什么是NAP？
??? NAP-Network Access Protection，網絡訪問保護。我覺得其實還不完整，我認為完整的應該叫做網絡策略訪問保護。他的作用是用策略來保護客戶端對網絡的訪問，確保整個網絡的訪問過程是達到一定安全級別的。07年初前我開始做08的時候，當時的第一反應就是防火墻。覺得是不是就是跟防火墻類似的一個東西。后來發(fā)現不是的，而且完全不一樣。防火墻是通過網絡的通訊接口，比如IP、端口號之類的來控制訪問連接的通或者斷。簡單理解防火墻是控制網絡行為的，而NAP是通過安全策略來控制網絡中所有客戶端的狀態(tài)。可能這么說，還是不夠清楚。我覺得這個東西應該分開來看，就是網絡-策略-訪問-保護。
??? 下面先來看看網絡。對于NAP的網絡我們理解，可以大致分為三類：一個外網，也就是沒有受NAP管理的網絡。這個網絡可能是互聯網，也可能是某個個剛剛通過無線網絡想想接入到網絡中的某個計算機，這是因為他還在處于一個請求IP或者請求接入的階段，所以它應該算外部網絡；第二個是內網，也就是受NAP管理的網絡。這個網絡指的就是我們已經接入進來的這些內部計算機，比如剛才那個計算機如果已經接入進來了以后，那它現在就處于一個內部網絡當中；最后一個是一個比較特殊的網絡，有點防火墻術語當中的DMZ，但還是有區(qū)別。它是一個更偏向內網的網絡，但又不全是。當然你可以去定義它，如果有客戶端被NAP放到了這個網絡，那它也許只能訪問部分網絡資源，也許什么資源都不能訪問。后面我們再來詳細描述這個網絡，暫時我們就先理解為一個受限制網絡吧。
??? 網絡分析完了，在來講講策略。NAP中的策略叫做安全策略，可能有人會跟防火墻中的策略去做對比。那么防火墻中的策略準確說應該叫規(guī)則策略，比如如果是某個人，在某臺機器上，通過某個應用程序進行訪問，那么我們可以決定是否允許通過。這個規(guī)則策略可能是允許用戶A通過，B不能通過，或者允許A程序能夠通過而B程序不能通過。但NAP中的安全策略是用于驗證客戶端是否達到某個在安全方面的特性的要求。比如在NAP中，有的策略是要求客戶端是否打開安全更新設置，有的是要求防火墻是否處于啟用狀態(tài)，有的是要求系統(tǒng)補丁是否打到某個級別或者某個時間點之后，有的是要求防病毒軟件的病毒庫是否達到某個特定版本或者某個最新的時間點，等等。可以看出來實際上策略就是一把尺，在防火墻中它是通過規(guī)則來定義這把尺，在NAP中它是通過跟安全相關的狀態(tài)或者叫屬性來定義這把尺。有了這把尺，我們才能在后面的過程中去衡量一個客戶端或者網絡中的某個因素是否達到我們所期望的要求。這就是策略的作用。
??? 好，有了一把尺，如果我們不用它，也是白費，下面就來說說訪問的問題。我的理解應該叫訪問監(jiān)控或者訪問驗證。這里的意思是用剛才的那個些安全策略，去監(jiān)控所有網絡中的客戶端，去跟客戶端當前的狀態(tài)進行對比。比如一個策略是要求病毒庫的版本必須要達到2.0版本，結果發(fā)現有一臺計算機的病毒庫版本還是1.8，那這個時候NAP服務器就會將這臺計算機標記為“不符合”。也就是說，訪問驗證的過程就是用策略去對比客戶端的狀態(tài)信息是否符合我們所定義的策略。強調一下，這個驗證過程是實時存在的，也就是說，一旦你修改了某些安全設置，與NAP中的策略是相矛盾的，那么會立即將你標記成“不符合”。反過來，如果當你更新了某些配置，比如病毒庫版本時，NAP會立即將你從“不符合”標記成“符合”。這種實時保護，就是為了防止惡意連接在開始進入網絡時通過偽裝蒙混過關，進入以后再開始進行破壞。據我所知，像×××的很多應用就是這樣，它只在網絡連接開始的時候進行驗證，一旦通過驗證，以后的任何操作將不再受到限制。
??? 所有的計算機都有了一個“符合”或者“不符合”的標記，最后我們就能夠簡單的對其進行控制了。實際上這個過程很簡單，就是定義一個規(guī)則，如果是“符合”的，我們允許它連入到哪個網，不允許他連入到哪個網。如果是“不符合”的，我們又允許它連入到哪個網，不允許他連入到哪個網。
