保證網(wǎng)絡的安全，對于企業(yè)的日常工作來說是非常重要的，這一點毋庸置疑，而采取的方案也基本是大同小異，通過使用硬件或者軟件的防火墻，我們保證了邊界網(wǎng)絡的安全，有效地對內(nèi)部和外部的通信進行了控制，防止了大量來自Internet上面的攻擊。
 

一、企業(yè)網(wǎng)絡安全的現(xiàn)狀：

保證網(wǎng)絡的安全，對于企業(yè)的日常工作來說是非常重要的，這一點毋庸置疑，而采取的方案也基本是大同小異，通過使用硬件或者軟件的防火墻，我們保證了邊界網(wǎng)絡的安全，有效地對內(nèi)部和外部的通信進行了控制，防止了大量來自Internet上面的攻擊。
對于企業(yè)內(nèi)部的服務器和客戶端上，可以部署相應的殺毒軟件來保證系統(tǒng)和重要數(shù)據(jù)不受病毒和木馬等惡意軟件的干擾?？梢酝ㄟ^部署WSUS服務或者通過SMS/SCCM把重要的系統(tǒng)補丁及時地安裝到客戶端。
但是，如果一位員工拿著他的筆記本電腦出差一個月，在這段時間里，他沒有及時更新他電腦中的病毒庫，沒有及時進行安全更新。那么等他出差歸來，連入公司內(nèi)部網(wǎng)絡時，他的電腦就是一個潛在的危險，我們在基于windowsserver2003的系統(tǒng)上面，可以使用網(wǎng)絡隔離技術來防止這種情況的發(fā)生，但是一旦用戶通過驗證，網(wǎng)絡隔離就不再對其發(fā)揮作用。那么如果對企業(yè)中大量的客戶端的情況進行實時地檢測和控制？對于不滿足要求的客戶端及時進行強制性的補救工作呢？在WindowsSever2008推出之后，通過使用2008所提供的NAP網(wǎng)絡訪問保護技術，可以對客戶端的健康狀態(tài)進行實時地監(jiān)控，保證企業(yè)內(nèi)部的所有設備均按照管理員定制的健康條件正常運轉。就像我們身邊的家庭醫(yī)生時刻檢查我們的身體狀態(tài)一樣，NAP如同企業(yè)內(nèi)部的一位專職醫(yī)生，時刻檢查企業(yè)內(nèi)部每一臺機器的健康狀態(tài)。那么NAP是如何實現(xiàn)這一目標的呢？我們來看一下NAP的實現(xiàn)機制。

二、NAP的實現(xiàn)機制

1、組成：

要想在企業(yè)內(nèi)部部署NAP，如上圖所示，要具備以下幾部分。
1）客戶端：
在客戶端，主要有兩部分組成。一個是啟用NAP的客戶端，一個是“補救服務器”。
由于NAP設計的目的是保證訪問企業(yè)內(nèi)部的計算機的“健康”，所以，對于不滿足健康狀態(tài)的計算機，并不是禁止訪問，而是限制訪問，因此從客戶端角度，自然會提供相應的用于補救（Remediation）的服務器，所以從物理實現(xiàn)的角度，要在企業(yè)內(nèi)部的網(wǎng)絡中，分出受限和非受限的網(wǎng)絡，并且將補救的服務器放于受限的網(wǎng)絡中，以便不“健康”的客戶端能夠得到“救治”。從WindowsXPSP3開始，所有啟用了NAPAgent服務的客戶端操作系統(tǒng)，在NAP里面，都有一個統(tǒng)一的名稱：EC（EnforcementClient）。而每個EC的健康狀態(tài)都有系統(tǒng)健康代理（SHA）負責收集，而每一個SHA都和相應的補救服務器相對應，因此在企業(yè)內(nèi)部部署受限網(wǎng)絡中的補救服務器的數(shù)量時，要考慮進行搜集的項目來確定。
2）服務器端：
在服務器端，主要由三部分組成，分別是ES（EnforcementServer），健康策略（NAPHealthyPolicy）服務器和健康要求（HealthyRequirement）服務器
面對來自EC的驗證和授權請求，在企業(yè)內(nèi)部就要有相應的設備來應答，這類設備可以通過把2008的成員服務器上相應服務來完成，或者由第三方來提供，但能夠應答的設備統(tǒng)稱為ES；而ES在收到這些請求之后，就會把相應的請求送達給健康策略服務器來進行健康狀況的檢測，而檢測的依據(jù)就由健康要求服務器來提供。對于部署NAP的企業(yè)來說，每部署一個檢測的項目，就要有一個系統(tǒng)健康確認者（SHV），而一個SHV會與一個健康要求服務器相對應，因此在企業(yè)內(nèi)部，如果健康要求服務器用Windows2008來進行配置的話，可以和健康策略服務器一起由一臺服務器完成，但如果通過第三方來實現(xiàn)，就需要投入額外的資金了。
因此，在企業(yè)內(nèi)部實現(xiàn)NAP，從服務器的數(shù)量上面，至少要有兩臺服務器，一臺處于受限網(wǎng)絡中的補救服務器，另外一臺處于企業(yè)內(nèi)部的服務器，來完成ES，網(wǎng)絡策略服務器（根據(jù)EC的類型來決定連接的策略，提供RADIUS集中驗證服務）、健康策略服務器和健康要求服務器這四個角色。而整個NAP解決方案，要實現(xiàn)三類對應，即SHA的數(shù)量和補救服務器的數(shù)量相對應，SHV和健康要求服務器的數(shù)量相對應，而EC的類型和ES的類型相對應。對于我們的企業(yè)來說，當對各種角色的服務器的數(shù)量要求很多的時候，我們可以考慮使用2008的虛擬化技術，來減少資金的投入，并且使得管理和維護的工作更加容易。
那么在NAP的客戶端和服務器端之間，傳遞了什么樣的信息，這些信息如何傳遞的呢？

