什么是NAP？

英文缩写: NAP

英文全称:Network Access Point

中文译名: 网络接入点

分 类: IP与多媒体

解 释: （1） 通达因特网主干线的点。（2） ISP互相连接的点。NAP可用作主要业务提供者的数据互换点。1999年初NAP和城域交换局（MAE）被统称为公共因特网交换点（IXP）。

　NAP不能取代系统内别的安全系统，像杀毒软件、防火墙、入侵检测等，实际上，NAP的作用只是用来检查将要连入网络的电脑是否具有完备的安全补丁，是否有安全配置方面的错误等来提升用户计算机的安全性。（根据这一点我们可以将其移除）

NAP的英文全称是Network Access Protection，也就是网络接入防护，它是内置于Windows Longhorn Server以及Windows Vista客户端操作系统的安全机制。比较熟悉服务器操作系统Windows Server 2003的265朋友应该对网络接入隔离控制(Network Access Quarantine Control)有所了解，NAP正是此项功能的扩展。

每一个连接到本地网络的电脑都是潜在的威胁。你无法得知是否每台电脑里都安装了微软最新的安全补丁、是否被安装了间谍软件、是否设置了适当的防火墙，任何一台计算机出现了安全问题，整个本地网络的计算机都会处在危险之中。

所以，要保护网络安全，就必须制定一个“安全策略”让每台电脑在连接本地网络的时候都通过这个策略的允许。但是并不是所有的用户都会自觉地遵守这个安全策略，微软就替所有的用户找到了一个强制性的执行安全策略：检测一个系统是否已经满足了标准，并以此来决定是阻止其连入网络，或是对其放行。这就是NAP的用武之地，也是微软的健康策略平台。

NAP可以让用户监视任何试图接入用户网络的计算机的安全状态，并确保接入的计算机都具有符合用户健康策略的安全防范措施。那些不符合用户健康策略的电脑，将被接入到一个受限的网络环境，用户可以在这个网络环境中存储一些安全软件，帮助这些安全性较差的计算机提高到符合用户要求的安全水平。

目前，NAP已经被内嵌到Windows Server(现在被称为“Longhorn”)，可以和Windows Vista协同使用，或和那些运行了NAP客户端插件的Windows XP客户端协同使用(NAP客户端插件将在新服务器操作系统发布时同步推出，而XP NAP客户端目前已经进入了Beta测试阶段)。据微软工作人员透露，Windows Server 2003也有可能成为一个NAP客户端。

NAP服务器是一个网络策略服务器(Network Policy Server ，NPS)。而NPS则是Longhorn中替代Windows Server 2003中IAS(互联网验证服务)功能的组件，我们的服务器操作系统要采用Longhorn才能适用于整个本地网络。

Windows server 2008发布于08年2月份，是微软网络接入保护(NAP)计划的组成部分，它拥有微软期待已久的专有网络访问控制架构。本文将讲解NAP在安装过程中需要配置的内容。但是，考虑到微软的Forefront软件或第三方NAP相关附加产品本身有很多的特性和功能，因此我们所讲解的只是一个简单的配置，以及部分NAP功能。

我们先打开Network Policy Server然后在下拉框里面配置NAP：

注意到它支持各种不同的网络连接方法，包括DHCP，802.1x和VPN。可以选择任何一种连接方法，它们都可以使端点连接到受保护的网络，然后给予该选择一个名称。在配置界面底部提供了帮助文件，这些文件说明了一些在安装过程中的需求。它们不同于一般的帮助文件，不仅非常好的描述了该网络基础架构中需要的元素，而且指出了哪些元素是系统不支持的。

例如，有线802.1X就可以使该向导建立连接请求策略以及健康配置NAP网络系统。

802.1x使用的NAP enforcement

基于端口的网络访问控制802.1x使用的NAP enforcement客户端的部署是基于运行在网络策略服务器(NPS)和EAP enforcement主客户端组件之上的。使用基于802.1x的NAP enforcement客户端，NPS服务器可以指示一个802.1X认证交换机和兼容802.1X的无线接入点,从而调整不符合802.1x网络的客户端。NPS服务器通过运用IP过滤器和虚拟局域网连接标识符，可以限制客户端的网络接入。 802.1x的enforcement客户端通过访问802.1x的服务器，对所有访问网络的计算机提供强大的网络访问限制。

