NAP的英文全稱是Network Access Protection，也就是網(wǎng)絡(luò)接入防護(hù)，它是內(nèi)置于Windows Longhorn Server以及Windows Vista客戶端操作系統(tǒng)的安全機(jī)制。比較熟悉服務(wù)器操作系統(tǒng)Windows Server 2003的朋友應(yīng)該對(duì)網(wǎng)絡(luò)接入隔離控制（Network Access Quarantine Control）有所了解，NAP正是此項(xiàng)功能的擴(kuò)展。

每一個(gè)連接到本地網(wǎng)絡(luò)的電腦都是潛在的威脅。你無法得知是否每臺(tái)電腦里都安裝了微軟最新的安全補(bǔ)丁、是否被安裝了間諜軟件、是否設(shè)置了適當(dāng)?shù)姆阑饓?，任何一臺(tái)計(jì)算機(jī)出現(xiàn)了安全問題，整個(gè)本地網(wǎng)絡(luò)的計(jì)算機(jī)都會(huì)處在危險(xiǎn)之中。

所以，要保護(hù)網(wǎng)絡(luò)安全，就必須制定一個(gè)“安全策略”讓每臺(tái)電腦在連接本地網(wǎng)絡(luò)的時(shí)候都通過這個(gè)策略的允許。但是并不是所有的用戶都會(huì)自覺地遵守這個(gè)安全策略，微軟就替所有的用戶找到了一個(gè)強(qiáng)制性的執(zhí)行安全策略：檢測一個(gè)系統(tǒng)是否已經(jīng)滿足了標(biāo)準(zhǔn)，并以此來決定是阻止其連入網(wǎng)絡(luò)，或是對(duì)其放行。這就是NAP的用武之地，也是微軟的健康策略平臺(tái)。

網(wǎng)絡(luò)訪問保護(hù) (NAP) 提供了一種新的體系結(jié)構(gòu)，用于執(zhí)行計(jì)算機(jī)運(yùn)行狀況策略驗(yàn)證，確保始終符合運(yùn)行狀況策略，并有選擇地限制運(yùn)行狀況不正常的計(jì)算機(jī)只有在恢復(fù)正常后才能進(jìn)行訪問。 網(wǎng)絡(luò)訪問保護(hù)包括客戶端體系結(jié)構(gòu)和服務(wù)器體系結(jié)構(gòu)。 管理員可根據(jù)其網(wǎng)絡(luò)需要配置 DHCP 隔離、VPN 隔離、802.1X 隔離、IPsec 隔離，或所有這四項(xiàng)。網(wǎng)絡(luò)訪問保護(hù)為擴(kuò)展 NAP 功能提供了一個(gè)基礎(chǔ)結(jié)構(gòu)和 API 集。 供應(yīng)商和軟件開發(fā)人員可以使用該 API 集構(gòu)建自己的網(wǎng)絡(luò)策略驗(yàn)證、持續(xù)的網(wǎng)絡(luò)策略遵從政策以及兼容網(wǎng)絡(luò)訪問保護(hù)的網(wǎng)絡(luò)隔離組件。

NAP可以讓用戶監(jiān)視任何試圖接入用戶網(wǎng)絡(luò)的計(jì)算機(jī)的安全狀態(tài)，并確保接入的計(jì)算機(jī)都具有符合用戶健康策略的安全防范措施。那些不符合用戶健康策略的電腦，將被接入到一個(gè)受限的網(wǎng)絡(luò)環(huán)境，用戶可以在這個(gè)網(wǎng)絡(luò)環(huán)境中存儲(chǔ)一些安全軟件，幫助這些安全性較差的計(jì)算機(jī)提高到符合用戶要求的安全水平。 目前，NAP已經(jīng)被內(nèi)嵌到Windows Server（現(xiàn)在被稱為“Longhorn”），可以和Windows Vista協(xié)同使用，或和那些運(yùn)行了NAP客戶端插件的Windows XP客戶端協(xié)同使用（NAP客戶端插件將在新服務(wù)器操作系統(tǒng)發(fā)布時(shí)同步推出，而XP NAP客戶端目前已經(jīng)進(jìn)入了Beta測試階段）。據(jù)微軟工作人員透露，Windows Server 2003也有可能成為一個(gè)NAP客戶端。不必?fù)?dān)心這個(gè)功能的兼容性，因?yàn)槲④浄Q將把NAP開發(fā)成一套開放的安全架構(gòu)標(biāo)準(zhǔn)，屆時(shí)將會(huì)有更多的硬件支持它。

NAP不能取代系統(tǒng)內(nèi)別的安全系統(tǒng)，像殺毒軟件、防火墻、入侵檢測等，實(shí)際上，NAP的作用只是用來檢查將要連入網(wǎng)絡(luò)的電腦是否具有完備的安全補(bǔ)丁，是否有安全配置方面的錯(cuò)誤等來提升用戶計(jì)算機(jī)的安全性。Windows用戶不必?fù)?dān)心使用問題，即使是現(xiàn)在XP不支持NAP，但是微軟已經(jīng)承諾將會(huì)開發(fā)出適用XP的NAP客戶端。我們要注意的是，NAP服務(wù)器是一個(gè)網(wǎng)絡(luò)策略服務(wù)器（Network Policy Server ，NPS）。而NPS則是Longhorn中替代Windows Server 2003中IAS（互聯(lián)網(wǎng)驗(yàn)證服務(wù)）功能的組件，我們的服務(wù)器操作系統(tǒng)要采用Longhorn才能適用于整個(gè)本地網(wǎng)絡(luò)。

正如前面所說，并不是所有要進(jìn)入的電腦都符合安全策略，如果遇見了不符合條件的電腦，除了強(qiáng)行禁止，我們也有其它的選擇：

1、允許它訪問網(wǎng)絡(luò)，但是在Log中標(biāo)記具體的信息，以便你可以追蹤它，以查看它是否最終滿足了要求；

2、允許它訪問一個(gè)受限的網(wǎng)絡(luò)，而不是訪問整個(gè)網(wǎng)絡(luò)。這一點(diǎn)很有用，這樣你可以在受限網(wǎng)絡(luò)中提供相關(guān)資源（比如，相關(guān)的安全更新或者反病毒軟件，或者某些系統(tǒng)補(bǔ)丁），以便用戶對(duì)電腦進(jìn)行修正以便最終滿足要求。也可以對(duì)不滿足要求的電腦做出限制，讓它訪問網(wǎng)絡(luò)的時(shí)間只能在規(guī)定的長度之內(nèi)。

根據(jù)電腦的安全狀態(tài)來控制它的網(wǎng)絡(luò)活動(dòng)，NAP可以說是一個(gè)相當(dāng)先進(jìn)的網(wǎng)絡(luò)安全解決方案，我想用戶們不必這么早就開始給微軟挑毛病，也許，這次的NAP真的不會(huì)讓我們失望。
 

【編輯推薦】

1. 掃除盜匪無線接入點(diǎn)威脅
2. 如何填補(bǔ)無線接入點(diǎn)的漏洞？
3. 簡要介紹：移動(dòng)無線接入技術(shù)