当今网路管理员面对的一个严峻的挑战是确保连线到私有网路的计算机得到过更新，符合企业的安全策略。这个複杂任务通常牵涉到维护计算机健康，如果计算机是家庭计算机或移动笔记本电脑（不在管理员控制的範围之内），则强制要求在这些计算机上实现尤为困难。

比如说，攻击者可以先攻击一台没有及时更新补丁的家庭计算机或公司内部的计算机，然后利用这台计算机连线到私有网路，发起攻击。在现实工作中，管理员通常缺乏足够的时间和资源来弥补这些漏洞。

Network Access Protection (NAP)for Windows Server 2008和Windows Vista提供了一个组件和应用程式接口，帮组管理员确保强制的安全健康策略得以贯彻。

开发人员和管理员可以创建一个解决方案，来检查连线到网路的计算机，并且提供所需要的更新资源（叫健康更新资源），对于不更新的计算机限制接入。，NAP的强制更新功能可以和其他厂商的软体整合，来帮助实现对接入计算机特定系统和软体进行检查。

其目的是为了最终实现:监视计算机访问网路是否符合健康策略要求;自动更新计算机，使其符合健康策略要求;或者，限制不符合安全策略要求的计算机，将其限制在受限制的网路中。

在Windows 2008的NAP环境，是一种典型的客户机/伺服器架构，其基本结构如图1所示。

客户环境包括SHA（系统安全代理）,QA（隔离代理）和EC（强制客户），各个组件的作用如下:

系统安全代理(SHA)检查和声明客户的健康状态(补丁状态、病毒签名、系统设定等)，每一个SHA定义一个系统健康要求或一组系统健康要求。比如一个SHA定义防病毒签名，一个SHA指定作业系统更新等等。Windows Vista 和 Windows Server 2008 包含了一个Windows Security Health Valuator SHA。其他的软体厂商或微软可以提供额外的SHA到NAP平台。

强制客户端运用强制执行的方法，每个NAP EC被定义为不同的网路接入或连线类型。

修补伺服器用来安装需要的更新和设定以及应用程式，将客户计算机转化为健康状态，不符合SHA检查要求的计算机被路由到修补伺服器。

网路接入设备是有智力判断赋予或拒绝客户访问网路的请求（防火墙，交换机或一台伺服器）的设备。

系统健康伺服器通过定义客户端上的系统组件的健康要求，提供客户端所要依从的策略。

NPS server包括QS和System Health Validator。QS sits在IAS Policy伺服器上，执行SHV检查下来相配的动作，SHV检查安全代理生成的声明。

很多人会觉得Windows 2008的NAP是一个全新的东西，但实际上，上文提到的四种客户端的强制方式，它们中的大多数都是以前某项技术的延续，了解这种技术发展的脉络，对于我们理解NAP的强制方式有很大的帮助。

，我们来看一看第一种强制方式:DHCP的方式:在Windows 2000和Windows 2003的DHCP伺服器上，引入了一种分配IP位址选项（option）的方式，类（class），我们可以在伺服器上设定“用户定义类”或“厂商定义类”，并为这些类设定独特的Options。

当时就有很多的用户自己尝试着採用这个class类技术，让企业内部的私有计算机属于一个类，外来访客的计算机得到的IP位址的选项将和企业内部计算机得到的地址选项不同，这样来控制访客计算机的行为。

而Windows 2008的基于DHCP的NAP可以看成该项技术的发展和延伸。其基本思想就是将不符合健康检查要求的计算机归属于一个类，给这个类的计算机特殊的Options，用路由器的默认网关等选项来约束，这样，这些计算机就被限制在特定的网路中了。

，第二种NAP的强制方式是採用IPSEC，这种方式算是最具有微软特色的NAP的解决方案了，其他厂商的类似产品，往往需要网路基础架构的支持，比如Cisco的NAC等等，但採用IPSEC解决方案的NAP，可以完全摆脱网路基础架构的束缚，在主机层面上实现网路的接入保护。

其实，这种方式的NAP实际上也是传统的Windows上的IPSEC技术延伸，在传统的Windows IPSEC的验证方式上，有三种方式，分别为AD、CA和预共享密钥。在验证通过后，可以通过设定“客户端”、“伺服器”、“安全伺服器”的策略来控制计算机之间的通讯。

其中，最自由的方式毫无疑问是採用CA认证中心所颁发的证书来进行验证，我们可以很自然的想到，只要由一个CA自动给符合健康要求的计算机办法健康证书，就可以实现限制非健康计算机通讯的要求。

而Windows 2008基于IPSEC的NAP的基本思想就是建立在颁发健康证书的基础上的。

基于IPSEC的强制NAP将物理网路分割为3个逻辑网路，一台计算机在一个时刻只能在三个逻辑网路之一之中。

安全网路 是有健康证书的计算机集合，要求接入的计算机採用IPSEC验证，并採用健康证书。（在一个被管理网路，大多数伺服器和客户机属于AD域，在安全网路中。）

边界网路 有健康证书，但不需要接入到私有网路，进行IPSEC验证尝试。在边界网路中的计算机必须能访问整个网路的计算机，边界网路通常只由HCS和NAP修复伺服器。

受限网路 没有健康证书，包含不符合NAP规范的客户计算机的集合。

大家会很自然的，将这种对网路的逻辑划分的方法，和传统IPSEC的client，server，securer server三个预定策略进行对比，会发现两者非常相似。

第三种NAP的强制方式是针对VPN接入的客户的，不受管理的家庭计算机对网路管理员又是一个挑战，因为IT人员不能直接物理访问到这些计算机。

使用NAP，当用户使用VPN连线的时候，管理员可以检查需要的程式，注册表设定，档案，家庭计算机会被限制在受限网路中，直到健康状态符合要求。

本质上，VPN的NAP和Windows 2003时代的隔离VPN网路很相似，Windows 2003的隔离VPN网路需要很複杂的编写脚本，对于大多数的系统管理员而言，实在是太麻烦了，而在Windows 2008的VPN NAP设定则要简单多，对于管理员而言，更容易部署和实施。