有线802.1x的需求

要部署基于有线802.1x的NAP，你必须作以下配置：

需要配置NPS连接请求策略，网络策略，和NAP健康策略。你可以使用NPS控制台来配置这些策略，也可以使用新的网络访问保护(NNAP)向导。

安装和配置802.1x的认证交换机。

保证可以使用NAP,并且客户端使用EAP enforcement验证机制，并且保证客户端的NAP服务开启。

根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。

如果你使用了智能卡或证书来进行PEAP-TLS或EAP-TLS与TLS验证的，需要使用活动目录的证书服务(AD CS)来部署一个公共密钥基础设施(PKI)。

如果你使用PEAP-MS-CHAP第二版，需要使用AD CS来进行服务器端的认证或者从其它受信的根证书颁发机构购买服务器认证。

无线802.1x的需求

要部署基于无线802.1x的NAP，你必须作以下配置：

需要配置NPS连接请求策略，网络策略，和NAP健康策略。你可以使用NPS控制台来配置这些策略，也可以使用新的网络访问保护(NNAP)向导。

安装和配置802.1x的无线访问接入点。

保证可以使用NAP,并且客户端使用EAP enforcement验证机制。

根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。

在这一点上，如果为了达到测试目的，我建议你选择DHCP。配置一个独立的Windows Server 2008服务器并选择了802.1x的连接可能会带来很多问题。微软的网站上支持页面有关于PEAP-TLS身份验证和Windows Server 2008的更多信息。

接下来，添加一个RADIUS客户端节点，比如身份验证交换机。它们不是客户端PC，但其他任何用户的身份验证过程都需要与RADIUS服务器对话。

其次，建立一个有相同策略要求的组，比如客户工作人员或者人力资源工作人员。这些群体必须已经建立在Active Directory(活动目录)中。可以到Manager/Configuration/Groups部分然后增加这些组。

下一步是建立一个修复服务器组来存储更新软件和修复不符合策略要求客户端电脑。也可以包括一个URL，为没过通过评估用户提供相关信息，使其到达评价标准，如下图所示：

下一步是建立一个健康策略，使用的是NAP服务器的健康验证器。在此屏幕上，有一个选项，用于确定PC不通过审核后将会怎样：它可以只能访问受限网站，或者被获准进入所有网络。(注意这两个选项在下面的屏幕截图屏幕底部的复选框)。

这就是健康策略定义。点击完成，回到网络策略服务器管理器，在NAP菜单树上，右键系统健康验证器点击查看其属性表，如下所示：

这里两个标签，分别对应XP客户端和Vista客户端，另外，Vista的标签有更多的项目配置项。那么对于老版本的Windows和非Windows操作系统客户端怎么办呢?其实，他们不包括在NAP中。对这些机器进行网络访问管理，必须有额外的第三方软件。

在这里，告诉验证器检查每台电脑，确认他们是否打开了防火墙，安装防病毒更新，等等。一旦完成，再次回到策略服务器的策略菜单树，并确保所有的各项策略得到正确设置。这里显示了由向导已经配置的各项网络策略：

