NAP 技術(shù)介紹：NAP從字面上理解是網(wǎng)絡(luò)訪問保護(hù)。NAP提供網(wǎng)絡(luò)準(zhǔn)入技術(shù)，允許符合要求的客戶端進(jìn)入企業(yè)內(nèi)部網(wǎng)，限制不符合要求的客戶端進(jìn)入企業(yè)網(wǎng)絡(luò)的隔離區(qū)。并為隔離區(qū)的客戶端計(jì)算機(jī)提供自動(dòng)修正和補(bǔ)救，一旦符合健康要求即可進(jìn)入正常網(wǎng)絡(luò)。NAP是由客戶端健康策略創(chuàng)建、強(qiáng)制及補(bǔ)救技術(shù)組成。NAP定義了客戶端操作系統(tǒng)和關(guān)鍵軟件要求的配置和更新條件。

NAP技術(shù)內(nèi)置于Windows 操作系統(tǒng)中，屬于內(nèi)置功能。支持NAP的客戶端操作操作系統(tǒng)有Windows XP SP3、Windows Vista、Windows 7，服務(wù)器端操作系統(tǒng)有Windows Server 2008。通過激活和配置管理，可實(shí)現(xiàn)NAP 技術(shù)。

NAP For IPSEC：NAP的技術(shù)的實(shí)現(xiàn)基于以下幾種情形：DHCP、VPN、802.1X和IPSEC。假如客戶端計(jì)算機(jī)是靜態(tài)的IP參數(shù)，也不需要建立VPN，也不使用802.1X，那么剩下的就只有 NAP  For IPSEC.下面就著重介紹NAP FOR IPSEC的概念和技術(shù)機(jī)制。 NAP FOR IPSEC涉及的概念和名詞術(shù)語有：
◆SHA：System Health Agents,系統(tǒng)健康代理，產(chǎn)生入網(wǎng)客戶端健康陳述（SoH），代表一個(gè)客戶機(jī)健康狀態(tài)的快照；
◆NAP Agent: NAP代理，收集和管理健康信息；
◆NAP EC: NAP Enforcement Client，NAP執(zhí)行客戶端，傳遞健康狀態(tài)給NAP服務(wù)器，NAP服務(wù)器提供網(wǎng)絡(luò)訪問策略。對(duì)于不同的網(wǎng)絡(luò)訪問和通訊類型，都有NAP EC模塊相匹配.例如，對(duì)于IPSEC通訊，就有對(duì)應(yīng)的NAP EC FOR IPSEC;
◆NAP Capable Client Computer：有NAP內(nèi)置功能的客戶端操作系統(tǒng)計(jì)算機(jī) ，由SHA、NAP Agent 、NAP EC三個(gè)模塊組成。只要計(jì)算機(jī)安裝Windows XP SP3、Windows Vista、Windows 7就能滿足這一要求；
◆SoH：英文全稱為Statement of Health ,健康陳述（補(bǔ)丁狀態(tài)和系統(tǒng)配置等）；
◆SoHR: SoH Response ,對(duì)SoH的應(yīng)答.應(yīng)答有兩種(YES /NO).YES－代表健康狀態(tài)滿足要求，同意頒發(fā)證書；No－代表不滿足健康要求，提供修正指導(dǎo)，提供受限訪問；
◆HRA 服務(wù)器：英文全稱是Health Registration Authority Server ，健康注冊(cè)授權(quán)機(jī)構(gòu)。是服務(wù)器端NAP ES模塊，與客戶端NAP EC模塊相匹配。向客戶端提供一些所需的網(wǎng)絡(luò)訪問能力，傳遞客戶端健康狀態(tài)給網(wǎng)絡(luò)策略服務(wù)器，執(zhí)行網(wǎng)絡(luò)限制訪問；
◆SHV:英文全稱是System health Validator,即系統(tǒng)健康驗(yàn)證器，是NAP平臺(tái)架構(gòu)的服務(wù)器端組件，與客戶端的SHA相對(duì)應(yīng)。SHV接受客戶端SHA傳來的SoH，返回SoH應(yīng)答。通知客戶端如果SHA不滿足要求的健康狀態(tài)，應(yīng)如何執(zhí)行的行為。
◆NPS: 英文全稱是Network Policy Server，即網(wǎng)絡(luò)策略服務(wù)器。由SHV、策略及NAP管理模塊組成。策略定義了客戶端的健康。NPS驗(yàn)證定義的健康策略。
企業(yè)安全網(wǎng)絡(luò)：客戶端符合健康策略，允許進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，授權(quán)完全的網(wǎng)絡(luò)訪問；
◆受限網(wǎng)絡(luò)：客戶端不符合健康策略，不允許進(jìn)入企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問受到限制?？蛻舳丝梢赃M(jìn)行有限的訪問，如可以訪問救援服務(wù)器，安裝所需的補(bǔ)丁，進(jìn)行恰當(dāng)?shù)呐渲?。通過補(bǔ)救，客戶端可以恢復(fù)健康狀態(tài)；
◆Remediation Servers: 可以翻譯為救援、補(bǔ)救和修正服務(wù)器?？蛻舳说模樱龋梁途仍?wù)器相對(duì)應(yīng)。能從救援服務(wù)器下載最新的補(bǔ)丁和病毒更新；
◆Network Access Limitation Enforcement Methods:即網(wǎng)絡(luò)訪問限制執(zhí)行方法。NAP for IPsec使用的方法是：在受限網(wǎng)絡(luò)的客戶計(jì)算機(jī)，不能獲得證書機(jī)構(gòu)頒發(fā)的健康證書。在同關(guān)鍵服務(wù)器通訊時(shí)，沒有證書就無法建立IPSEC通訊；

