什么是NAP?
NAP-Network Access Protection
![](/icons/94431dou.gif)
网络访问保护
![](/icons/94431dou2.gif)
我觉得其实还不完整
![](/icons/94431dou.gif)
我认为完整
![](/icons/94431de.gif)
应该叫做网络策略访问保护
![](/icons/94431dou2.gif)
他
![](/icons/94431de.gif)
作用是用策略来保护客户端对网络
![](/icons/94431de.gif)
访问
![](/icons/94431dou.gif)
确保整个网络
![](/icons/94431de.gif)
访问过程是达到
![](/icons/94431yi.gif)
定安全级别
![](/icons/94431de.gif)
![](/icons/94431dou2.gif)
07年初前我开始做08
![](/icons/94431de.gif)
时候
![](/icons/94431dou.gif)
当时
![](/icons/94431de.gif)
第
![](/icons/94431yi.gif)
反应就是防火墙
![](/icons/94431dou2.gif)
觉得是不是就是跟防火墙类似
![](/icons/94431de.gif)
![](/icons/94431yi.gif)
个东西
![](/icons/94431dou2.gif)
后来发现不是
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
而且完全不
![](/icons/94431yi.gif)
样
![](/icons/94431dou2.gif)
防火墙是通过网络
![](/icons/94431de.gif)
通讯接口
![](/icons/94431dou.gif)
比如IP、端口号的类
![](/icons/94431de.gif)
来控制访问连接
![](/icons/94431de.gif)
通或者断
![](/icons/94431dou2.gif)
简单理解防火墙是控制网络行为
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
而NAP是通过安全策略来控制网络中所有客户端
![](/icons/94431de.gif)
状态
![](/icons/94431dou2.gif)
可能这么说
![](/icons/94431dou.gif)
还是不够清楚
![](/icons/94431dou2.gif)
我觉得这个东西应该分开来看
![](/icons/94431dou.gif)
就是网络-策略-访问-保护
下面先来看看网络
![](/icons/94431dou2.gif)
对于NAP
![](/icons/94431de.gif)
网络我们理解
![](/icons/94431dou.gif)
可以大致分为 3类:
![](/icons/94431yi.gif)
个外网
![](/icons/94431dou.gif)
也就是没有受NAP管理
![](/icons/94431de.gif)
网络
![](/icons/94431dou2.gif)
这个网络可能是互联网
![](/icons/94431dou.gif)
也可能是某个个刚刚通过无线网络想想接入到网络中
![](/icons/94431de.gif)
某个计算机
![](/icons/94431dou.gif)
这是
![](/icons/94431yinwei.gif)
他还在处于
![](/icons/94431yi.gif)
个请求IP或者请求接入
![](/icons/94431de.gif)
阶段
![](/icons/94431dou.gif)
所以它应该算外部网络;第 2个是内网
![](/icons/94431dou.gif)
也就是受NAP管理
![](/icons/94431de.gif)
网络
![](/icons/94431dou2.gif)
这个网络指
![](/icons/94431de.gif)
就是我们已经接入进来
![](/icons/94431de.gif)
这些内部计算机
![](/icons/94431dou.gif)
比如刚才那个计算机如果已经接入进来了以后
![](/icons/94431dou.gif)
那它现在就处于
![](/icons/94431yi.gif)
个内部网络当中;最后
![](/icons/94431yi.gif)
个是
![](/icons/94431yi.gif)
个比较特殊
![](/icons/94431de.gif)
网络
![](/icons/94431dou.gif)
有点防火墙术语当中
![](/icons/94431de.gif)
DMZ
![](/icons/94431dou.gif)
但还是有区别
![](/icons/94431dou2.gif)
它是
![](/icons/94431yi.gif)
个更偏向内网
![](/icons/94431de.gif)
网络
![](/icons/94431dou.gif)
但又不全是
![](/icons/94431dou2.gif)
当然你可以去定义它
![](/icons/94431dou.gif)
如果有客户端被NAP放到了这个网络
![](/icons/94431dou.gif)
那它也许只能访问部分网络资源