单击确定，这时你已成功的设置你的第一个NAP服务器!有些服务可能需要调整，以便在开机时它们能正常启动，如果不使用这些服务则不必进行调整。

同样，请记住，这只是一个基础的配置。杀毒软件供应商及

代理等将需要挂接到该服务器，接下来，你就可以开始体验NAP和Windows Server 2008了。

Windows Server 2008 NAP教程 在Windows Server 2008中的各项特色中，可用于辅助企业强化个人端计算机安全管理的网络访问防护(Network Access Protection，NAP)，这项功能无疑是大家最渴望了解的项目之一，尤其是网络信息安全这两个领域。 简单地说，为了预防不符合企业安全策略的计算机，NAP可以透过批准连接与否而加以限制，这些不符合策略的状态包括：未启动自动更新、定期修补系统漏洞不确实、未安装防毒软件或启用个人防火墙、防毒软件特征码/扫毒引擎超过期限而未更新。整合策略控管与身分的认证、授权想要启动NAP，必须从Server Manager上加入新的服务器角色开始，它的名称是Network Policy and Access Services(NPAS)。完成一系列安装步骤之后，「开始」的程序集中的系统工具会增加一个快捷方式——Network Policy Server(NPS)。当执行Network Policy Server的主控台时，会立即出现三种标准选项，让你可以快速套用设定。按下Configure NAP，会启动安装助手协助管理员一步步完成设定。其实NPS的前身就是Windows Server 2003上的Internet验证服务(Internet Authentication Services，IAS)，搭配集中化的RADIUS认证、授权与记录机制，继续涵盖有线、无线与VPN网络，而不是额外产生一个新的服务器执行环境。因此它也可以转送认证与统计讯息到其它RADIUS服务器上，作为RADUIS代理服务器之用。总而言之，NAP是功能名称，但对于Windows Server 2008而言，这项功能的提供，主要仰赖上面提到的服务器角色。包含策略服务器与强制检查服务器在第一次安装NPAS时，我们可以看到里面包括了NPS、远程访问服务(RAS)、路由(Routing)、Health Registration Authority(HRA)。HRA相当特殊，主要是用在NAP IPsec策略强制执行的架构，在受到IPsec防护的局域网络范围内，当个人端计算机被判定为符合网络安全策略时，会获得一份代表健康的凭证，假如其它共处同一个网络的个人端计算机与它连接，也会同步验证这份凭证如果通不过策略遵循的检查，即无法取得健康凭证，IPsec的端点认证也会跟着失败，这台电脑也就无法和其它计算机通讯。NPS还可以细分成四个主要组件：RADIUS Clients and Servers：是指其它的RADIUS个人端装置，服务器所指的是其它的NPS服务器，当企业用户将NPS服务器设为RADIUS代理服务器时，可以将认证和授权的连接需求转送其它RADIUS服务器，如果公司的网络环境采用多网域或多重树系，可以透过这个机制导引。Policy：分成连接需求、网络与健康状态等三种类型的策略设定。连接需求的策略用来处理连接至远程NPS服务器或其它RADIUS服务器的状况，让NPS成为检验是否遵循RADIUS协议认证的网关装置，例如支持802.1x的无线AP和认证交换器、执行路由和远程访问服务(RRAS)而成为VPN或拨接网络的服务器，以及Terminal Services网关。本地网域和信任网域用预设策略即可。网络策略可以分成6种以上的形态包括未指定、远程访问服务器、以太网络、Terminal Services网关、无线AP、HRA、HCAP服务器与DHCP服务器。至于健康状态的策略，一般来说，可设定成「通过全部检查」或「其中一项未通过」，还可以选择其它5种选项，例如全部失败、部分通过、判定为已感染恶意程序、无法判定，都可以找到对应的情境去套用策略。Network Access Protection：只负责检查受控端计算机的健康状态(System Health Validator，SHV)和补救服务器(Remediation Server)的设定。所谓的补救服务器，包括DNS服务器、网域控制站、置放防毒特征码的档案服务器、软件更新服务器等，让那些无法通过健康检查的计算机有修正的机会。验证完毕之后如果要再执行其它工作，须从策略上加以制定。在SHV可以定义Windows XP和Vista的健康状态，例如是否启用Windows防火墙、自动更新，是否安装防毒软件、防间谍软件(Windows XP的SHV不支持这项检查)，以及两者的特征码是否属于最新状态，以及可以设定几小时内再完成安全更新。如果企业内部先前已经架设微软提供Windows Server Update Services(WSUS)更新服务器，也可以在这里设定，就近取得更新信息与档案。关于防毒软件的支持，微软声称可以辨识本身的Forefront Client Secuirty，以及Symantec、趋势、McAfee等厂牌防毒软件的特征码，至于防间谍程序目前只支持Windows Defender。Accounting：负责产生记录文件，可存成IAS.log，或是SQL Server所能读写的记录文件。如果企业本身的稽核程度较严格，例如金融业，可以将这些信息转存到SQL Server内。NPS负责策略与评估作业实际上NPS是怎么认证每一台受控端呢?使用者将计算机开机上网，打算访问网络，因此网络设备和网络策略服务器要求使用者出示健康证明，例如系统自动更新状态、防火墙、防毒软件是否启用等，如果个人端计算机中的System Health Agent(SHA)所宣告的系统状态通过SHV的检查以及NAP的策略，这些设备和系统会将证明与连接细项传回策略服务器。评估连接细项后，网络策略服务器将使用者授权证明传递给Active Directory要求授权，如果符合策略要求且使用者授权通过，则允许访问网络，接下来批准使用者或装置访问。需要特别注意的是NPS只负责以本身存放的策略设定加以评估，不处理授权的动作。所有的网络访问授权与账户的管理，都需要搭配网域控制站。

---