部署NAP保障网络安全解决方案

network

部署NAP保障网络安全解决方案网管员可以考虑这样一种情境：一位外出办公的销售人员携带着公司的笔记本电脑，花费了几周时间访问了大量的客户站点，并且连接到了其它网络，并使用了普遍的工具来检查开会期间的电子邮件，而且从其远程办公地点进行交易。由于此用户连接到了互联网，并缺乏与公司总部的连接，这就导致其操作系统补丁严重落后，其反病毒软件的识别特征已经过时，而且他偶尔禁用其Windows的防火墙。在从营销区域带着笔记本返回总公司之后，他将电脑连接到了公司的网络上用几天时间提供报表。你希望他这台拥有因欠保护而导致恶意软件滋生的笔记本电脑玷污你公司的网络吗?你有什么办法呢?幸运的是，现在已经有一些解决方案可以帮助你保护网络避免成为这台笔记本电脑的牺牲品。

在本文中，笔者将涉及Windows Server 2008中有助于网络保护努力的一些特性，并且将提及思科和Bradford的一些类似产品，以及开源的产品等。现在市场上有大量的这种产品，而且在还属于开源产品，因此，如果笔者所讨论的方案并不是贵公司所要使用的，你完全可以搜索到自己中意的方案。

作者注释

为了行文的方便，所用的词语“NAP(网络访问保护)”和“NAC(网络访问控制)”都包含了有助于防止配置错误的客户端利用公司的网络资源的全部方案。

网络访问保护如何工作

对NAP产品所提供的服务我们可用一句话来概括：NAP系统在整个企业的范围内增强了组织现有的安全性策略，并防止违反策略(不遵循公司安全策略)的系统访问网络。

NAP系统通过分析端点而完成这种任务，那就是说，分析每个客户端计算机和设备的状态，并根据因素的任何数量而做出访问与否的决定。这种因素可以包含操作系统更新的状态、病毒定义的时间、病毒控制软件的存在、Windows防火墙运行与否等等。

NAP系统可以防止架构免受恶意软件的危害，并可以减少你的或你的客户的私有信息落于罪恶之手的机会。NAP系统还可以通过使用特定代理的使用而防止病毒和间谍软件在组织内的传播。

许多NAP系统为了将不遵从策略的系统与遵从策略的系统隔离开来，而运用了某种隔离方法。就微软的NAP解决方案而言，你可以将使用DHCP(将其置于一个独立的子网中，被隔离的客户端只能访问补救服务，即修复其系统)隔离出来，它可以使用802.1X、IPSec(干净的系统可以得到一个指明其健康状态的证书)或VPN隔离方法(对远程客户端而言)。

NAP不仅用于前面提及的笔记本电脑的情况，你可以考虑临时访问人员的笔记本电脑对公司网络的影响。为了防止其将一些潜在的恶意软件传播到公司的网络上，你可能想在授权他们访问之前，使其通过NAP系统来运行。NAP对于保障组织内所有的系统(不管是桌面系统还是笔记本电脑)维持在一个特定的健康水平，并保障可能会通过VPN方式连接到公司网络的家用电脑满足某种最低的健康标准。事实上，一些NAP系统可以采取一些自动化的措施来帮助系统符合要求。

network

Windows Server 2008的网络访问保护

与Windows Server 2008一起提供的一项重要举措就是微软进入了网络保护市场的终极举措。在与Windows XP (SP 3) 或 Windows Vista 客户端结合在一起时，微软的NAP展示出了一套完整的访问保护方案。

为了把握Windows Server 2008的NAP，你应当理解构成一个总体的综合性方案的大体要素。笔者在此不打算讨论一些需要知道的关于VISTA的词语;虽然这些词语是微软所用的，不过其背后的概念仍然适用于其它的网络访问系统。

其它的NAP选择

如果我们在此不谈谈其它的NAP方案就有点儿不像话：

1. 思科的NAC设备

几年前，网络设备公司思科收购了Perfigo，后者本是一家领先的网络访问控制系统公司，思科将其设备改为Cisco Clean Access。此后又将其改名为思科NAC设备。如微软的方案一样，思科的NAC设备是一个授权网络管理员在允许用户登录到网络上之前进行认证、授权、评测、仲裁用户及其计算机的方案。简言之，它可将你的网络及其上的其它设备保持在一种健康状态。思科的NAC设备拥有三个总体的部件维持此方案的运行：

清洁的访问服务器(Clean Access Server)：此服务器可以对端点实施评估，并增强基于客户端计算机一致性的访问特权。

清洁的访问管理器(Clean Access Manager)：此管理器是所有独立的清洁的访问服务器的一个集中管理控制台，它用于定义端点必须遵循的策略。

清洁的访问代理(Clean Access Agent)：这是驻于客户端计算机上的软件部件，它可确认和增强客户端的健康。

2. 开源的Packet Fence

Packet Fence通过其开源和免费特性而将NAC带给了中小企业和普通的网络。Packet Fence已经部署在许多学院环境中，并利用其大量的开源工具，包括Fedora、LAMP、Perl、Snort以实现其目标。

由于其特性，Packet Fence结构化极强，并可轻易得到。事实上，如果你想立刻开始测试Packet Fence，可以下载一个VMware虚拟机，可在此虚拟机上开始测试，无需安装。当然，你可以使用VMware Workstation 或 ESX Server或免费的 VMware Server来执行你的测试。

network

就其特性而言，Packet Fence包括如下几个方面：

使用任何认证的Apache支持对用户进行认证

基于注册和计划的漏洞扫描

强制性的基于端口的用户注册和补救

使用DHCP实现被动式操作系统“指纹识别”技术

禁止不支持的操作系统或基于NAT的路由器

自动注册游戏控制台或Voip电话

使用DHCP记录基于位置的信息

保护多个网络和802.1Q中继

基于Web的图形用户界面

在这里，通过查看这个列表，你会注意到一些常见的主题，存在着一个策略定义(也就是阻止不支持的操作系统)，认证、修复等等,所有这些部件都是为了运作一个成功的NAC系统。

小结

本文所涉及的几种NAC产品仅仅触及到了NAC市场空间的基本方面，因此在部署和投资于此类产品之前一定要进行深入的调查。