Windows Server 2008下实现网络访问保护

摘要

网络访问保护(NAP)是Windows Server2008提供的一项非常具有实用价值的功能,也是网络安全接入技术的一种典型实现.本文简要介绍了NAP的原理和特点,并较为详尽地介绍了DHCP强制方式NAP的部署步骤,为中小企业网络应用网络安全接入提供了新思路.网络安全接人技术的主要目标是保证主机的安全接入，即当网络终端接入本地网络时，通过特殊的协议对其进行校验，除了验证用户名密码、用户证书等用户身份信息外，还验证终端是否符合管理员制定好的安全策略，如操作系统补丁、病毒库版本等信息；并各自制定了隔离策略，通过接人设备(防火墙、交换机、路由器、服务器等)，强制将不符合要求的终端设备隔离在一个指定区域，只允许其访问补丁服务器进行下载更新。在验证终端主机没有安全问题后，再允许其接人被保护的网络，确保用户在任何地方访问网络时使用的任何设备都符合安全策略。它可以让用户简便安全地访问企业网络，减少网络管理开销，并且可以对用户的使用情况进行全面分析。目前具有代表性的技术包括思科的网络接入控制技术(NAC)、微软的网络接人保护技术(NAP)和TCG组织的可信网络连接(TNC)技术等。网络访问保护(NAP)是Windows Server 2008中引入的一项新技术，也是Windows Server系列软件平台技术的延续。NAP为了保证访问网络的主机的健康，主要围绕健康策略验证、网络隔离和补救、持续的遵从性等核心功能构建而成。为了保证DHCP方式的IP地址管理有效实施，至少需要一台支持DHCP Snooping、ARPInspection的交换机，以确保用户必须使用DHCP获取IP地址进行网络连接。在网络设施和服务器安装调试后就可以进行DHCP和NPS的安装配置。如需要使用组策略管理用户，建议预先把域控制器也安装调试好。