2、實現(xiàn)原理：

NAP的服務器端和客戶端之間所傳遞的信息，其實就是客戶端的健康狀態(tài)以及服務器端的健康反饋，具體的實現(xiàn)過程和我們進行體檢的過程十分類似。
SHA如同我們體檢的每一個科室，根據(jù)它所對應的補救服務器的類型，分別收集客戶端的健康數(shù)據(jù)，我們在體檢的時候，對身體各項指標都有相應的記錄，而在NAP里，這些由SHA所監(jiān)測出來的數(shù)據(jù)稱之為健康聲明（StatementofHealthy，簡稱SoH）就是每臺EC的體檢記錄。當我們在體檢中心的各個診室檢查完身體，就會有完整的體檢報告，通過護士收集后送達倒醫(yī)生手中，在NAP中，所有SHA監(jiān)測出來的SoH，都會通過NAPAgent收集到系統(tǒng)健康聲明中（SystemStatementofHealth，簡稱SSoH），然后這份SSoH會通過EC發(fā)送到對應的ES處。
在體檢報告交到專業(yè)醫(yī)生手里之后，他會對他所負責的監(jiān)測項目進行判斷，來得出體檢人員的健康狀況，在NAP中，ES收到的SSoH會最終傳達到健康策略服務器，通過NAPAdministrationServer服務，把SSoH所包含的每一個SoH，送達到相應的SHV進行監(jiān)測。每一個SoH都會對應一個健康聲明響應（StatementofHealthResponse，簡稱SoHR）
，而所有的SoHR都會通過NAPAdministrationServer收集到系統(tǒng)健康聲明響應中（SystemStatementofHealthResponse，簡稱SSoHR），并通過ES傳遞給EC。
在體檢完成時，當我們拿到體檢報告，如果有不合格的項目，我們會根據(jù)情況選擇去對應的醫(yī)院就醫(yī)，排除病灶。在NAP中，當EC收到的SSoHR后，如果該EC有不滿足企業(yè)安全的項目，就會被送到隔離的網(wǎng)絡中，然后通過相應的補救服務器，來改善自身的健康狀態(tài)，直到再一次的“體檢”結果是健康的時候，才能夠正常的訪問企業(yè)內(nèi)網(wǎng)中的資源。

三、企業(yè)應用的場景

通過NAP技術，我們可以實時地根據(jù)企業(yè)要求，動態(tài)的設定健康檢測的項目，對企業(yè)內(nèi)部各種類型的EC進行相應的設定。具體到實際應用上面，WindowsServer2008可以支持以下幾種NAP的技術：
IPSec、802.1X、VPN、DHCP和TSGateway的NAP強制，這幾種強制方式包含了企業(yè)中可能用到的各種網(wǎng)絡連接環(huán)境，對提升網(wǎng)絡安全，保護企業(yè)內(nèi)部數(shù)據(jù)通信的安全有效，發(fā)揮了非常重要的作用。對于部署NAP，需要注意EC和ES的聯(lián)系十分重要，如果EC沒有通過ES就完成了網(wǎng)絡連接的工作，那么NAP的作用就無從談起了。因此對于DHCP的強制，需要注意企業(yè)內(nèi)部被強制的客戶端，不能手動配置IP。
此外，NAP只能保證按照我們設定的健康策略來實現(xiàn)計算機本身的健康，而不能保證操作計算機的人員的健康，所以，在企業(yè)中各種制度的完善也是保證企業(yè)整體安全不可或缺的一環(huán)。
希望借助WindowsServer2008的NAP技術，能夠幫助我們的企業(yè)營造更加安全可靠的IT環(huán)境，充分發(fā)揮它應有的作用，保證企業(yè)內(nèi)部主機的健康運轉。

【編輯推薦】

1. Windows Server 2008 R2 與UNIX環(huán)境整合之SUA
2. 優(yōu)秀的接班人——Windows Server 2008
3. Windows Server 2008 R2虛擬化有效幫助企業(yè)降低運營成本
4. Windows Server 2008組策略安全實踐手冊
5. IIS7在Windows Server 2008 R2中的技術革新