在今天这个移动的世界，用户可以随时从家里或者在路上通过VPN连接到公司的局域网上；有时，他们把自己的笔记本电脑带到公司里；另外，他们还可以使用其他的系统，而这样可能会对网络构成威胁。因此，企业必须能够控制到底什么样的电脑才可以访问网络。

在网络上的电脑必须打上最新的安全补丁和Service Pack包，以修补所有的已知漏洞，并且必须使用反病毒软件以及反恶意软件来保护自己。当电脑身处互联网上时，若要连接本地局域网，必须已经安装了个人防火墙，且已经被正确配置完毕。使用这些措施，可以确保你的网络环境中这些电脑自身的“健康”。

有很多方法可以监控远程访问电脑的健康状态。例如，在微软Windows Server 2003中的NAQC（Network Access Quarantine Control），可以按照系统管理员预先指定的健康状态，对不满足要求的远程电脑（通过VPN或者拨号连接连上来）进行隔离——但是它实在是太难以部署，并且要求你书写自定义的脚本，还需要使用命令行工具。另一个限制是第三方程序无法参与策略的指定。Cisco的NAC（Network Admission Control）提供了类似的功能，但是一台NAC设备相当昂贵。

微软正在解决这个问题，这就是在Windows Vista客户端以及Longhorn Server中内置的一个新功能，叫做NAP（Network Access Protection，网络访问保护），NAP无需额外花费即可进行部署，提供类似NAC的功能——甚至更多。NAP的范围被拓展到覆盖所有连接到局域网上的系统，而不仅仅是远程存取客户端，并且它也可以强制执行多种类型的策略。NAP平台同样也为第三方软件开发者提供API。

如何工作

对NAP的支持内置在Vista和Longhorn Server之中，而可用于Windows XP（SP2）上的NAP客户端，相信在Longhorn Server发布之后很快就可以使用。

NAP平台由许多部件系统工作而组成：

NPA（网络策略服务器，Network Policy Server。这是一台Longhorn服务器，它的NAP服务由两部分组成: NAP管理服务器，以及NAP强制执行服务器. 关于网络以及电脑的网络存取信息被保存在活动目录之中。SHV（系统健康校验器，System Health Validator）在NAP服务器上运行，并和一个叫做策略服务器的部件进行通讯。NPS是Longhorn服务器对Windows Server 2003中IAS（互联网认证服务，Internet Authentication Service)的替代品，因此它是一个RADIUS服务器以及代理。它和NAP ES以及EC部件一切协同工作，作为策略服务器。NAP服务器以及存取设备是NPS服务器的RADIUS客户端。NPS对企图进行的网络连接进行鉴别，并确定电脑是否满足健康策略，如果不是的话则限制该电脑的访问权限。
健康登录许可（HRA，Health Registration Authority）。这是一台Longhorn服务器，其上运行IIS以及Windows认证服务，如果你希望打算使用从CA中获得健康认证的话，它是必须的。

修正服务器。这是一台或者多台服务器，其上提供资源供不符要求电脑使用以修正自己满足要求。这些服务器在受限网络中可用，从而保证那些没有完全访问权限的不符要求电脑依然可以连接它们。

NAP客户端. SHA（系统健康代理，System Health Agents）运行在NAP客户端上。
在客户端上的SHA包含有关客户端健康状态的信息。它被作为SoH（健康状态，Statement of Health）发送到NPS服务器。在服务器上的SHV和策略服务器进行通讯，以验证SoH并决定该SoH是否满足策略所规定的标准。除此以外，一个健康认证也可以从一个HRA处获得，并用于取代SoH来证明自己符合标准。

如果一台电脑被发现不合标准，它也可以访问一个受限的网络。该网络中提供修正服务器。客户端可以通过使用这些服务器上的资源来让自己满足标准。举例来说，一台修正服务器可以提供病毒库文件，从而让客户的反病毒程序更新到最新状态，或者可能是一个软件更新服务器，提供相应的Service Pack或者安全补丁，以修正客户缺乏的更新。一旦客户更新完毕，就会生成一个新的SoH。

你可以建立修正服务器群组来定义修正服务器（通过DNS名称或者IP地址）。有一个向导可以带你完成建立群组的相关步骤。你可以为不同的强制技术建立不同的群组。

你也可以定义那些仅可以访问受限网络的不符要求电脑被引导到一台网页服务器上，这样它们就可以获取如何满足要求的相关信息，如图A所示。  

图A 你可以引导不符要求电脑访问受限网络中的一台网页服务器

使用NAP

当NAP在网络上部署后，你可以建立健康策略，并定义每台打算连接网络的电脑所必须遵循的标准。NAP可以控制下述电脑的访问：

“无人管理”电脑——那些系统管理员并无物理访问权限的电脑，因为它们不是从家里连上来，就是在路上连上来的。这些系统常常不是归公司所有，所以你无法确认这些系统是否安装了正确的更新，安装并开启了反毒软件，启用了防火墙等等。

