Windows Server 2008 中策略驱动网络访问

核心提示： 在必须限制未通过合规性检查的设备的同时，确保它们可以进行隔离和修正也非常重要，Windows Server 2008 中策略驱动网络访问(7)，在启用防火墙或防病毒解决方案的情况下，您可以使用 NAP 自动修正设备;或者以手动方式强制其进入隔离区，然后在其上部署 NAP，实施策略驱动的网络

在必须限制未通过合规性检查的设备的同时，确保它们可以进行隔离和修正也非常重要。在启用防火墙或防病毒解决方案的情况下，您可以使用 NAP 自动修正设备;或者以手动方式强制其进入隔离区。此时，设备可以访问带有最新补丁程序、更新和签名的修正服务器。一旦用户手动更新设备，在通过合规性验证后，便会授予其对网络的访问权限。

随着普及程度的提高，网络访问已越来越简单。但是，这又带来了额外的负担，必须确保设备在任何访问机制下都能保持良好的运行状况且符合规定。计算机可通过兼容 802.1X 的常规交换机或无线接入点访问网络，也可以使用 VPN 或基于终端服务的远程访问连接从住宅进行远程连接。NAP 不但可以确保通过不同机制联网的计算机满足规定要求，还在 DHCP 服务器、802.1X 交换机、VPN 网关、终端服务网关或兼容 802.1X 的无线访问点提供了强制执行措施。

在图 4 中，已使用服务器和域隔离解决方案对网络进行了隔离。将 NAP 与这样的隔离网络配合使用还有其他益处，那就是可以确保联网计算机的运行状况合规性。客户端在启动后，将其运行状况声明 (SoH) 发送给运行状况注册授权机构 (HRA)，它是一个证书服务器。HRA 向 NPS 递交 SoH 进行策略验证。如果 SoH 有效，HRA 会向 NAP 客户端签发运行状况证书，客户端即可与安全资源进行基于 Ipsec 的安全通信。如果 SoH 无效，HRA 会告知 NAP 客户端如何更正其运行状况，但不签发运行状况证书。如果其他计算机需要运行状况证书以进行 IPsec 验证，则 NAP 客户端无法与它们通信。但是，NAP 客户端可以与修正服务器通信，以便自身达到合规性。

图 4 使用 IPsec 强制措施的网络访问保护

综述

尽管我们只是介绍了 Windows Server 2008 中新特性和功能的皮毛，但识别每个组件如何构建在原有基础之上非常重要。与传统的深层防御方法相比，这一转变源自 Windows Server 2008 中提供的基础策略架构，例如，Active Directory 组策略。

您将可以为定义和部署策略驱动的网络访问解决方案奠定坚实的工作基础，同时还能利用现有投资，这都归功于此集成式方法。通过将访问决策上升至更具逻辑性且以策略为中心的层，您将有机会根据自己的需要在“便利访问”和“更高的安全性”之间寻求一种平衡行为。

Microsoft 已发布了大量指导性资料，它们深入剖析了本文章中提到的技术领域。我们建议您首先查看这些文章和分步指南，以便对各种功能的运行有个大致印象。(侧栏“Networking Resources”(联网资源)中的链接可帮助您入门。)然后，考虑部署每个阶段，注意使前一阶段为后一阶段打下良好的基础。

例如，按照“具有高级安全性的 Windows 防火墙”一节中所述，为您以任务为中心的应用程序创建一组这样的验证防火墙规则。达到要求后，您可以扩展连接安全性规则以隔离您的网络域，然后在其上部署 NAP。实施策略驱动的网络访问政策的益处很大，包括帮助您与日新月异的公司网络保持步调一致。