NAP 技術(shù)介紹：NAP從字面上理解是網(wǎng)絡(luò)訪問保護。NAP提供網(wǎng)絡(luò)準入技術(shù)，允許符合要求的客戶端進入企業(yè)內(nèi)部網(wǎng)，限制不符合要求的客戶端進入企業(yè)網(wǎng)絡(luò)的隔離區(qū)。并為隔離區(qū)的客戶端計算機提供自動修正和補救，一旦符合健康要求即可進入正常網(wǎng)絡(luò)。NAP是由客戶端健康策略創(chuàng)建、強制及補救技術(shù)組成。NAP定義了客戶端操作系統(tǒng)和關(guān)鍵軟件要求的配置和更新條件。

NAP技術(shù)內(nèi)置于Windows 操作系統(tǒng)中，屬于內(nèi)置功能。支持NAP的客戶端操作操作系統(tǒng)有Windows XP SP3、Windows Vista、Windows 7，服務(wù)器端操作系統(tǒng)有Windows Server 2008。通過激活和配置管理，可實現(xiàn)NAP 技術(shù)。

NAP For IPSEC：NAP的技術(shù)的實現(xiàn)基于以下幾種情形：DHCP、VPN、802.1X和IPSEC。假如客戶端計算機是靜態(tài)的IP參數(shù)，也不需要建立VPN，也不使用802.1X，那么剩下的就只有 NAP  For IPSEC.下面就著重介紹NAP FOR IPSEC的概念和技術(shù)機制。 NAP FOR IPSEC涉及的概念和名詞術(shù)語有：
◆SHA：System Health Agents,系統(tǒng)健康代理，產(chǎn)生入網(wǎng)客戶端健康陳述（SoH），代表一個客戶機健康狀態(tài)的快照；
◆NAP Agent: NAP代理，收集和管理健康信息；
◆NAP EC: NAP Enforcement Client，NAP執(zhí)行客戶端，傳遞健康狀態(tài)給NAP服務(wù)器，NAP服務(wù)器提供網(wǎng)絡(luò)訪問策略。對于不同的網(wǎng)絡(luò)訪問和通訊類型，都有NAP EC模塊相匹配.例如，對于IPSEC通訊，就有對應(yīng)的NAP EC FOR IPSEC;
◆NAP Capable Client Computer：有NAP內(nèi)置功能的客戶端操作系統(tǒng)計算機 ，由SHA、NAP Agent 、NAP EC三個模塊組成。只要計算機安裝Windows XP SP3、Windows Vista、Windows 7就能滿足這一要求；
◆SoH：英文全稱為Statement of Health ,健康陳述（補丁狀態(tài)和系統(tǒng)配置等）；
◆SoHR: SoH Response ,對SoH的應(yīng)答.應(yīng)答有兩種(YES /NO).YES－代表健康狀態(tài)滿足要求，同意頒發(fā)證書；No－代表不滿足健康要求，提供修正指導(dǎo)，提供受限訪問；
◆HRA 服務(wù)器：英文全稱是Health Registration Authority Server ，健康注冊授權(quán)機構(gòu)。是服務(wù)器端NAP ES模塊，與客戶端NAP EC模塊相匹配。向客戶端提供一些所需的網(wǎng)絡(luò)訪問能力，傳遞客戶端健康狀態(tài)給網(wǎng)絡(luò)策略服務(wù)器，執(zhí)行網(wǎng)絡(luò)限制訪問；
◆SHV:英文全稱是System health Validator,即系統(tǒng)健康驗證器，是NAP平臺架構(gòu)的服務(wù)器端組件，與客戶端的SHA相對應(yīng)。SHV接受客戶端SHA傳來的SoH，返回SoH應(yīng)答。通知客戶端如果SHA不滿足要求的健康狀態(tài)，應(yīng)如何執(zhí)行的行為。
◆NPS: 英文全稱是Network Policy Server，即網(wǎng)絡(luò)策略服務(wù)器。由SHV、策略及NAP管理模塊組成。策略定義了客戶端的健康。NPS驗證定義的健康策略。
企業(yè)安全網(wǎng)絡(luò)：客戶端符合健康策略，允許進入企業(yè)內(nèi)部網(wǎng)絡(luò)，授權(quán)完全的網(wǎng)絡(luò)訪問；
◆受限網(wǎng)絡(luò)：客戶端不符合健康策略，不允許進入企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問受到限制?？蛻舳丝梢赃M行有限的訪問，如可以訪問救援服務(wù)器，安裝所需的補丁，進行恰當?shù)呐渲?。通過補救，客戶端可以恢復(fù)健康狀態(tài)；
◆Remediation Servers: 可以翻譯為救援、補救和修正服務(wù)器。客戶端的ＳＨＡ和救援服務(wù)器相對應(yīng)。能從救援服務(wù)器下載最新的補丁和病毒更新；
◆Network Access Limitation Enforcement Methods:即網(wǎng)絡(luò)訪問限制執(zhí)行方法。NAP for IPsec使用的方法是：在受限網(wǎng)絡(luò)的客戶計算機，不能獲得證書機構(gòu)頒發(fā)的健康證書。在同關(guān)鍵服務(wù)器通訊時，沒有證書就無法建立IPSEC通訊；

