集成TMG 2010，提升Windows Server 2008中的NAP FOR IPSEC在企业中的应用

NAP 技术介绍：NAP从字面上理解是网络访问保护。NAP提供网络准入技术，允许符合要求的客户端进入企业内部网，限制不符合要求的客户端进入企业网络的隔离区。并为隔离区的客户端计算机提供自动修正和补救，一旦符合健康要求即可进入正常网络。NAP是由客户端健康策略创建、强制及补救技术组成。NAP定义了客户端操作系统和关键软件要求的配置和更新条件。

NAP技术内置于Windows 操作系统中，属于内置功能。支持NAP的客户端操作操作系统有Windows XP SP3、Windows Vista、Windows 7，服务器端操作系统有Windows Server 2008。通过激活和配置管理，可实现NAP 技术。

NAP For IPSEC：NAP的技术的实现基于以下几种情形：DHCP、VPN、802.1X和IPSEC。假如客户端计算机是静态的IP参数，也不需要建立VPN，也不使用802.1X，那么剩下的就只有 NAP  For IPSEC.下面就着重介绍NAP FOR IPSEC的概念和技术机制。 NAP FOR IPSEC涉及的概念和名词术语有： ◆SHA：System Health Agents,系统健康代理，产生入网客户端健康陈述（SoH），代表一个客户机健康状态的快照； ◆NAP Agent: NAP代理，收集和管理健康信息； ◆NAP EC: NAP Enforcement Client，NAP执行客户端，传递健康状态给NAP服务器，NAP服务器提供网络访问策略。对于不同的网络访问和通讯类型，都有NAP EC模块相匹配.例如，对于IPSEC通讯，就有对应的NAP EC FOR IPSEC; ◆NAP Capable Client Computer：有NAP内置功能的客户端操作系统计算机 ，由SHA、NAP Agent 、NAP EC三个模块组成。只要计算机安装Windows XP SP3、Windows Vista、Windows 7就能满足这一要求； ◆SoH：英文全称为Statement of Health ,健康陈述（补丁状态和系统配置等）； ◆SoHR: SoH Response ,对SoH的应答.应答有两种(YES /NO).YES－代表健康状态满足要求，同意颁发证书；No－代表不满足健康要求，提供修正指导，提供受限访问； ◆HRA 服务器：英文全称是Health Registration Authority Server ，健康注册授权机构。是服务器端NAP ES模块，与客户端NAP EC模块相匹配。向客户端提供一些所需的网络访问能力，传递客户端健康状态给网络策略服务器，执行网络限制访问； ◆SHV:英文全称是System health Validator,即系统健康验证器，是NAP平台架构的服务器端组件，与客户端的SHA相对应。SHV接受客户端SHA传来的SoH，返回SoH应答。通知客户端如果SHA不满足要求的健康状态，应如何执行的行为。 ◆NPS: 英文全称是Network Policy Server，即网络策略服务器。由SHV、策略及NAP管理模块组成。策略定义了客户端的健康。NPS验证定义的健康策略。 企业安全网络：客户端符合健康策略，允许进入企业内部网络，授权完全的网络访问； ◆受限网络：客户端不符合健康策略，不允许进入企业网络，网络访问受到限制。客户端可以进行有限的访问，如可以访问救援服务器，安装所需的补丁，进行恰当的配置。通过补救，客户端可以恢复健康状态； ◆Remediation Servers: 可以翻译为救援、补救和修正服务器。客户端的ＳＨＡ和救援服务器相对应。能从救援服务器下载最新的补丁和病毒更新； ◆Network Access Limitation Enforcement Methods:即网络访问限制执行方法。NAP for IPsec使用的方法是：在受限网络的客户计算机，不能获得证书机构颁发的健康证书。在同关键服务器通讯时，没有证书就无法建立IPSEC通讯；

NAP FOR IPSEC 技术机制： 1、NAP 客户端请求网路访问，提供系统健康状态。发送SoH请求； 2、HRA接受SoH请求，中继请求至策略服务器； 3、依据健康策略，策略服务器SHV对SoH请求作出应答，返回给HRA； 4、如果客户健康状态不符合健康策略要求，将被受限访问。HRA返回SoH请求应答给客户端， NAP客户端不能获得健康证书，客户端不

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!