NAP FOR IPSEC 技術(shù)機(jī)制：
1、NAP 客戶端請(qǐng)求網(wǎng)路訪問，提供系統(tǒng)健康狀態(tài)。發(fā)送SoH請(qǐng)求；
2、HRA接受SoH請(qǐng)求，中繼請(qǐng)求至策略服務(wù)器；
3、依據(jù)健康策略，策略服務(wù)器SHV對(duì)SoH請(qǐng)求作出應(yīng)答，返回給HRA；
4、如果客戶健康狀態(tài)不符合健康策略要求，將被受限訪問。HRA返回SoH請(qǐng)求應(yīng)答給客戶端， NAP客戶端不能獲得健康證書，客戶端不能同后臺(tái)服務(wù)器建立IPsec通訊。但可以同救援服務(wù)器通訊，恢復(fù)健康狀態(tài)。在恢復(fù)健康狀態(tài)后，可以重新申請(qǐng)健康證書；
5、如果客戶健康狀態(tài)符合健康策略要求，HRA返回SoH請(qǐng)求應(yīng)答給客戶。HRA得到策略服務(wù)器的批準(zhǔn)，替NAP客戶端申請(qǐng)健康證書，頒發(fā)證書給符合要求的NAP客戶端。有了健康證書的客戶端就可以同后臺(tái)的服務(wù)器建立IPSEC的通訊了。標(biāo)志進(jìn)入企業(yè)安全網(wǎng)絡(luò)。

NAP FOR IPSEC在企業(yè)實(shí)施方案分析：

1、在微軟提供的NAP解決方案中，有DHCP、802.1X、VPN及IPSEC。

2、在DHCP、802.1X、VPN情形中，有一個(gè)關(guān)鍵點(diǎn)和前提，就是客戶端入網(wǎng)的第一步必須和DHCP、802.1X、VPN通訊，進(jìn)而才能對(duì)客戶端的健康狀態(tài)加以評(píng)估，NAP機(jī)制才會(huì)起作用。如果沒有這個(gè)前提，NAP機(jī)制就會(huì)被繞過，不會(huì)起作用。具體來講，在NAP FOR DHCP技術(shù)方案中，關(guān)鍵點(diǎn)是DHCP服務(wù)器。在NAP FOR 802.1X　技術(shù)方案中，關(guān)鍵點(diǎn)是支持NAP的802.1X訪問設(shè)備。在NAP FOR VPN技術(shù)方案中，關(guān)鍵點(diǎn)是VPN服務(wù)器。

