剖析企业眼中的微软网络访问解决方案

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：里克·范·欧沃

在本文中，里克·范·欧沃介绍了企业对微软网络访问保护解决方案的认识情况，以及安装时需要考虑的问题。可以说，这是一个网络访问防护解决方案的纲要，可以帮助你开始规划实施过程。
-------------------------------------------------------------------------------------------

选择微软网络访问保护（MS-NAP）解决方案，可以让你的网络受到额外的保护。对于需要最高级别安全性的网络来说，可以对每个点进行保护；不过，只有经过业务或者技术的沟通，才能得出所需要的适合的网络访问保护解决方案。如果全面实施微软网络访问保护解决方案的话，将会用到很多不同的沟通方式。微软网络访问保护解决方案最强大的一点是可以选择全部或者局部地使用。在本文中，我们将对企业需要了解的一些问题进行介绍。

微软网络访问保护解决方案的实施类型

如果你考虑在自己的网络环境中实施微软网络访问保护解决方案的话，必须在规划和测试阶段投入足够的时间以便保证整个实施过程的顺利。确定最好的实施方案是至关重要的。微软网络访问保护解决方案可以根据环境的不同，在功能性和复杂性上进行调整。

实施类型

微软网络访问保护解决方案的实施遵循下面的四条规则。

1.虚拟专用网：虚拟专用网服务器需要从网络策略服务器NPS那里获得相关策略以便对发出请求的客户端进行响应和验证。需要注意的是，这个不能和Windows Server 2003操作系统的网络接入检疫控制功能相混淆。

2.动态主机配置协议：动态主机配置协议服务器需要从网络策略服务器NPS那里获得相关策略以确定客户端是否遵循。

3.因特网协议安全性：强制执行的因特网协议安全性检测机制是微软网络访问保护解决方案提供的最强网络接入保护。它可以执行相关策略，并拥有对本地系统进行配制限制访问的权限。

4.802.1x协议：微软网络访问保护解决方案中的客户端验证采用了802.1x协议，是目前硬件层最好的解决方案。幸运的是，802.1x协议是由微软、思科、惠普、Trapeze和Enterasys共同研发的。

每一种实施都会遇到不兼容的客户端的情况，因此，需要对网络设置进行调整。在对网络进行调整的时间需要周详的计划。为了保证客户端（管理或未被管理）可以得到必要的更新或程序的支持，工作人员的干预将是关键，只有这样才能成功地实施微软网络访问保护解决方案。成功实施微软网络访问保护解决方案的第一步，选择相应的实施方式是很重要的。

规划好在网络发生问题时如何进行修复是非常重要的。象是否通过网络进行更新；是否允许访问防病毒软件的更新和安装；以及最重要的，是否自动进行客户端的自动更新而不需要客户端人员的容许，这些问题都是需要事先解决的。

网络策略服务器（NPS）的控制

在规划微软网络访问保护解决方案的实施步骤的时间，对Windows Server 2008操作系统的网络策略服务器的策略进行深入的了解是非常重要的。这台服务器扮演什么样的角色，将确定系统的配置。这台服务器扮演的角色是非常重要的，涉及到其它服务器的策略和设备的运行。网络策略服务器的策略也将在微软网络访问保护解决方案的远程用户拨号认证系统服务器中对客户进行管理。

现实世界中系统管理员的影响和支持

现实世界中，很多网络管理员都处于过度工作状态很难找出时间对网络访问保护解决方案进行妥善规划，更不用说进行全面测试和实施了。从一个快速的非官方的统计调查结果可以看出，，网络管理员将“这将是非常好的，但是我没有时间”作为对网络访问保护解决方案的回答。不论这个网络访问保护解决方案来自微软或者其它的网络公司，答案都是相当一致的。

从持续不断的支持角度来看，微软网络访问保护解决方案可以通过不同的方式实施。如果网络的调整可以让客户端变得兼容和功能强大，那这样做最直观，在支持方面的关注就可以减少。

网络硬件支持

如果选择了支持802.1x协议的实施方法，就会面临到独特的挑战。为什么是独特的呢？因为从网络硬件和服务器操作系统的角度来看，需要保证微软网络访问保护解决方案的兼容性。802.1x身份验证机制需要网络硬件供应商提供额外的端口，以确保端到端的兼容性。

对客户和域的组策略对象的新服务

对于采用微软网络访问保护解决方案的客户端来说，新的服务和本地配置的要素被提供了。为了对这些要素进行配置管理，一个活动目录域组策略将是最好的方式，可以将其部署到现有的大部分系统中。微软网络访问保护解决方案的新配置要素不支持Windows Server 2003操作系统下的活动目录域组，但可以在Windows Server 2008操作系统域下运行。也存在其它对客户端的新服务进行配置的方法，就是在本地域的组策略编辑器中进行优化，并通过连接一个新的组策略到组织单元或者域。

由于Windows XP客户端的Service Pack 3补丁尚未提供，所以不清楚需要什么样的配置，在微软网络访问保护解决方案中的Windows XP客户端将被如何管理也并不清楚。如果可能的话，大概是通过Windows Server 2008操作系统的活动目录域。