微軟網絡接入保護功能介紹
原創NAP的英文全稱是Network Access Protection,也就是網絡接入防護,它是內置于Windows Longhorn Server以及Windows Vista客戶端操作系統的安全機制。比較熟悉服務器操作系統Windows Server 2003的朋友應該對網絡接入隔離控制(Network Access Quarantine Control)有所了解,NAP正是此項功能的擴展。
每一個連接到本地網絡的電腦都是潛在的威脅。你無法得知是否每臺電腦里都安裝了微軟最新的安全補丁、是否被安裝了間諜軟件、是否設置了適當的防火墻,任何一臺計算機出現了安全問題,整個本地網絡的計算機都會處在危險之中。
所以,要保護網絡安全,就必須制定一個“安全策略”讓每臺電腦在連接本地網絡的時候都通過這個策略的允許。但是并不是所有的用戶都會自覺地遵守這個安全策略,微軟就替所有的用戶找到了一個強制性的執行安全策略:檢測一個系統是否已經滿足了標準,并以此來決定是阻止其連入網絡,或是對其放行。這就是NAP的用武之地,也是微軟的健康策略平臺。
網絡訪問保護 (NAP) 提供了一種新的體系結構,用于執行計算機運行狀況策略驗證,確保始終符合運行狀況策略,并有選擇地限制運行狀況不正常的計算機只有在恢復正常后才能進行訪問。 網絡訪問保護包括客戶端體系結構和服務器體系結構。 管理員可根據其網絡需要配置 DHCP 隔離、VPN 隔離、802.1X 隔離、IPsec 隔離,或所有這四項。網絡訪問保護為擴展 NAP 功能提供了一個基礎結構和 API 集。 供應商和軟件開發人員可以使用該 API 集構建自己的網絡策略驗證、持續的網絡策略遵從政策以及兼容網絡訪問保護的網絡隔離組件。
NAP可以讓用戶監視任何試圖接入用戶網絡的計算機的安全狀態,并確保接入的計算機都具有符合用戶健康策略的安全防范措施。那些不符合用戶健康策略的電腦,將被接入到一個受限的網絡環境,用戶可以在這個網絡環境中存儲一些安全軟件,幫助這些安全性較差的計算機提高到符合用戶要求的安全水平。 目前,NAP已經被內嵌到Windows Server(現在被稱為“Longhorn”),可以和Windows Vista協同使用,或和那些運行了NAP客戶端插件的Windows XP客戶端協同使用(NAP客戶端插件將在新服務器操作系統發布時同步推出,而XP NAP客戶端目前已經進入了Beta測試階段)。據微軟工作人員透露,Windows Server 2003也有可能成為一個NAP客戶端。不必擔心這個功能的兼容性,因為微軟稱將把NAP開發成一套開放的安全架構標準,屆時將會有更多的硬件支持它。
NAP不能取代系統內別的安全系統,像殺毒軟件、防火墻、入侵檢測等,實際上,NAP的作用只是用來檢查將要連入網絡的電腦是否具有完備的安全補丁,是否有安全配置方面的錯誤等來提升用戶計算機的安全性。Windows用戶不必擔心使用問題,即使是現在XP不支持NAP,但是微軟已經承諾將會開發出適用XP的NAP客戶端。我們要注意的是,NAP服務器是一個網絡策略服務器(Network Policy Server ,NPS)。而NPS則是Longhorn中替代Windows Server 2003中IAS(互聯網驗證服務)功能的組件,我們的服務器操作系統要采用Longhorn才能適用于整個本地網絡。
正如前面所說,并不是所有要進入的電腦都符合安全策略,如果遇見了不符合條件的電腦,除了強行禁止,我們也有其它的選擇:
1、允許它訪問網絡,但是在Log中標記具體的信息,以便你可以追蹤它,以查看它是否最終滿足了要求;
2、允許它訪問一個受限的網絡,而不是訪問整個網絡。這一點很有用,這樣你可以在受限網絡中提供相關資源(比如,相關的安全更新或者反病毒軟件,或者某些系統補丁),以便用戶對電腦進行修正以便最終滿足要求。也可以對不滿足要求的電腦做出限制,讓它訪問網絡的時間只能在規定的長度之內。
根據電腦的安全狀態來控制它的網絡活動,NAP可以說是一個相當先進的網絡安全解決方案,我想用戶們不必這么早就開始給微軟挑毛病,也許,這次的NAP真的不會讓我們失望。
【編輯推薦】
