一、 NAP(Network Access Protection)概述
NAP是一种包含在">Windows Server 2008 R2、Windows Server 2008 、Windows Vista、Windows 7和Windows XP SP3中的策略执行平台,旨在通过计算机健康状态检测技术,保护企业内部网络免受非安全客户端的网络威胁。通过NAP平台,系统管理员可以自定义健康安全策略,在客户端访问企业网络之前,使用策略检测客户端健康状态,确保接入企业网络的客户端安全状态良好,并且阻止不健康的客户端接入,将它们放入受限网络,进行健康修补,直到符合健康策略为止。
同时,NAP也提供了应用程序接口集,使第三方厂商能够为健康策略验证,网络访问限制等功能提供诸如防病毒、补丁管理、VPN和网络设备的第三方解决方案。
二、 网络访问保护组件
网络访问保护包括3个主要的特性组件,它们都包含在Windows Server 2008的功能中。
健康状况组件
系统健康状态代理(System Health Agent):检查系统健康状态,如补丁、反病毒、反间谍软件的新旧程度等。
系统健康验证器(System Health Validator):验证系统健康状态代理的所提供的信息,并给出声明。
系统健康状态服务器:定义客户端的健康状态需求。在Windows Server 2008中,是指网络策略服务器(Network Policy Server)。
修正服务器:为不符合健康状态要求的客户端提供修补,比如安装补丁,升级杀毒软件病毒库,使之成为健康状态。
强制组件
强制客户端(Enforcement Client):指使用NAP平台的客户端。Windows 7、Windows vista、Windows XP SP3都支持NAP,并且都内置系统健康代理组件。强制客户端请求访问网络、与提供网络访问的 NAP 服务器(如 NAP 服务器)交流客户端计算机的健康状态,并与 NAP 客户端体系结构的其他组件交流客户端计算机的受限状态。
网络访问设备:提供NAP客户端的网络访问,比如交换机和无线AP。
健康注册机构:给健康客户端颁发安全证书。