NAP FOR IPSEC 技術(shù)機制：
1、NAP 客戶端請求網(wǎng)路訪問，提供系統(tǒng)健康狀態(tài)。發(fā)送SoH請求；
2、HRA接受SoH請求，中繼請求至策略服務(wù)器；
3、依據(jù)健康策略，策略服務(wù)器SHV對SoH請求作出應(yīng)答，返回給HRA；
4、如果客戶健康狀態(tài)不符合健康策略要求，將被受限訪問。HRA返回SoH請求應(yīng)答給客戶端， NAP客戶端不能獲得健康證書，客戶端不能同后臺服務(wù)器建立IPsec通訊。但可以同救援服務(wù)器通訊，恢復(fù)健康狀態(tài)。在恢復(fù)健康狀態(tài)后，可以重新申請健康證書；
5、如果客戶健康狀態(tài)符合健康策略要求，HRA返回SoH請求應(yīng)答給客戶。HRA得到策略服務(wù)器的批準，替NAP客戶端申請健康證書，頒發(fā)證書給符合要求的NAP客戶端。有了健康證書的客戶端就可以同后臺的服務(wù)器建立IPSEC的通訊了。標志進入企業(yè)安全網(wǎng)絡(luò)。

NAP FOR IPSEC在企業(yè)實施方案分析：

1、在微軟提供的NAP解決方案中，有DHCP、802.1X、VPN及IPSEC。

2、在DHCP、802.1X、VPN情形中，有一個關(guān)鍵點和前提，就是客戶端入網(wǎng)的第一步必須和DHCP、802.1X、VPN通訊，進而才能對客戶端的健康狀態(tài)加以評估，NAP機制才會起作用。如果沒有這個前提，NAP機制就會被繞過，不會起作用。具體來講，在NAP FOR DHCP技術(shù)方案中，關(guān)鍵點是DHCP服務(wù)器。在NAP FOR 802.1X　技術(shù)方案中，關(guān)鍵點是支持NAP的802.1X訪問設(shè)備。在NAP FOR VPN技術(shù)方案中，關(guān)鍵點是VPN服務(wù)器。

3、在NAP FOR IPSEC情形下，問題比較復(fù)雜。缺乏一個關(guān)鍵點，客戶端在企業(yè)網(wǎng)絡(luò)里與那一臺服務(wù)器通訊是隨機的。我們必須保證基礎(chǔ)架構(gòu)服務(wù)器（DC）、網(wǎng)絡(luò)架構(gòu)服務(wù)器（ＤＮＳ等）及救援服務(wù)器和客戶端通訊是正常的，不能設(shè)置嚴格的IPSEC策略。因此不能將這一類服務(wù)器作為關(guān)鍵控制點。而每臺客戶端機器必須與之通訊的業(yè)務(wù)系統(tǒng)，可能是跨平臺系統(tǒng)，不支持NAP技術(shù)，也作不成中心控制點；

4、引入微軟網(wǎng)關(guān)產(chǎn)品TMG 2010,利用TMG 2010將網(wǎng)絡(luò)分成微軟企業(yè)內(nèi)部網(wǎng)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)。TMG是關(guān)鍵點，有兩塊網(wǎng)卡。一塊連接企業(yè)內(nèi)部網(wǎng)，另一塊連接業(yè)務(wù)網(wǎng)絡(luò)。所有客戶端（B/S模式）要訪問業(yè)務(wù)系統(tǒng)，必須先同TMG通訊（web 代理功能）。這樣就形成以TMG為中心控制點；

