微软网络接入保护解决方案

       微软的网络接入保护解决方案（NAP）是内置在Windows Vista、Windows 2008和Windows XP Services Pack 3中的一个强制的策略平台，它可以使得组织通过强制的系统健康要求的规章遵从更好的管理网络资产。通过NAP，组织可以生成定制的健康要求策略在客户端访问或者沟通以前，检查这些客户端的健康情况。并且可以自动的更新这些健康要求的规章遵从，以确保规章遵从的时效性。同时可以设定不符合这些要求的客户端采取可选择的操作，诸如：按照规章遵从的要求来更新计算机，或者强制的断开内网的链接等等操作。
      

       微软的NAP解决方案是如何工作的，见下图所示：

NAP解决方案主要有以下的组件组成：

NAP的客户端

       NAP客户端使用系统健康代理（SHAs）来维护并报告系统的健康情况，同时NAP强制客户端针对特定的网络和沟通的类型来报告系统健康状况。Windows Vista和Windows XP Services Pack 3已经包含了Windows安全健康代理（WSHA），这个代理的报告是通过Windows安全中心来进行维护的。微软提供为IPSec、IEEE 802.X认证、远程访问VPN链接、DHCP协议和远程访问服务器网关（TS）链接的NAP强制客户端。

NAP强制执行点

       NAP强制执行点是可以使用NAP的一组计算机或者网络设备，或者是指NAP用于NAP客户端的安全状态的评估的要求，并提供限制网络访问或者通讯的功能。NAP强制执行点的一个例子是健康注册授权（HRA），一台运行Windows Server 2008和IIS的计算机为合乎规格的计算机从CA认证中心获得健康证书，一个运行Windows Server 2008的VPN或者DHCP服务器和以太网交换机或者支持IEEE 802.1X认证的无线访问点。

NAP健康策略服务器

       NAP强制执行点使用一个网络策略服务器（NPS），作为一个健康策略服务器来评估NAP客户端的健康状态，以决定网络访问或者通讯是否被允许，和决定非合规的客户端执行校正的一系列动作。NPS是微软的Windows 2008中的RADIUS服务和代理实现的，NPS取代了Windows 2003中的IAS（Internet认证服务）服务。当作为NAP健康策略服务器时，NPS基于配置好的健康和网络策略来执行NAP客户端的系统健康评估。

       NAP健康策略服务使用系统健康校验器来（SHVs）校验NAP客户端的健康状态。一个SHV需要匹配NAP客户端上的系统健康代理（SHA）。第三方的厂商可以通过NAP API为自身的安全软件产品创建自己的SHAs和SHVs。


校正服务器

       校正服务是由非合规的计算机在限制网络中可以访问到得一系列服务器、服务和其他资源组成的。这些资源可以执行名称解析或者存储最新的软件更新或者计算机遵照健康要求的一些组件。举个例子，一个DNS服务器和病毒代码文件服务器，和软件更新服务器这些可以校正的服务器。