3、在NAP FOR IPSEC情形下，問題比較復(fù)雜。缺乏一個(gè)關(guān)鍵點(diǎn)，客戶端在企業(yè)網(wǎng)絡(luò)里與那一臺(tái)服務(wù)器通訊是隨機(jī)的。我們必須保證基礎(chǔ)架構(gòu)服務(wù)器（DC）、網(wǎng)絡(luò)架構(gòu)服務(wù)器（ＤＮＳ等）及救援服務(wù)器和客戶端通訊是正常的，不能設(shè)置嚴(yán)格的IPSEC策略。因此不能將這一類服務(wù)器作為關(guān)鍵控制點(diǎn)。而每臺(tái)客戶端機(jī)器必須與之通訊的業(yè)務(wù)系統(tǒng)，可能是跨平臺(tái)系統(tǒng)，不支持NAP技術(shù)，也作不成中心控制點(diǎn)；

4、引入微軟網(wǎng)關(guān)產(chǎn)品TMG 2010,利用TMG 2010將網(wǎng)絡(luò)分成微軟企業(yè)內(nèi)部網(wǎng)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)。TMG是關(guān)鍵點(diǎn)，有兩塊網(wǎng)卡。一塊連接企業(yè)內(nèi)部網(wǎng)，另一塊連接業(yè)務(wù)網(wǎng)絡(luò)。所有客戶端（B/S模式）要訪問業(yè)務(wù)系統(tǒng)，必須先同TMG通訊（web 代理功能）。這樣就形成以TMG為中心控制點(diǎn)；

5、有了TMG關(guān)鍵點(diǎn)后，就可以規(guī)劃NAP FOR IPSEC方案了；

NAP FOR IPSEC解決方案實(shí)施步驟：
1、在服務(wù)器上安裝Windows Server 2008,部署AD 架構(gòu)，配置DNS\AD DS\AD CS角色；
2、在AD域上建立三個(gè)安全組：1、NAP IPSEC Client Computers ，包含所有滿足健康策略接受健康證書的客戶端計(jì)算機(jī)（Windows XP SP3、Windows Vista、Windows 7）； 2、NAP IPSEC Boundary Computers ,能自動(dòng)獲得IPSEC健康證書，涵蓋基礎(chǔ)架構(gòu)服務(wù)器（DC）、網(wǎng)絡(luò)架構(gòu)服務(wù)器（DNS等）及救援服務(wù)器，對(duì)這個(gè)組不采用嚴(yán)格的IPSEC策略； 3、NAP IPSEC Protected  Computers,能自動(dòng)獲得健康證書，要求進(jìn)站連接提供健康證書。這個(gè)組包含關(guān)鍵服務(wù)器，TMG服務(wù)器屬于這個(gè)組。這個(gè)組采用嚴(yán)格的IPSEC策略；
3、對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行歸屬劃分，加入相應(yīng)的組里；
4、在證書服務(wù)器創(chuàng)建新的健康證書模板，在證書模板的安全屬性設(shè)置安全組NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers對(duì)該模板有Read 、Allow Enroll 、Allow Autoenroll的權(quán)限；
5、配置證書服務(wù)器頒發(fā)健康證書模板；
6、在AD 上配置域缺省組策略，使得在域里的計(jì)算機(jī)能自動(dòng)獲得證書；
7、從以上配置可以保證安全組NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers里的計(jì)算機(jī)能獲得健康證書，即企業(yè)內(nèi)部網(wǎng)的所有的服務(wù)器都能獲得健康證書。安全組NAP IPSEC Client Computers不能通過此方法獲得證書，因?yàn)榇私M對(duì)新創(chuàng)建的健康證書模板沒有Allow Enroll 、Allow Autoenroll的權(quán)限。安全組NAP IPSEC Client Computers是通過HRA獲得證書的；
8、配置HRA，HRA是一個(gè)WEB 應(yīng)用程序，如果策略服務(wù)器判定客戶端計(jì)算機(jī)是符合健康要求的，HRA將從證書服務(wù)器CA上為客戶端計(jì)算機(jī)獲得一個(gè)健康證書，并發(fā)送給客戶端。建立HRA與CA服務(wù)器之間的關(guān)聯(lián)，HRA就像一個(gè)證書代理機(jī)構(gòu)，為符合要求的健康客戶端提供健康證書。因此，在證書服務(wù)器上配置HRA所代表的帳戶應(yīng)有請(qǐng)求、頒發(fā)和管理證書的權(quán)限。在HRA上指向正確的證書服務(wù)器信息；
9、配置策略服務(wù)器NPS，配置SHV、健康策略和網(wǎng)絡(luò)連接策略。有兩個(gè)策略，一個(gè)是符合健康要求的，另一個(gè)是不符合要求的;
10、激活客戶端計(jì)算機(jī)NAP For IPSEC模塊?？赏ㄟ^組策略來實(shí)施。需要完成兩項(xiàng)設(shè)置，　 一是啟用NAP For IPSEC，配置信任HRA服務(wù)器組，指向正確HRA　URL地址.因?yàn)镠RA提供的是一個(gè)WEB 應(yīng)用程序服務(wù)?？蛻舳薔AP Agent根據(jù)SoH響應(yīng)通過這個(gè)服務(wù)獲得健康證書或取消健康證書；
11、驗(yàn)證服務(wù)器證書機(jī)制起作用，查看在域中的服務(wù)器都能獲得健康證書；
12、驗(yàn)證客戶端證書機(jī)制起作用，查看符合健康要求和不符合健康要求的情況；
13、確認(rèn)準(zhǔn)備安裝TMG 2010的機(jī)器已獲得健康證書；
14、利用組策略管理工具GPMC對(duì)三個(gè)安全組實(shí)施IPSEC 組策略。安全組NAP IPSEC Client Computers NAP和 IPSEC Protected  Computers實(shí)施嚴(yán)格的IPSEC組策略：入站要求健康證書出站請(qǐng)求；安全組NAP IPSEC Boundary Computers實(shí)施包容性的IPSEC組策略：入站和出站請(qǐng)求健康證書；
15、安裝關(guān)鍵控制點(diǎn)TMG 2010，配置TMG 2010，TMG 服務(wù)器屬于安全組IPSEC Protected  Computers。所有計(jì)算機(jī)必須首先訪問TMG，才能訪問后臺(tái)的業(yè)務(wù)系統(tǒng)。實(shí)現(xiàn)跨平臺(tái)的NAP For IPSEC解決方案；
16、測(cè)試集成TMG 2010的NAP For IPSEC效果。

