网路访问保护 (NAP) 是 Windows Server® 2008 和 Windows Vista® 作业系统附带的一组新的作业系统组件，它提供一个平台以帮助确保专用网路上的客户端计算机符合管理员定义的系统健康要求。NAP 策略为客户端计算机的作业系统和关键软体定义所需的配置和更新状态。例如，可能要求计算机安装具有最新签名的防病毒软体，安装当前作业系统的更新并且启用基于主机的防火墙。通过强制符合健康要求，NAP 可以帮助网路管理员降低因客户端计算机配置不当所导致的一些风险，这些不当配置可使计算机暴露给病毒和其他恶意软体。

当客户端计算机尝试连线网路或在网路上通信时，NAP 通过监视和评估客户端计算机的健康状况来强制实施健康要求。如果确定客户端计算机不符合健康要求，则可以将其置于包含资源的受限网路上，以帮助更新客户端系统使其符合健康策略。

希望对连线到他们所支持网路的客户端计算机强制实施系统健康要求的网路和系统管理员会对 NAP 感兴趣。藉助 NAP，网路管理员可以：

确保区域网路 (LAN) 上针对 DHCP 进行配置、通过 802.1X 身份验证设备连线或对其通信套用 NAP Internet 协定安全性 (IPSec) 策略的台式计算机的健康。

当漫游便携机重新连线到企业网路时，对其强制实施健康要求。

验证通过运行路由和远程访问的虚拟专用网路 (VPN) 伺服器连线到企业网路的非託管家用计算机是否健康并符合策略要求。

确定由访问者和合作伙伴带到组织的便携机的健康状况并限制对它的访问。

根据需要，管理员可以配置一个解决方案来解决以上任何或全部方案的问题。

NAP 还包含一个应用程式编程接口 (API) 集，开发人员和供应商使用它来针对网路策略验证、即时符合和网路隔离构建自己的组件。

NAP 部署要求伺服器运行 Windows Server 2008。

此外，还要求客户端计算机运行 Windows Vista、Windows Server 2008 或带有 Service Pack 3 (SP3) 的 Windows XP。

执行 NAP 的健康确定分析的中心伺服器是运行 Windows Server 2008 和网路策略伺服器 (NPS) 的计算机。NPS 是远程身份验证拨入用户服务 (RADIUS) 伺服器和代理的 Windows 实现。NPS 将取代 Windows Server 2003 作业系统中的 Internet 身份验证服务 (IAS)。访问设备和 NAP 伺服器充当基于 NPS 的 RADIUS 伺服器的 RADIUS 客户端。

NPS 根据配置的系统健康策略对网路连线尝试执行身份验证和授权，确定是否符合计算机健康要求，以及如何限制不符合要求的计算机的网路访问。

NAP 平台是 Windows Server 2008 和 Windows Vista 作业系统附带的一种新的客户端健康验证和强制技术。

为什幺此功能非常重要？

当今企业面临的最大挑战之一就是客户端设备越来越多地暴露给诸如病毒和蠕虫等恶意软体。这些程式可以进入未受保护或配置不当的主机系统，并且可以使用该系统作为暂存点以传播到企业网路上的其他设备。网路管理员可以使用 NAP 平台保护他们的网路，方法是确保客户端系统保持正确的系统配置和软体更新，以帮助它们免受恶意软体的攻击。

若要使 NAP 正常工作，需要以下几个主要进程：策略验证、NAP 强制和网路限制、更新以及确保符合的即时监视。

策略验证NPS 使用系统健康验证程式 (SHV) 分析客户端计算机的健康状态。SHV 已被合併到根据客户端健康状态确定所要採取的操作（如授予完全网路访问许可权或限制网路访问）的网路策略中。由称为系统健康代理 (SHA) 的客户端 NAP 组件监视健康状态。NAP 使用 SHA 和 SHV 来监视、强制实施和更新客户端计算机配置。

Windows Server 2008 和 Windows Vista 作业系统附带 Windows 安全健康代理和 Windows 安全健康验证程式，它们对支持 NAP 的计算机强制实施以下设定：

客户端计算机已安装并启用了防火墙软体。

客户端计算机已安装并且正在运行防病毒软体。

客户端计算机已安装最新的防病毒更新。

客户端计算机已安装并且正在运行反间谍软体。

客户端计算机已安装最新的反间谍更新。

已在客户端计算机上启用 Microsoft(R) Update Services。

此外，如果支持 NAP 的客户端计算机正在运行 Windows Update 代理并且已注册 Windows Server Update Service (WSUS) 伺服器，则 NAP 可以验证是否基于与 Microsoft 安全回响中心 (MSRC) 中的安全严重等级匹配的四个可能的值中的一个值安装最新的软体安全更新。