5、有了TMG關(guān)鍵點后，就可以規(guī)劃NAP FOR IPSEC方案了；

NAP FOR IPSEC解決方案實施步驟：
1、在服務(wù)器上安裝Windows Server 2008,部署AD 架構(gòu)，配置DNS\AD DS\AD CS角色；
2、在AD域上建立三個安全組：1、NAP IPSEC Client Computers ，包含所有滿足健康策略接受健康證書的客戶端計算機（Windows XP SP3、Windows Vista、Windows 7）； 2、NAP IPSEC Boundary Computers ,能自動獲得IPSEC健康證書，涵蓋基礎(chǔ)架構(gòu)服務(wù)器（DC）、網(wǎng)絡(luò)架構(gòu)服務(wù)器（DNS等）及救援服務(wù)器，對這個組不采用嚴格的IPSEC策略； 3、NAP IPSEC Protected  Computers,能自動獲得健康證書，要求進站連接提供健康證書。這個組包含關(guān)鍵服務(wù)器，TMG服務(wù)器屬于這個組。這個組采用嚴格的IPSEC策略；
3、對網(wǎng)絡(luò)中的計算機進行歸屬劃分，加入相應(yīng)的組里；
4、在證書服務(wù)器創(chuàng)建新的健康證書模板，在證書模板的安全屬性設(shè)置安全組NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers對該模板有Read 、Allow Enroll 、Allow Autoenroll的權(quán)限；
5、配置證書服務(wù)器頒發(fā)健康證書模板；
6、在AD 上配置域缺省組策略，使得在域里的計算機能自動獲得證書；
7、從以上配置可以保證安全組NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers里的計算機能獲得健康證書，即企業(yè)內(nèi)部網(wǎng)的所有的服務(wù)器都能獲得健康證書。安全組NAP IPSEC Client Computers不能通過此方法獲得證書，因為此組對新創(chuàng)建的健康證書模板沒有Allow Enroll 、Allow Autoenroll的權(quán)限。安全組NAP IPSEC Client Computers是通過HRA獲得證書的；
8、配置HRA，HRA是一個WEB 應(yīng)用程序，如果策略服務(wù)器判定客戶端計算機是符合健康要求的，HRA將從證書服務(wù)器CA上為客戶端計算機獲得一個健康證書，并發(fā)送給客戶端。建立HRA與CA服務(wù)器之間的關(guān)聯(lián)，HRA就像一個證書代理機構(gòu)，為符合要求的健康客戶端提供健康證書。因此，在證書服務(wù)器上配置HRA所代表的帳戶應(yīng)有請求、頒發(fā)和管理證書的權(quán)限。在HRA上指向正確的證書服務(wù)器信息；
9、配置策略服務(wù)器NPS，配置SHV、健康策略和網(wǎng)絡(luò)連接策略。有兩個策略，一個是符合健康要求的，另一個是不符合要求的;
10、激活客戶端計算機NAP For IPSEC模塊?？赏ㄟ^組策略來實施。需要完成兩項設(shè)置，　 一是啟用NAP For IPSEC，配置信任HRA服務(wù)器組，指向正確HRA　URL地址.因為HRA提供的是一個WEB 應(yīng)用程序服務(wù)?？蛻舳薔AP Agent根據(jù)SoH響應(yīng)通過這個服務(wù)獲得健康證書或取消健康證書；
11、驗證服務(wù)器證書機制起作用，查看在域中的服務(wù)器都能獲得健康證書；
12、驗證客戶端證書機制起作用，查看符合健康要求和不符合健康要求的情況；
13、確認準備安裝TMG 2010的機器已獲得健康證書；
14、利用組策略管理工具GPMC對三個安全組實施IPSEC 組策略。安全組NAP IPSEC Client Computers NAP和 IPSEC Protected  Computers實施嚴格的IPSEC組策略：入站要求健康證書出站請求；安全組NAP IPSEC Boundary Computers實施包容性的IPSEC組策略：入站和出站請求健康證書；
15、安裝關(guān)鍵控制點TMG 2010，配置TMG 2010，TMG 服務(wù)器屬于安全組IPSEC Protected  Computers。所有計算機必須首先訪問TMG，才能訪問后臺的業(yè)務(wù)系統(tǒng)。實現(xiàn)跨平臺的NAP For IPSEC解決方案；
16、測試集成TMG 2010的NAP For IPSEC效果。

實施方案問題探討：

1、TMG 2010安裝完成后，會接管對應(yīng)網(wǎng)絡(luò)接口的管理策略，會不會同對應(yīng)TMG服務(wù)器的NAP For IPSE組策略沖突？
答：通過做實驗和部署，確認不會沖突，TMG 2010遵從NAP For IPSEC組策略。兩者配合的很好。在做實驗前，對這個問題一直沒有把握。完成實驗后，心里就踏實了。

2、TMG 2010只能安裝在64位Windows Server 2008 R2的機器上.64位Windows Server 2008 R2的機器能不能從在32位Windows Server 2008的CA服務(wù)器上獲得證書？
答：結(jié)果出人意料。不能獲得，但從道理上是可以的。需要進一步確認；

3、對于Windows Server 2008 R2才有基于Windows 7的健康驗證器SHV。Windows Server 2008 R2以前的版本只支持XP 和Vista。

4、Windows XP sp3 是否能接受來自Windows Server 2008 R2　基于高級防火墻配置的NAP For IPSEC組策略的設(shè)置？
答：實驗結(jié)果是不能。需要在Windows XP sp3上手工配置IPSEC,健康證書移走后，IPSEC通訊不中斷。需要重新啟動IPSEC服務(wù)，才能看到效果。

【編輯推薦】

1. Windows Server 2008 新增功能淺談
2. Windows Server 2008 數(shù)據(jù)庫性能監(jiān)控
3. 保障應(yīng)用程序集中訪問安全新選擇: Windows Server 2008 TS 網(wǎng)關(guān)
4. WINDOWS SERVER 2008 企業(yè)安全特性概述
5. Windows Server 2008 之我見