![](/icons/94431dou.gif)
也许什么资源都不能访问
![](/icons/94431dou2.gif)
后面我们再来详细描述这个网络
![](/icons/94431dou.gif)
暂时我们就先理解为
![](/icons/94431yi.gif)
个受限制网络吧
网络分析完了
![](/icons/94431dou.gif)
在来讲讲策略
![](/icons/94431dou2.gif)
NAP中
![](/icons/94431de.gif)
策略叫做安全策略
![](/icons/94431dou.gif)
可能有人会跟防火墙中
![](/icons/94431de.gif)
策略去做对比
![](/icons/94431dou2.gif)
那么防火墙中
![](/icons/94431de.gif)
策略准确说应该叫规则策略
![](/icons/94431dou.gif)
比如如果是某个人
![](/icons/94431dou.gif)
在某台机器上
![](/icons/94431dou.gif)
通过某个应用
![](/icons/94431chengxu.gif)
进行访问
![](/icons/94431dou.gif)
那么我们可以决定是否允许通过
![](/icons/94431dou2.gif)
这个规则策略可能是允许用户A通过
![](/icons/94431dou.gif)
B不能通过
![](/icons/94431dou.gif)
或者允许A
![](/icons/94431chengxu.gif)
能够通过而B
![](/icons/94431chengxu.gif)
不能通过
![](/icons/94431dou2.gif)
但NAP中
![](/icons/94431de.gif)
安全策略是用于验证客户端是否达到某个在安全方面
![](/icons/94431de.gif)
特性
![](/icons/94431de.gif)
要求
![](/icons/94431dou2.gif)
比如在NAP中
![](/icons/94431dou.gif)
有
![](/icons/94431de.gif)
策略是要求客户端是否打开安全更新设置
![](/icons/94431dou.gif)
有
![](/icons/94431de.gif)
是要求防火墙是否处于启用状态
![](/icons/94431dou.gif)
有
![](/icons/94431de.gif)
是要求系统补丁是否打到某个级别或者某个时间点的后
![](/icons/94431dou.gif)
有
![](/icons/94431de.gif)
是要求防病毒软件Software
![](/icons/94431de.gif)
病毒库是否达到某个特定版本或者某个最新
![](/icons/94431de.gif)
时间点
![](/icons/94431dou.gif)
等等
![](/icons/94431dou2.gif)
可以看出来实际上策略就是
![](/icons/94431yi.gif)
把尺
![](/icons/94431dou.gif)
在防火墙中它是通过规则来定义这把尺
![](/icons/94431dou.gif)
在NAP中它是通过跟安全相关
![](/icons/94431de.gif)
状态或者叫属性来定义这把尺
![](/icons/94431dou2.gif)
有了这把尺
![](/icons/94431dou.gif)
我们才能在后面
![](/icons/94431de.gif)
过程中去衡量
![](/icons/94431yi.gif)
个客户端或者网络中
![](/icons/94431de.gif)
某个原因是否达到我们所期望
![](/icons/94431de.gif)
要求
![](/icons/94431dou2.gif)
这就是策略
![](/icons/94431de.gif)
作用
好
![](/icons/94431dou.gif)
有了
![](/icons/94431yi.gif)
把尺
![](/icons/94431dou.gif)
如果我们不用它
![](/icons/94431dou.gif)
也是白费
![](/icons/94431dou.gif)
下面就来说说访问
![](/icons/94431de.gif)
问题
![](/icons/94431dou2.gif)
我
![](/icons/94431de.gif)
理解应该叫访问监控或者访问验证
![](/icons/94431dou2.gif)
这里
![](/icons/94431de.gif)
意思是用刚才
![](/icons/94431de.gif)
那个些安全策略
![](/icons/94431dou.gif)
去监控所有网络中
![](/icons/94431de.gif)
客户端
![](/icons/94431dou.gif)
去跟客户端当前
![](/icons/94431de.gif)
状态进行对比
![](/icons/94431dou2.gif)
比如
![](/icons/94431yi.gif)
个策略是要求病毒库
![](/icons/94431de.gif)
版本必须要达到2.0版本
![](/icons/94431dou.gif)
结果发现有
![](/icons/94431yi.gif)
台计算机
![](/icons/94431de.gif)
病毒库版本还是1.8
![](/icons/94431dou.gif)
