NAP-Network Access Protection,网络访问保护。我觉得其实还不完整,我认为完整的应该叫做网络策略访问保护。他的作用是用策略来保护客户端对网络的访问,确保整个网络的访问过程是达到一定安全级别的。07年初前我开始做08的时候,当时的第一反应就是防火墙。觉得是不是就是跟防火墙类似的一个东西。后来发现不是的,而且完全不一样。防火墙是通过网络的通讯接口,比如IP、端口号之类的来控制访问连接的通或者断。简单理解防火墙是控制网络行为的,而NAP是通过安全策略来控制网络中所有客户端的状态。可能这么说,还是不够清楚。我觉得这个东西应该分开来看,就是网络-策略-访问-保护。
下面先来看看网络。对于NAP的网络我们理解,可以大致分为三类:一个外网,也就是没有受NAP管理的网络。这个网络可能是互联网,也可能是某个个刚刚通过无线网络想想接入到网络中的某个计算机,这是因为他还在处于一个请求IP或者请求接入的阶段,所以它应该算外部网络;第二个是内网,也就是受NAP管理的网络。这个网络指的就是我们已经接入进来的这些内部计算机,比如刚才那个计算机如果已经接入进来了以后,那它现在就处于一个内部网络当中;最后一个是一个比较特殊的网络,有点防火墙术语当中的DMZ,但还是有区别。它是一个更偏向内网的网络,但又不全是。当然你可以去定义它,如果有客户端被NAP放到了这个网络,那它也许只能访问部分网络资源,也许什么资源都不能访问。后面我们再来详细描述这个网络,暂时我们就先理解为一个受限制网络吧。
网络分析完了,在来讲讲策略。NAP中的策略叫做安全策略,可能有人会跟防火墙中的策略去做对比。那么防火墙中的策略准确说应该叫规则策略,比如如果是某个人,在某台机器上,通过某个应用程序进行访问,那么我们可以决定是否允许通过。这个规则策略可能是允许用户A通过,B不能通过,或者允许A程序能够通过而B程序不能通过。但NAP中的安全策略是用于验证客户端是否达到某个在安全方面的特性的要求。比如在NAP中,有的策略是要求客户端是否打开安全更新设置,有的是要求防火墙是否处于启用状态,有的是要求系统补丁是否打到某个级别或者某个时间点之后,有的是要求防病毒软件的病毒库是否达到某个特定版本或者某个最新的时间点,等等。可以看出来实际上策略就是一把尺,在防火墙中它是通过规则来定义这把尺,在NAP中它是通过跟安全相关的状态或者叫属性来定义这把尺。有了这把尺,我们才能在后面的过程中去衡量一个客户端或者网络中的某个因素是否达到我们所期望的要求。这就是策略的作用。
好,有了一把尺,如果我们不用它,也是白费,下面就来说说访问的问题。我的理解应该叫访问监控或者访问验证。这里的意思是用刚才的那个些安全策略,去监控所有网络中的客户端,去跟客户端当前的状态进行对比。比如一个策略是要求病毒库的版本必须要达到2.0版本,结果发现有一台计算机的病毒库版本还是1.8,那这个时候NAP服务器就会将这台计算机标记为“不符合”。也就是说,访问验证的过程就是用策略去对比客户端的状态信息是否符合我们所定义的策略。强调一下,这个验证过程是实时存在的,也就是说,一旦你修改了某些安全设置,与NAP中的策略是相矛盾的,那么会立即将你标记成“不符合”。反过来,如果当你更新了某些配置,比如病毒库版本时,NAP会立即将你从“不符合”标记成“符合”。这种实时保护,就是为了防止恶意连接在开始进入网络时通过伪装蒙混过关,进入以后再开始进行破坏。据我所知,像VPN的很多应用就是这样,它只在网络连接开始的时候进行验证,一旦通过验证,以后的任何操作将不再受到限制。
所有的计算机都有了一个“符合”或者“不符合”的标记,最后我们就能够简单的对其进行控制了。实际上这个过程很简单,就是定义一个规则,如果是“符合”的,我们允许它连入到哪个网,不允许他连入到哪个网。如果是“不符合”的,我们又允许它连入到哪个网,不允许他连入到哪个网。 9 7 3 1 2 4 8 :
本文来源:不详 作者:佚名