NAP 强制和网路限制可以将 NAP 配置为拒绝不符合要求的客户端计算机访问网路或只允许它们访问受限网路。受限网路应包含主要 NAP 服务，如健康注册机构 (HRA) 伺服器和更新伺服器，以便不符合要求的 NAP 客户端可以更新其配置以符合健康要求。

NAP 强制设定允许您限制不符合要求的客户端的网路访问，或者仅观察和记录支持 NAP 的客户端计算机的健康状态。

您可以使用以下设定选择限制访问、推迟访问限制或允许访问：

“允许完全网路访问”。这是默认设定。认为与策略条件匹配的客户端符合网路健康要求，并授予这些客户端对网路的无限制的访问许可权（如果连线请求经过身份验证和授权）。记录支持 NAP 的客户端计算机的健康符合状态。

“允许有限时间内的完全网路访问”。临时授予与策略条件匹配的客户端无限制的访问许可权。将 NAP 强制延迟到指定的日期和时间。

“允许有限的访问”。认为与策略条件匹配的客户端计算机不符合网路健康要求，并将其置于受限网路上。

更新置于受限网路上的不符合要求的客户端计算机可能需要进行更新。更新是更新客户端计算机以使其符合当前的健康要求的过程。例如，受限网路可能包含档案传输协定 (FTP) 伺服器，该伺服器提供当前的病毒签名，以便不符合要求的客户端计算机可以更新其过期的签名。

可以使用 NPS 网路策略中的 NAP 设定来自动更新，以便在客户端计算机不符合网路健康要求时，NAP 客户端组件自动尝试更新该客户端计算机。可以使用以下网路策略设定配置自动更新：

“自动更新”。如果选中“启用客户端计算机的自动更新”，则会启用自动更新，不符合健康要求的支持 NAP 的计算机即会自动尝试对自身进行更新。

确保符合的即时监视NAP 可以在已连线到网路的符合要求的客户端计算机上强制执行健康符合。该功能对于确保在健康策略更改以及客户端计算机的健康更改时即时保护网路非常有用。例如，如果健康策略要求启用 Windows 防火墙，但用户无意中禁用了 Windows 防火墙，则 NAP 可以确定客户端计算机处于不符合要求的状态。然后，NAP 会将该客户端计算机置于受限网路上，直到重新启用 Windows 防火墙为止。

如果启用了自动更新，则 NAP 客户端组件可以自动启用 Windows 防火墙，而无需用户干预。

根据客户端计算机的健康状况，NAP 可以允许完全网路访问、仅限于对受限网路进行访问或者拒绝对网路进行访问。还可以自动更新确定为不符合健康策略的客户端计算机，以使其符合这些要求。强制实施 NAP 的方式因您选择的强制方法而异。NAP 对以下内容强制实施健康策略：

受 IPSec 保护的通信

基于 802.1X 连线埠的有线和无线网路访问控制

具有路由和远程访问的虚拟专用网路 (VPN)

动态主机配置协定 (DHCP) IPv4 地址租用和续订

与终端服务网关（TS 网关）伺服器的连线

以下部分介绍这些强制方法。

IPSec 通信的 NAP 强制受 IPSec 保护的通信的 NAP 强制通过健康证书伺服器、HRA 伺服器、NPS 伺服器以及 IPSec 强制客户端进行部署。在确定 NAP 客户端符合网路健康要求后，健康证书伺服器会向 NAP 客户端颁发 X.509 证书。然后，当 NAP 客户端启动与 Intranet 上的其他 NAP 客户端的受 IPSec 保护的通信时，会使用这些证书对 NAP 客户端进行身份验证。

IPSec 强制将网路上的通信限制于符合要求的客户端，并提供最强大的 NAP 强制形式。由于该强制方法使用 IPSec，您可以逐个 IP 地址或逐个 TCP/UDP 连线埠号地定义受保护通信的要求。