那这个时候NAP服务器就会将这台计算机标记为“不符合”
![](/icons/94431dou2.gif)
也就是说
![](/icons/94431dou.gif)
访问验证
![](/icons/94431de.gif)
过程就是用策略去对比客户端
![](/icons/94431de.gif)
状态信息是否符合我们所定义
![](/icons/94431de.gif)
策略
![](/icons/94431dou2.gif)
强调
![](/icons/94431yi.gif)
下
![](/icons/94431dou.gif)
这个验证过程是实时存在
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
也就是说
![](/icons/94431dou.gif)
![](/icons/94431yi.gif)
旦你修改了某些安全设置
![](/icons/94431dou.gif)
和NAP中
![](/icons/94431de.gif)
策略是相矛盾
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
那么会立即将你标记成“不符合”
![](/icons/94431dou2.gif)
反过来
![](/icons/94431dou.gif)
如果当你更新了某些配置
![](/icons/94431dou.gif)
比如病毒库版本时
![](/icons/94431dou.gif)
NAP会立即将你从“不符合”标记成“符合”
![](/icons/94431dou2.gif)
这种实时保护
![](/icons/94431dou.gif)
就是为了防止恶意连接在开始进入网络时通过伪装蒙混过关
![](/icons/94431dou.gif)
进入以后再开始进行破坏
![](/icons/94431dou2.gif)
据我所知
![](/icons/94431dou.gif)
像VPN
![](/icons/94431de.gif)
很多应用就是这样
![](/icons/94431dou.gif)
它只在网络连接开始
![](/icons/94431de.gif)
时候进行验证
![](/icons/94431dou.gif)
![](/icons/94431yi.gif)
旦通过验证
![](/icons/94431dou.gif)
以后
![](/icons/94431de.gif)
任何操作将不再受到限制
所有
![](/icons/94431de.gif)
计算机都有了
![](/icons/94431yi.gif)
个“符合”或者“不符合”
![](/icons/94431de.gif)
标记
![](/icons/94431dou.gif)
最后我们就能够简单
![](/icons/94431de.gif)
对其进行控制了
![](/icons/94431dou2.gif)
实际上这个过程很简单
![](/icons/94431dou.gif)
就是定义
![](/icons/94431yi.gif)
个规则
![](/icons/94431dou.gif)
如果是“符合”
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
我们允许它连入到哪个网
![](/icons/94431dou.gif)
不允许他连入到哪个网
![](/icons/94431dou2.gif)
如果是“不符合”
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
我们又允许它连入到哪个网
![](/icons/94431dou.gif)
不允许他连入到哪个网
案例展示
最后我们举个例子来看看整个NAP
![](/icons/94431de.gif)
工作流程是怎样完成
![](/icons/94431de.gif)
![](/icons/94431dou2.gif)
就拿刚才那个病毒库为1.8版本
![](/icons/94431de.gif)
计算机为例
首先
![](/icons/94431dou.gif)
他会通过有线或者无线网络接入进来
![](/icons/94431dou.gif)
在没有连入进来的前
![](/icons/94431dou.gif)
它对于NAP来说应该是
![](/icons/94431yi.gif)
个外网
![](/icons/94431dou.gif)
而他现在请求进入NAP
![](/icons/94431de.gif)
内网
![](/icons/94431dou.gif)
NAP就开始工作了
NAP中定义了
![](/icons/94431yi.gif)
条病毒方面
![](/icons/94431de.gif)
安全策略
![](/icons/94431dou.gif)
要求“病毒库版本必须达到2.0”
![](/icons/94431dou2.gif)
这时NAP
![](/icons/94431de.gif)
策略服务器将会对这个客户端进行验证
![](/icons/94431dou.gif)
结果发现其版本为1.8
![](/icons/94431dou.gif)
所以最后给这台计算机标记了
![](/icons/94431yi.gif)
个“不符合”
NAP这时启动保护规则
![](/icons/94431dou.gif)
其中定义了
![](/icons/94431yi.gif)