案例展示
??? 最后我們舉個例子來看看整個NAP的工作流程是怎樣完成的。就拿剛才那個病毒庫為1.8版本的計算機為例。
??? 首先，他會通過有線或者無線網絡接入進來，在沒有連入進來之前，它對于NAP來說應該是一個外網，而他現在請求進入NAP的內網，NAP就開始工作了。
??? NAP中定義了一條病毒方面的安全策略，要求“病毒庫版本必須達到2.0”。這時NAP的策略服務器將會對這個客戶端進行驗證，結果發(fā)現其版本為1.8，所以最后給這臺計算機標記了一個“不符合”。
??? NAP這時啟動保護規(guī)則，其中定義了一條規(guī)則是“不符合病毒策略的計算機，將被指派到一個只允許訪問病毒更新服務器的受限制網絡中”。這時，這個客戶端會發(fā)現，他能夠訪問的只有這臺病毒服務器。言下之意，就是說，如果你的病毒不符合現在的策略要求，我就只允許你連接到病毒服務器，將病毒庫更新到所要求的版本。
??? 最后，客戶端通過連接病毒服務器，將病毒庫版本更新至2.0。我們剛才說過，NAP是實時監(jiān)控的，所以這個時候，這臺機器的“不符合”標記，會立即改為“符合”。
??? 這個時候NAP的保護規(guī)則定義了“符合”的客戶端允許訪問內部網絡中的所有的服務器或數據資源。也就是說，直到這個時候，這個客戶端才能真正的進入到企業(yè)網絡中去訪問資源。
??? 再次強調，這個時候不能叫做NAP完成了驗證過程，因為它是實時監(jiān)控的。如果你這個時候將病毒軟件卸載了，那你同樣會被立即斷開網絡。至于對于一個沒有安裝某個防病毒軟件的客戶端，該如何處置，那就取決于你的安全策略和訪問規(guī)則怎么設置了。
特殊功能：強制保護
??? 說到這里，我想大家應該對NAP是怎么回事。另外，我在提一個NAP里面的一個特殊的功能，叫做強制保護。說它特殊，是因為目前并不是所有的安全策略或訪問規(guī)則都支持這個功能的。目前微軟自己的安全設置肯定是支持強制保護的，比如防火墻設置，自動更新設置等等。但一些其他廠商的應用，比如某個廠商的防火墻、防病毒軟件，由于現在2008中的NAP才剛剛起步，可能目前的版本還不能夠支持這個強制保護的功能。那強制保護到底怎么回事呢，下面還是舉例來說明吧。
??? 拿剛才那個舉例來說，他現在可以正常連接到內部網絡當中。而NAP中有另外一條跟防火墻有關的策略，這個安全策略定義的是“必須開啟防火墻”。而這時這個客戶端的用戶發(fā)現防火墻把某些端口給阻斷了，他希望能夠使用一些特殊的軟件，比如BT之類的。可能他的權限足夠，所以自己就把防火墻給關閉了。
??? 這個時候，按照我們剛才所說的，這個客戶端會立即打上一個“不符合”的標記并且被斷網，或者分配到某個受限制網絡中。但是這里如果啟用了強制保護的話，我們會發(fā)現網絡并沒有發(fā)生變化，用戶再次打開防火墻設置的時候會發(fā)現，明明剛才把防火墻關掉了，怎么現在還是開的。并且多次嘗試，都是這種現象。其實，這就是強制保護，或者叫強制符合策略。如果支持這個功能的安全組件，會自動的將客戶端的安全配置修改成安全策略所要求的那樣。正是因為需要自動執(zhí)行，所以目前并不是所有的安全組件都能支持的，比如第三方防病毒軟件這種，就需要第三方廠商跟微軟來合作才可能實現。
??? 好了，說到這里，相信大家應該對NAP有一個比較清晰的認識了，至少知道NAP是怎么一回事，以及它怎么工作的。如果有興趣繼續(xù)深入研究的話，可以去微軟網站查閱相關的信息。
??? 當然也希望大家都來51CTO多多探討。。哈哈。。廣告來了。。 ?

轉載于:https://blog.51cto.com/bisheng/130481

總結

以上是生活随笔為你收集整理的简单谈谈Server2008的NAP到底是什么的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。