来访以及漫游笔记本电脑——它们可能是归公司所有，或者是归雇员所有，或者是归在网络中工作的其他公司雇员所有。因为它们可以离开你的网络，所以它们的健康状况可能会遭到改变，或者会在离开网络时被人忽视。

公司连线桌面电脑——尽管本来你就已经对这些公司所有的电脑拥有许多的控制权，你依旧需要一个方法来确认这些它们都已经被正确配置和更新了，并且它们的用户不曾禁用任何重要的保护机制。
要注意，NAP自己本身并不执行对一台电脑是否满足策略的校验；校验是由与之协同工作的SHA（系统健康代理）和SHV（系统健康校验器）所完成的。如图B所示，SHV的对话框，让你可以设置健康策略：

系统必须已经安装最新的Service Pack，并完成了最新的安全更新

Windows的自动更新必须被关闭

系统必须安装并启用了反毒软件，并使用最新的病毒库。

系统必须安装并启用了反间谍软件，并使用最新的反间谍库。

系统必须打开了个人防火墙，且该防火墙已经针对所有网络连接进行了正确配置。 
 

图B 你可以选择健康认证必须勾选复选框

强制技术

NAP支持多种强制机制来限制不符合要求电脑的存取。你可以使用其中的一个机制，其中的一些机制，或者全部机制，使用Longhorn NPS服务器来作为策略服务器。有4种强制技术：

IPSec强制技术使用一个IPSec NAP强制客户端（NC）来和HRA协同工作。HRA提供X.509认证，在NAP客户端试图和其他NAP客户端之间建立安全连接时可用于认证NAP客户端。仅满足要求的电脑才允许进行通讯。IPSec是最坚固的强制方式。

802.1x强制技术使用一台NPS服务器来和一个EAPHost NAP强制客户端协同工作。当一台不符要求的电脑试图连接时，NPS服务器告知802.1x访问点在客户端上建立一个拒绝访问文件（一组数据包过滤集合，或者一个VLAN ID），从而将它限制在受限网络之中。802.1x是一种坚固的强制方式。

VPN强制技术使用一个VPN NAP强制服务，以及一个VPN NAP强制客户端。当一台电脑试图建立一个VPN连接时，VPN服务器强制执行健康策略。VPN强制技术是一种坚固的强制方式，但是仅限于VPN客户端。

DHCP强制技术使用一个DHCP NAP强制服务器，以及一个DHCP NAP强制客户端。无论何时，只要一台电脑释放或者更新了自己的IP地址，DHCP服务器就强制执行健康策略。DHCP强制技术使用IP表格入口；这是最弱的一种强制技术形式。

总结

有了Longhorn Server中的NAP，以及Vista/XP客户端，网络管理员对哪台电脑可以连接本地局域网有了更多的控制。他们也可以强制这些连接网络的电脑必须满足相关健康标准，以减少它们可能会携带病毒或者成为攻击和入侵途径的风险。除了可以禁止不符合要求的电脑访问整个网络意外，也提供了一种方法，可以在他们的用户连接并完成工作后，让自身满足要求。

术语表

NAP：网络访问保护，一种内置于Longhorn Server以及Windows Vista中的技术，以提供给系统管理员一种方法来检查试图连接网络的相关电脑健康状态，并使用特定的策略对不符合要求的电脑实施隔离，直到它们符合要求为止。

NPS：网络策略服务器（Network Policy Server）,用于取代Windows Server 2003的RADIUS执行工具(IAS)。它认证客户端，并和NAP强制服务器、NAP强制客户端一起工作，以决定客户端是否符合网络健康需求。

HRA：健康注册服务器，一台Windows Longhorn权威认证服务器(CA)，提供证书以证明符合健康策略。

修正服务器（Remediation server）：在受限网络中的一台服务器，可以被不符合要求的电脑访问，服务器上有各种资源可以让不符要求的电脑使用，以保证自己最终符合要求。

SHA：系统健康代理，运行在NAP客户端上的部件，并收集系统健康状态的信息，然后通过一个SoH向SHV报告。

SHV：系统健康校验器，运行在NAP服务器上的部件，和策略服务器进行通讯，以决定客户端发送过来的SoH是否满足健康策略。

SoH：健康状态（Statement of Health）, 一个有关电脑的健康状态报告，由NAP客户端上的SHA发送到NAP服务器的SHV上。

EC：NAP强制客户端（NAP enforcement client）,NAP强制技术的“客户端部分”

ES：NAP强制客户端（NAP enforcement Server）,NAP强制技术的“服务器部分”