条规则是“不符合病毒策略
![](/icons/94431de.gif)
计算机
![](/icons/94431dou.gif)
将被指派到
![](/icons/94431yi.gif)
个只允许访问病毒更新服务器
![](/icons/94431de.gif)
受限制网络中”
![](/icons/94431dou2.gif)
这时
![](/icons/94431dou.gif)
这个客户端会发现
![](/icons/94431dou.gif)
他能够访问
![](/icons/94431de.gif)
只有这台病毒服务器
![](/icons/94431dou2.gif)
言下的意
![](/icons/94431dou.gif)
就是说
![](/icons/94431dou.gif)
如果你
![](/icons/94431de.gif)
病毒不符合现在
![](/icons/94431de.gif)
策略要求
![](/icons/94431dou.gif)
我就只允许你连接到病毒服务器
![](/icons/94431dou.gif)
将病毒库更新到所要求
![](/icons/94431de.gif)
版本
最后
![](/icons/94431dou.gif)
客户端通过连接病毒服务器
![](/icons/94431dou.gif)
将病毒库版本更新至2.0
![](/icons/94431dou2.gif)
我们刚才说过
![](/icons/94431dou.gif)
NAP是实时监控
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
所以这个时候
![](/icons/94431dou.gif)
这台机器
![](/icons/94431de.gif)
“不符合”标记
![](/icons/94431dou.gif)
会立即改为“符合”
这个时候NAP
![](/icons/94431de.gif)
保护规则定义了“符合”
![](/icons/94431de.gif)
客户端允许访问内部网络中
![](/icons/94431de.gif)
所有
![](/icons/94431de.gif)
服务器或数据资源
![](/icons/94431dou2.gif)
也就是说
![](/icons/94431dou.gif)
直到这个时候
![](/icons/94431dou.gif)
这个客户端才能真正
![](/icons/94431de.gif)
进入到企业网络中去访问资源
再次强调
![](/icons/94431dou.gif)
这个时候不能叫做NAP完成了验证过程
![](/icons/94431dou.gif)
![](/icons/94431yinwei.gif)
它是实时监控
![](/icons/94431de.gif)
![](/icons/94431dou2.gif)
如果你这个时候将病毒软件Software卸载了
![](/icons/94431dou.gif)
那你同样会被立即断开网络
![](/icons/94431dou2.gif)
至于对于
![](/icons/94431yi.gif)
个没有安装某个防病毒软件Software
![](/icons/94431de.gif)
客户端
![](/icons/94431dou.gif)
该如何处置
![](/icons/94431dou.gif)
那就取决于你
![](/icons/94431de.gif)
安全策略和访问规则如何设置了
特殊功能:强制保护
说到这里
![](/icons/94431dou.gif)
我想大家应该对NAP是如何回事
![](/icons/94431dou2.gif)
另外
![](/icons/94431dou.gif)
我在提
![](/icons/94431yi.gif)
个NAP里面
![](/icons/94431de.gif)
![](/icons/94431yi.gif)
个特殊
![](/icons/94431de.gif)
功能
![](/icons/94431dou.gif)
叫做强制保护
![](/icons/94431dou2.gif)
说它特殊
![](/icons/94431dou.gif)
是
![](/icons/94431yinwei.gif)
目前并不是所有
![](/icons/94431de.gif)
安全策略或访问规则都支持这个功能
![](/icons/94431de.gif)
![](/icons/94431dou2.gif)
目前微软自己
![](/icons/94431de.gif)
安全设置肯定是支持强制保护
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
比如防火墙设置
![](/icons/94431dou.gif)
自动更新设置等等
![](/icons/94431dou2.gif)
但
![](/icons/94431yi.gif)
些其他厂商
![](/icons/94431de.gif)
应用
![](/icons/94431dou.gif)
比如某个厂商
![](/icons/94431de.gif)
防火墙、防病毒软件Software
![](/icons/94431dou.gif)
由于现在2008中
![](/icons/94431de.gif)
NAP才刚刚起步
![](/icons/94431dou.gif)
可能目前
![](/icons/94431de.gif)
