windows Server 2008的NAP簡介

什麼是NAP？

NAP-Network Access Protection，網路存取保護。我覺得其實還不完整，我認為完整的應該叫做網路原則訪問保護。他的作用是用策略來保護用戶端對網路的訪問，確保整個網路的訪問過程是達到一定安全層級的。07年初前我開始做08的時候，當時的第一反應就是防火牆。覺得是不是就是跟防火牆類似的一個東西。後來發現不是的，而且完全不一樣。防火牆是通過網路的通訊介面，比如IP、連接埠號碼之類的來控制訪問串連的通或者斷。簡單理解防火牆是控制網路行為的，而NAP是通過安全性原則來控制網路中所有用戶端的狀態。可能這麼說，還是不夠清楚。我覺得這個東西應該分開來看，就是網路-策略-訪問-保護。

下面先來看看網路。對於NAP的網路我們理解，可以大致分為三類：一個外網，也就是沒有受NAP管理的網路。這個網路可能是互連網，也可能是某個個剛剛通過無線網路想想接入到網路中的某個電腦，這是因為他還在處於一個請求IP或者請求接入的階段，所以它應該算外部網路；第二個是內網，也就是受NAP管理的網路。這個網路指的就是我們已經接入進來的這些內部電腦，比如剛才那個電腦如果已經接入進來了以後，那它現在就處於一個內部網路當中；最後一個是一個比較特殊的網路，有點防火牆術語當中的DMZ，但還是有區別。它是一個更偏向內網的網路，但又不全是。當然你可以去定義它，如果有用戶端被NAP放到了這個網路，那它也許只能訪問部分網路資源，也許什麼資源都不能訪問。後面我們再來詳細描述這個網路，暫時我們就先理解為一個受限制網路吧。

網路分析完了，在來講講策略。NAP中的策略叫做安全性原則，可能有人會跟防火牆中的策略去做對比。那麼防火牆中的策略準確說應該叫規則策略，比如如果是某個人，在某台機器上，通過某個應用程式進行訪問，那麼我們可以決定是否允許通過。這個規則策略可能是允許使用者A通過，B不能通過，或者允許A程式能夠通過而B程式不能通過。但NAP中的安全性原則是用於驗證用戶端是否達到某個在安全方面的特性的要求。比如在NAP中，有的策略是要求用戶端是否開啟安全更新設定，有的是要求防火牆是否處於啟用狀態，有的是要求系統補丁是否打到某個層級或者某個時間點之後，有的是要求防毒軟體的病毒庫是否達到某個特定版本或者某個最新的時間點，等等。可以看出來實際上策略就是一把尺，在防火牆中它是通過規則來定義這把尺，在NAP中它是通過跟安全相關的狀態或者叫屬性來定義這把尺。有了這把尺，我們才能在後面的過程中去衡量一個用戶端或者網路中的某個因素是否達到我們所期望的要求。這就是策略的作用。

好，有了一把尺，如果我們不用它，也是白費，下面就來說說訪問的問題。我的理解應該叫訪問監控或者訪問驗證。這裡的意思是用剛才的那個些安全性原則，去監控所有網路中的用戶端，去跟用戶端當前的狀態進行對比。比如一個策略是要求病毒庫的版本必須要達到2.0版本，結果發現有一台電腦的病毒庫版本還是1.8，那這個時候NAP伺服器就會將這台電腦標記為“不符合”。也就是說，訪問驗證的過程就是用策略去對比用戶端的狀態資訊是否符合我們所定義的策略。強調一下，這個驗證過程是即時存在的，也就是說，一旦你修改了某些安全設定，與NAP中的策略是相矛盾的，那麼會立即將你標記成“不符合”。反過來，如果當你更新了某些配置，比如病毒庫版本時，NAP會立即將你從“不符合”標記成“符合”。這種即時保護，就是為了防止惡意串連在開始進入網路時通過偽裝矇混過關，進入以後再開始進行破壞。據我所知，像VPN的很多應用就是這樣，它只在網路連接開始的時候進行驗證，一旦通過驗證，以後的任何操作將不再受到限制。

所有的電腦都有了一個“符合”或者“不符合”的標記，最後我們就能夠簡單的對其進行控制了。實際上這個過程很簡單，就是定義一個規則，如果是“符合”的，我們允許它連入到哪個網，不允許他連入到哪個網。如果是“不符合”的，我們又允許它連入到哪個網，不允許他連入到哪個網。