对执行点在检查成功和失败两种情况下如何响应客户端进行配置。
扩展NAP
一旦你为每种类型的接入都安装了NAP,将其扩展到其他连接类型就非常简单了。从这一点考虑,你应该从微软和第三方的资源中探索出额外的SHVs,以便对更多客户端进行健康检查。NAP看似复杂,其实不然,如果采用循序渐进的方式来部署,它的执行则相对较为简单。