一点即通 如何利用NAP确保网络安全

简介：对于商业客户来说，保证宝贵的网络资源不被未经许可的用户使用，是一个很重要的问题。在本文中，斯科特·洛威将会向大家介绍三种不同的软件，它们都可以保护用来保护网络系统的安全。

我们经常可以看到这样的情景：一个销售员利用没有得到很好保护的笔记本电脑花费大量的时间访问很多客户的网站，并接入他们的网络；会议中间，利用无所不在的星巴克无线连接上网检查电子邮件，并且通过远程办公功能运着业务。由于不能随时连接到互联网上，他的操作系统的安全补丁和防病毒的安全签名几周没有更新，还要加上使用时不注意关闭了Windows防火墙。在他回到公司汇报工作的时间，你希望这台可能包含了大量潜在的恶意软件的笔记本电脑接入公司的网络么？值得庆幸的是，下面我们就将向你介绍保护网络不会被管理不善的笔记本电脑破坏的解决方案。

在本文中，我将重点介绍即将到来的Windows Server 2008的网络保护功能，还将涉及到思科和Bradford的类似相关产品。在商业和开放源代码领域，有几十款类似的产品和解决方案，因此，如果本文所讨论的解决方案对于贵公司来说并不可行，你还可以使用Google找到一个合适的解决方案。

作者的提示
在本文中，“网络访问保护”和“网络访问控制”指代的是所有有助于防止未经许可的客户端使用网络资源的解决方案。

网络访问保护功能是怎么工作的
总起来说，所谓的网络访问保护功能就是利用企业已经设置好的安全策略对网络进行管理，防止未经许可不符合规范的客户进入网络系统。

网络访问保护系统通过对终端的分析认证完成这个任务。这里的终端包括，每一台连接到网络上的客户端电脑和相关设备。分析的内容包括，操作系统的更新情况，病毒库的更新情况，是否存在病毒和木马软件，Windows防火墙服务是否正在运行以及更多的方面。

网络访问保护系统可以保护网络免受恶意软件的攻击，保证系统的安全运行，还可以减少包括公司和客户的隐私信息泄露在内的事件发生的可能。而且，网络访问保护系统还可以避免通过代理传播的病毒和间谍软件。

很多网络访问保护系统都采用某种形式的检测方法，以便分隔不符合规范的客户端。在微软的网络访问保护解决方案中，你可以使用DHCP（通过单独的子网对客户端进行隔离）、802.1X、IPSec（通过数字证书对系统进行分析和清理）或者VPN（远程客户端）等方法对客户端进行分类管理。 

在前面我说过，网络访问保护系统是为了防止某些不安全的笔记本电脑对网络系统的威胁。因此，在客户的笔记本电脑接入公司网络之前，可以通过网络访问保护系统对其进行检测，防止可能的病毒和恶意软件在网络上蔓延。网络访问保护系统也可以确保，包括笔记本电脑和台式机在内的所有终端，保持在一个良好的安全水平之上，并且在家用电脑连接到公司网络时，确保其安全。实际上，一些网络访问保护系统可以自动对系统兼容性进行调整。

Windows Server 2008的网络访问保护功能
作为微软进军网络保护市场的最新成果，Windows Server 2008可以和Windows XP （service pack 3）或者Windows Vista客户端，组成一个完整的微软网络访问保护解决方案。

为了掌握Windows Server 2008中的网络访问保护功能，你需要了解基本要素，以便建立一个整体全面的解决方案。前面我已经介绍过一些Windows Vista的情况，这些将帮助你对解决方案进行了解。尽管这些术语是微软专用的，但其背后的设计理念，也适用于其他网络接入系统。

其它网络访问保护系统的情况
如果不提及目前市面上在售的其它网络访问保护系统的情况，对我来说，是一种失职。

思科NAC装置
几年前，网络设备公司思科购买领先的网络访问控制系统商Perfigo ，并将其产品改名为思科NAC设备。最近，他们将产品再次改名为思科NAC装置。像微软的解决方案一样，思科NAC装置是一个“在用户进入网络前，允许网络管理员来进行验证，授权，评估，并采取补救措施等操作的执行解决方案” 。总之，这可以让网络和其它网络上的终端处于一个安全的状态。思科NAC装置有三个部分组成：

Clean Access Server：此服务器可以对端点实施评估，并增强基于客户端一致性的访问特权。
Clean Access Manager：集中管理思科Clean Access解决方案，包括执行策略和修补服务。
Clean Access Agent: 可选的免费软件，提供更严格的终端策略符合评估，并同时简化可管理与不可管理环境中的修补流程。

开放源代码的Packet Fence
Packet Fence是一个开放源代码和免费的网络访问控制系统，由包括Fedora、LAMP、Perl和Snort在内一系列的开放源代码工具和相关的应用环境组成。

从其性质而言，Packet Fence是非常结构化的。事实上，如果你要进行相关测试的话，可以下载一个VMware虚拟机，直接进行测试，而不必进行安装。你也可以使用VMware工作站或ESX服务器或免费的VMware服务器执行相关的测试。

在功能方面，Packet Fence包括了下面的部分：

身份验证的Apache支持
基于登陆和日程的安全性扫描
专用的基于Portal技术的用户注册和补充系统
DHCP的被动操作系统验证
禁止不受支持的操作系统或基于NAT的路由器
自动登陆游戏控制台或VoIP电话
DHCP基于位置信息的日志
多网络保护和802.1Q trunks
基于网络的图形界面

通过阅读这份清单，你可以发现，对于一个成功的网络接入系统来说，下面的功能是必备的：安全策略（禁止不受支持的操作系统） ，身份认证，修复以及其它相关事项。

总结
在本文中，你了解了微软即将发布的网络接入保护系统以及包括商业和开放源代码在内其它两个类似的产品。在这三种产品中，其中可能有适合贵公司使用的。但是，只有对相关市场进行了深入了解的时间，才能作出正确的决策。因此，在决策前，请务必作好相关的研究和调查。