實(shí)施方案問題探討：

1、TMG 2010安裝完成后，會(huì)接管對(duì)應(yīng)網(wǎng)絡(luò)接口的管理策略，會(huì)不會(huì)同對(duì)應(yīng)TMG服務(wù)器的NAP For IPSE組策略沖突？
答：通過做實(shí)驗(yàn)和部署，確認(rèn)不會(huì)沖突，TMG 2010遵從NAP For IPSEC組策略。兩者配合的很好。在做實(shí)驗(yàn)前，對(duì)這個(gè)問題一直沒有把握。完成實(shí)驗(yàn)后，心里就踏實(shí)了。

2、TMG 2010只能安裝在64位Windows Server 2008 R2的機(jī)器上.64位Windows Server 2008 R2的機(jī)器能不能從在32位Windows Server 2008的CA服務(wù)器上獲得證書？
答：結(jié)果出人意料。不能獲得，但從道理上是可以的。需要進(jìn)一步確認(rèn)；

3、對(duì)于Windows Server 2008 R2才有基于Windows 7的健康驗(yàn)證器SHV。Windows Server 2008 R2以前的版本只支持XP 和Vista。

4、Windows XP sp3 是否能接受來自Windows Server 2008 R2　基于高級(jí)防火墻配置的NAP For IPSEC組策略的設(shè)置？
答：實(shí)驗(yàn)結(jié)果是不能。需要在Windows XP sp3上手工配置IPSEC,健康證書移走后，IPSEC通訊不中斷。需要重新啟動(dòng)IPSEC服務(wù)，才能看到效果。

【編輯推薦】

1. Windows Server 2008 新增功能淺談
2. Windows Server 2008 數(shù)據(jù)庫(kù)性能監(jiān)控
3. 保障應(yīng)用程序集中訪問安全新選擇: Windows Server 2008 TS 網(wǎng)關(guān)
4. WINDOWS SERVER 2008 企業(yè)安全特性概述
5. Windows Server 2008 之我見