802.1X 的 NAP 强制基于 802.1X 连线埠的网路访问控制的 NAP 强制通过 NPS 伺服器和 EAPHost 强制客户端组件进行部署。藉助基于 802.1X 连线埠的强制，NPS 伺服器将指导 802.1X 身份验证交换机或符合 802.1X 的无线访问点将不符合要求的 802.1X 客户端置于受限网路上。NPS 伺服器通过指导访问点将 IP 筛选器或虚拟 LAN 标识符套用于连线，将客户端的网路访问局限于受限网路。802.1X 强制为通过支持 802.1X 的网路访问设备访问网路的所有计算机提供强有力的网路限制。

VPN 的 NAP 强制VPN 的 NAP 强制使用 VPN 强制伺服器组件和 VPN 强制客户端组件进行部署。使用 VPN 的 NAP 强制，VPN 伺服器可以在客户端计算机尝试使用远程访问 VPN 连线来连线网路时强制实施健康策略。VPN 强制为通过远程访问 VPN 连线访问网路的所有计算机提供强有力的受限网路访问。

DHCP 的 NAP 强制DHCP 强制通过 DHCP NAP 强制伺服器组件、DHCP 强制客户端组件以及 NPS 进行部署。使用 DHCP 强制，DHCP 伺服器和 NPS 可以在计算机尝试租用或续订 IP 版本 4 (IPv4) 地址时强制实施健康策略。NPS 伺服器通过指导 DHCP 伺服器指定一个受限制的 IP 地址配置，将客户端的网路访问局限于受限网路。但如果客户端计算机已配置有一个静态 IP 地址，或配置为避免使用受限制的 IP 地址配置，则 DHCP 强制无效。

TS 网关的 NAP 强制TS 网关的 NAP 强制通过 TS 网关强制伺服器组件和 TS 网关强制客户端组件进行部署。使用 TS 网关的 NAP 强制，TS 网关伺服器可以对尝试通过 TS 网关伺服器连线内部企业资源的客户端计算机强制实施健康策略。TS 网关强制为通过 TS 网关伺服器访问网路的所有计算机提供强有力的受限访问。

组合方法每一种 NAP 强制方法都有各自不同的优势。通过组合强制方法，您可以将这些不同方法的优势组合在一起。但是，部署多种 NAP 强制方法会使 NAP 实现更难管理。

NAP 框架还提供了一套 API，它允许除 Microsoft 之外的公司将其软体集成到 NAP 平台中。通过使用 NAP API，软体开发人员和供应商可以提供端对端解决方案，用以验证健康并更新不符合要求的客户端。

部署 NAP 所需的準备工作取决于您所选择的强制方法，以及当客户端计算机连线到网路或在网路上通信时要强制实施的健康要求。

如果您是网路或系统管理员，则可以使用 Windows 安全健康代理和 Windows 安全健康验证程式部署 NAP。还可以谘询其他软体供应商，看他们是否为其产品提供 SHA 和 SHV。例如，如果防病毒软体供应商想创建一个包含自定义 SHA 和 SHV 的 NAP 解决方案，则他们可以使用 API 集来创建这些组件。然后可以将这些组件集成到其客户部署的 NAP 解决方案中。

当客户端计算机尝试连线到网路或在网路上通信时，除了 SHA 和 SHV 之外，NAP 平台还使用多个客户端和伺服器端组件来检测和监视客户端计算机的系统健康状态。下图展示了用于部署 NAP 的一些常用组件：

支持 NAP 的客户端是一台安装了 NAP 组件且可以通过向 NPS 传送健康声明 (SoH) 来验证其健康状态的计算机。下面是常用的 NAP 客户端组件。

系统健康代理 (SHA)。监视和报告客户端计算机的健康状况，以便 NPS 可以确定由 SHA 监视的设定是否最新以及是否经过正确配置。例如，Windows 系统健康代理 (WSHA) 可以监视 Windows 防火墙，检查防病毒软体是否已安装、启用和更新，反间谍软体是否已安装、启用和更新，以及 Microsoft Update Services 是否已启用，计算机是否拥有其最新的安全更新。还可能有来自其他公司提供其他功能的 SHA。

NAP 代理。收集和管理健康信息。NAP 代理还处理来自 SHA 的 SoH，并向已安装的强制客户端报告客户端健康状况。若要指示 NAP 客户端的总体健康状况，NAP 代理应使用系统 SoH。