版本还不能够支持这个强制保护
![](/icons/94431de.gif)
功能
![](/icons/94431dou2.gif)
那强制保护到底如何回事呢
![](/icons/94431dou.gif)
下面还是举例来介绍说明吧
拿刚才那个举例来说
![](/icons/94431dou.gif)
他现在可以正常连接到内部网络当中
![](/icons/94431dou2.gif)
而NAP中有另外
![](/icons/94431yi.gif)
条跟防火墙有关
![](/icons/94431de.gif)
策略
![](/icons/94431dou.gif)
这个安全策略定义
![](/icons/94431de.gif)
是“必须开启防火墙”
![](/icons/94431dou2.gif)
而这时这个客户端
![](/icons/94431de.gif)
用户发现防火墙把某些端口给阻断了
![](/icons/94431dou.gif)
他希望能够使用
![](/icons/94431yi.gif)
些特殊
![](/icons/94431de.gif)
软件Software
![](/icons/94431dou.gif)
比如BT的类
![](/icons/94431de.gif)
![](/icons/94431dou2.gif)
可能他
![](/icons/94431de.gif)
权限足够
![](/icons/94431dou.gif)
所以自己就把防火墙给关闭了
这个时候
![](/icons/94431dou.gif)
按照我们刚才所说
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
这个客户端会立即打上
![](/icons/94431yi.gif)
个“不符合”
![](/icons/94431de.gif)
标记并且被断网
![](/icons/94431dou.gif)
或者分配到某个受限制网络中
![](/icons/94431dou2.gif)
但是这里如果启用了强制保护
![](/icons/94431de.gif)
话
![](/icons/94431dou.gif)
我们会发现网络并没有发生变化
![](/icons/94431dou.gif)
用户再次打开防火墙设置
![](/icons/94431de.gif)
时候会发现
![](/icons/94431dou.gif)
明明刚才把防火墙关掉了
![](/icons/94431dou.gif)
如何现在还是开
![](/icons/94431de.gif)
![](/icons/94431dou2.gif)
并且多次尝试
![](/icons/94431dou.gif)
都是这种现象
![](/icons/94431dou2.gif)
其实
![](/icons/94431dou.gif)
这就是强制保护
![](/icons/94431dou.gif)
或者叫强制符合策略
![](/icons/94431dou2.gif)
如果支持这个功能
![](/icons/94431de.gif)
安全组件
![](/icons/94431dou.gif)
会自动
![](/icons/94431de.gif)
将客户端
![](/icons/94431de.gif)
安全配置修改成安全策略所要求
![](/icons/94431de.gif)
那样
![](/icons/94431dou2.gif)
正是
![](/icons/94431yinwei.gif)
需要自动执行
![](/icons/94431dou.gif)
所以目前并不是所有
![](/icons/94431de.gif)
安全组件都能支持
![](/icons/94431de.gif)
![](/icons/94431dou.gif)
比如第 3方防病毒软件Software这种
![](/icons/94431dou.gif)
就需要第 3方厂商跟微软来合作才可能实现
好了
![](/icons/94431dou.gif)
说到这里
![](/icons/94431dou.gif)
相信大家应该对NAP有
![](/icons/94431yi.gif)
个比较清晰
![](/icons/94431de.gif)
认识了
![](/icons/94431dou.gif)
至少知道NAP是如何
![](/icons/94431yi.gif)
回事
![](/icons/94431dou.gif)
以及它如何工作
![](/icons/94431de.gif)
![](/icons/94431dou2.gif)
如果有兴趣继续深入研究
![](/icons/94431de.gif)
话
![](/icons/94431dou.gif)
可以去微软网站WebSite查阅相关
![](/icons/94431de.gif)
信息
当然也希望大家都来WinOS多多探讨
![](/icons/94431dou2.gif)
![](/icons/94431dou2.gif)
哈哈
![](/icons/94431dou2.gif)
![](/icons/94431dou2.gif)
广告来了
![](/icons/94431dou2.gif)
本文出自 “Bisheng.Hu” 博客
![](/icons/94431dou.gif)
请务必保留此出处http://bisheng.blog.51cto.com/409831/130481
延伸阅读
最新评论