ＮＡＰ技术的前世今生:北斗技术的前世今生

　　当今网络管理员面对的一个严峻的挑战是确保连接到私有网络的计算机得到过更新，符合企业的安全策略。这个复杂任务通常牵涉到维护计算机健康，如果计算机是家庭计算机或移动笔记本电脑(不在管理员控制的范围之内)，则强制要求在这些计算机上实现尤为困难。
　　比如说，攻击者可以先攻击一台没有及时更新补丁的家庭计算机或公司内部的计算机，然后利用这台计算机连接到私有网络，发起攻击。在现实工作中，管理员通常缺乏足够的时间和资源来弥补这些漏洞。
　　Network Access Protection(NAP)for Windows Server 2008和Windows Vista提供了一个组件和应用程序接口，帮组管理员确保强制的安全健康策略得以贯彻。
　　
　　开发人员和管理员可以创建一个解决方案，来检查连接到网络的计算机，并且提供所需要的更新资源(叫健康更新资源)，对于不更新的计算机限制接人。同时，NAP的强制更新功能可以和其他厂商的软件整合，来帮助实现对接入计算机特定系统和软件进行检查。
　　其目的是为了最终实现：监视计算机访问网络是否符合健康策略要求，自动更新计算机，使其符合健康策略要求，或者，限制不符合安全策略要求的计算机，将其限制在受限制的网络中。
　　很多用户会认为NAP是防止恶意攻击手段，实际不尽然，虽然NAP确实能够辅助达到防范的目的，但NAP本身不是被设计用来防治恶意使用者破坏安全网络的。它被设计用于帮助管理员维护网络上的计算机的健康。它不能防治一个已经符合安全要求的计算机上的恶意用户释放攻击，或执行其他不适当的行为。
　　在Windows 2008的NAP环境，是一种典型的客户机/服务器架构，其基本结构如图1所示。
　　客户环境包括SHA(系统安全代理)，QA(隔离代理)和EC(强制客户)，各个组件的作用如下：
　　系统安全代理(SHA)检查和声明客户的健康状态(补丁状态、病毒签名、系统设置等)，每一个SHA定义一个系统健康要求或一组系统健康要求。比如一个SHA定义防病毒签名，一个SHA指定操作系统更新等等。wind0WSVista和Windows Server 2008包含了一个Windows SecurityHealth Valuator SHA，其他的软件厂商或微软可以提供额外的SHA到NAP平台。
　　强制客户端运用强制执行的方法，每个NAP EC被定义为不同的网络接入或连接类型。
　　修补服务器用来安装需要的更新和设置以及应用程序，将客户计算机转化为健康状态，不符合SHA检查要求的计算机被路由到修补服务器。
　　网络接入设备是有智力判断赋予或拒绝客户访问网络的请求(防火墙，交换机或一台服务器)的设备。
　　系统健康服务器通过定义客户端上的系统组件的健康要求，提供客户端所要依从的策略。
　　NPS server包括Qs和Sys-tem Health Validator。Qs sits在IAS Policy服务器上，执行SHV检查下来相配的动作，SHV检查安全代理生成的声明。
　　很多人会觉得Windows 2008的NAP是一个全新的东西，但实际上，上文提到的四种客户端的强制方式，它们中的大多数都是以前某项技术的延续，了解这种技术发展的脉络，对于我们理解NAP的强制方式有很大的帮助。
　　首先，我们来看一看第一种强制方式：DHCP的方式：在Windows 2000和Windows 2003的DHCP服务器上，引入了一种分配IP地址选项(option)的方式，类(Class)，我们可以在服务器上设置“用户定义类”或“厂商定义类”，并为这些类设置独特的Options。
　　当时就有很多的用户自己尝试着�用这个class类技术，让企业内部的私有计算机属于一个类，外来访客的计算机得到的IP地址的选项将和企业内部计算机得到的地址选项不同，这样来控制访客计算机的行为。
　　而Windows 2008的基于DHCP的NAP可以看成该项技术的发展和延伸。其基本思想就是将不符合健康检查要求的计算机归属于一个类，给这个类的计算机特殊的Options，用路由器的默认网关等选项来约束，这样，这些计算机就被限制在特定的网络中了。
　　其次，第二种NAP的强制方式是�用IPSEC，这种方式算是最具有微软特色的NAP的解决方案了，其他厂商的类似产品，往往需要网络基础架构的支持，比如Cisco的NAC等等，但采用IPSEC解决方案的NAP，可以完全摆脱网络基础架构的束缚，在主机层面上实现网络的接入保护。
　　其实，这种方式的NAP实际上也是传统的windowS上的IPSEC技术延伸，在传统的Windows IPSEC的验证方式上，有三种方式，分别为AD、CA和预共享密钥。在验证通过后，可以通过设定“客户端”、“服务器”、“安全服务器”的策略来控制计算机之间的通讯。
　　其中，最自由的方式毫无疑问是采用CA认证中心所颁发的证书来进行验证，我们可以很自然的想到，只要由一个CA自动给符合健康要求的计算机办法健康证书，就可以实现限制非健康计算机通讯的要求。
　　而windows，2008基于IPSEC的NAP的基本思想就是建立在颁发健康证书的基础上的。
　　基于IPSEC的强制NAP将物理网络分割为3个逻辑网络，一台计算机在一个时刻只能在三个逻辑网络之一之中。
　　
　　安全网络是有健康证书的计算机集合，要求接人的计算机采用IPSEC验证，并采用健康证书。(在一个被管理网络，大多数服务器和客户机属于AD域，在安全网络中。)
　　边界网络有健康证书，但不需要接人到私有网络，进行IPSEC验证尝试，在边界网络中的计算机必须能访问整个网络的计算机，边界网络通常只由HCS和NAP修复服务器。
　　受限网络没有健康证书，包含不符合NAP规范的客户计算机的集合。
　　大家会很自然的，将这种对网络的逻辑划分的方法，和传统IPSEC的client，server，securerserver三个预定策略进行对比，会发现两者非常相似。
　　第三种NAP的强制方式是针对VPN接人的客户的，不受管理的家庭计算机对网络管理员又是一个挑战，因为IT人员不能直接物理访问到这些计算机。
　　使用NAP，当用户使用VPN连接的时候，管理员可以检查需要的程序，注册表设置，文件，家庭计算机会被限制在受限网络中，直到健康状态符合要求。
　　本质上，VPN的NAP和Windows 2003时代的隔离VPN网络很相似，Windows2003的隔离VPN网络需要很复杂的编写脚本，对于大多数的系统管理员而言，实在是太麻烦了，而在Windows 2008的VPNNAP设置则要简单多，对于管理员而言，更容易部署和实施。
　　而VPN NAP的最后的一种强制方式，是采用802.1X协议，这种方式对微软而言是全新的一种方式，不在我们这篇短文中评论。