善用NAP让Windows2008为客户端“体检”

俗话说“林子大了，什么鸟都有”，*域网规模比较大时，接入到局域网网络中的客户端工作站安全状况也是参差不齐，有只安装了杀毒软件的，有只安装了防火墙的，也有同时安装杀毒软件或防火墙的，更有什么也没有安装的。当没有采取任何安全保护措施的工作站访问局域网服务器时，网络病毒很可能会通过这些工作站袭击服务器甚至整个局域网网络，从而导致服务器不能正常对外提供服务，造成整个局域网网络运行效率下降。

　　那我们怎样才能有效防止那些存在潜在安全隐患的客户端工作站访问局域网服务器，从而给局域网服务器带来巨大安全威胁呢？要做到这一点，相信许多人都会说只要强制工作站系统安装好杀毒软件、防火墙程序，定期安装更新系统补丁，就能保证工作站系统安全访问局域网服务器了。话是这么说，但实际上这样的强制措施很难执行下去；不过，在Windows Server 2008系统环境下，我们可以利用该系统新增加的NAP功能——网络访问保护功能，来对企图访问Windows Server 2008服务器系统的任何一台客户端工作站系统进行安全“体检”，一旦发现有不符合安全健康标准的客户端在访问局域网网络时，立即强制其进行安全修正，或者限制其网络访问活动，直到不符合安全健康标准的客户端系统符合访问健康标准为止！

　　撩开NAP面纱

　　NAP的中文名称为网络访问保护，该功能是Windows Vista系统中首先引入的一项功能，该功能通过强制客户端工作站系统符合网络健康标准，以便保证只有通过安全“体检”的客户端工作站才能正常访问局域网网络，从而达到预防网络病毒袭击服务器或局域网网络的目的。借助NAP功能，我们可以根据实际组网情况自行定义网络访问健康策略，并要求对连接到网络中的客户端工作站系统进行健康策略验证，并自动更新符合网络访问健康标准的客户端工作站系统以保证该系统持续的健康符合性，同时将那些没有通过安全“体检”的客户端工作站系统限制到受限网络，直到它们重新符合网络访问健康标准。

　　为了强制那些存在安全隐患的客户端工作站系统能够重新符合网络访问健康标准，NAP通过系统健康验证器、系统运行状况代理以及第三方网络安全保护应用程序等进行互相操作，确保让那些不符合健康“体检”的客户端工作站系统能够自动使用我们事先指定的安全解决方案，例如更新系统补丁程序，安装网络防火墙程序，安装防病毒软件，使用VPN网络连接等。

　　总之，在NAP功能的帮助下，网络管理员可以让Windows Server 2008服务器系统自动为客户端工作站进行安全“体检”，而不需要耗费客户端工作站自身的系统资源；在NAP功能的帮助下，网络管理员可以确定正在访问网络的客户端工作站系统是否有权访问服务器中的资源信息，如果发现客户端工作站没有访问权，可以不需要进行任何设置或更新，让其直接访问网络管理员事先指定的受限网络访问；在NAP功能的帮助下，网络管理员还可以让Windows Server 2008服务器系统自动为客户端工作站提供最新的更新，从而有效避免访问Internet资源时可能带来的潜在安全威胁。

　　安全体检流程

　　使用NAP功能对局域网客户端工作站进行安全体检时，一般需要经过网络访问健康认证、隔离网络、自动修正以及持续持续监控等流程。

　　为了判断客户端工作站是否是健康的，我们往往需要事先定义好一组访问规则，以便通过该规则对工作站系统状态进行验证评估。当有客户端工作站企图与局域网网络建立连接时，NAP功能就会自动使用安全健康程序与事先定义好的健康策略进行比较，符合这些健康策略的客户端工作站就会被看承是安全性良好的工作站，而不符合其中任意一项健康策略的工作站就会被看成是存在安全威胁的工作站。

　　对于那些存在安全威胁的工作站，我们可以通过NAP功能将工作站的网络连接设置成各种状态，当NAP功能认为目标工作站由于不符合健康标准而被看成不安全系统时，那么NAP功能将会直接将该工作站隔离到受限网络中，让其与局域网中其他工作站逻辑隔绝开来，直至目标工作站的网络访问健康标准符合要求为止。

　　为了方便让那些不符合健康标准的客户端工作站快速地恢复到健康标准，我们还可以通过NAP功能为客户端工作站提供安全补救策略，例如更新补丁程序、安装防火墙以及杀毒软件等，让那些已经处于隔离状态的工作站不需要通过网络管理员的手工操作就能自动修正运行状态。当然，要实现自动修正目的，我们需要对受限的网络进行合适的设置，确保该网络能够允许存在安全隐患的客户端工作站访问安装必要的更新程序。

　　对那些已经符合健康标准的客户端工作站，NAP功能仍然会对它进行持续监控，也就是强制客户端工作站系统在访问局域网网络期间，而不单单在建立网络连接的初始时候，始终监控这些能够保持状态良好的网络访问健康策略。一旦客户端工作站系统状态与我们事先定义的健康策略不相符合时，比方说禁用了Windows系统防火墙，那么NAP功能将会自动重新开启防火墙，直到恢复正常健康状态后，才能让客户端工作站系统重新访问网络。