NAP 强制客户端(NAP EC)。若要使用 NAP，必须在客户端计算机上安装和启用至少一个 NAP 强制客户端。如前所述，各个 NAP 强制客户端都是特定于强制方法的。NAP 强制客户端集成了网路访问技术，如 IPSec、基于 802.1X 连线埠的有线和无线网路访问控制、具有路由和远程访问的 VPN、DHCP 以及 TS 网关。NAP 强制客户端请求访问网路、与 NPS 伺服器交流客户端计算机的健康状态，并与 NAP 客户端体系结构的其他组件交流客户端计算机的受限状态。

健康声明 (SoH)。一种声明其健康状态的来自 SHA 的声明。SHA 创建 SoH 并将其传送给 NAP 代理。

下面是常用的 NAP 伺服器组件。

NAP 健康策略伺服器。运行 NPS 的伺服器，它充当 NAP 健康评估伺服器的角色。NAP 健康策略伺服器具有健康策略和网路策略，这些策略为请求网路访问的客户端计算机定义健康要求和强制设定。NAP 健康策略伺服器使用 NPS 处理包含 NAP EC 传送的系统 SoH 的 RADIUS 访问请求讯息，并将其传递给 NAP 管理伺服器进行评估。

NAP 管理伺服器。提供一种类似于客户端上的 NAP 代理的处理功能。它负责从 NAP 强制点收集 SoH，将 SoH 分发给相应的系统健康验证程式 (SHV)，以及从 SHV 收集 SoH 回响 (SoHR) 并将其传递给 NPS 服务进行评估。

系统健康验证程式 (SHV)。伺服器软体对应于 SHA。客户端上的每个 SHA 在 NPS 中都具有相应的 SHV。SHV 验证客户端计算机上与其对应的 SHA 所创建的 SoH。SHA 和 SHV 相互匹配，并且与相应的健康要求伺服器（如果适用）和可能的更新伺服器匹配。SHV 还可以检测到尚未接收 SoH（如 SHA 从未安装或者已损坏或删除的情况）。无论 SoH 符合还是不符合定义的策略，SHV 都向 NAP 管理伺服器传送健康声明回响 (SoHR) 讯息。一个网路可能具有多种 SHV。如果情况如此，则运行 NPS 的伺服器必须调整所有 SHV 中的输出，并且确定是否限制不符合要求的计算机的访问。如果您的部署使用多个 SHV，则需要了解它们互动的方式，在配置健康策略时还要进行仔细地计画。

NAP 强制伺服器 (NAP ES)。与所使用 NAP 强制方法的相应 NAP EC 相匹配。NAP ES 接收来自 NAP EC 的 SoH 列表，并将其传递给 NPS 进行评估。根据回响，它向支持 NAP 的客户端提供有限制或无限制的网路访问。根据 NAP 强制的类型，NAP ES 可以是 NAP 强制点的一个组件。

NAP 强制点。使用 NAP 或可以与 NAP 结合使用以要求评估 NAP 客户端的健康状况并提供受限网路访问或通信的伺服器或网路访问设备。NAP 强制点可以是健康注册机构（IPSec 强制）、身份验证交换机或无线访问点（802.1x 强制）、运行路由和远程访问的伺服器（VPN 强制）、DHCP 伺服器（DHCP 强制）或 TS 网关伺服器（TS 网关强制）。

健康要求伺服器。与 SHV 通信以提供评估系统健康要求时使用的信息的软体组件。例如，健康要求伺服器可以是为验证客户端防病毒 SoH 提供当前签名档案版本的防病毒签名伺服器。健康要求伺服器与 SHV 相匹配，但并不是所有 SHV 都需要健康要求伺服器。例如，SHV 可以只指导支持 NAP 的客户端检查本地系统设定，以确保启用基于主机的防火墙。

更新伺服器。承载 SHA 用来使不符合要求的客户端计算机变为符合要求的客户端计算机的更新。例如，更新伺服器可以承载软体更新。如果健康策略要求 NAP 客户端安装最新的软体更新，则 NAP EC 将对没有这些更新的客户端的网路访问加以限制。为了使客户端能够获得符合健康策略所需的更新，具有受限网路访问许可权的客户端必须可以访问更新伺服器。

健康声明回响 (SoHR)。包含客户端 SoH 的 SHV 评估结果。沿 SoH 的路径，将 SoHR 反向传送回客户端计算机 SHA。如果认为客户端计算机不符合要求，则 SoHR 包含更新说明，SHA 会使用该说明更新客户端计算机配置，使其符合健康要求。

就像每种类型的 SoH 都包含有关係统健康状态的信息一样，每个 SoHR 讯息都包含有关如何使客户端计算机符合健康要求的信息。