1、組成：
要想在企業(yè)內(nèi)部部署NAP，如上圖所示，要具備以下幾部分。
1）客戶端：
在客戶端，主要有兩部分組成。一個(gè)是啟用NAP的客戶端，一個(gè)是“補(bǔ)救服務(wù)器”。
由于NAP設(shè)計(jì)的目的是保證訪問企業(yè)內(nèi)部的計(jì)算機(jī)的“健康”，所以，對(duì)于不滿足健康狀態(tài)的計(jì)算機(jī)，并不是禁止訪問，而是限制訪問，因此從客戶端角度，自然會(huì)提供相應(yīng)的用于補(bǔ)救（Remediation）的服務(wù)器，所以從物理實(shí)現(xiàn)的角度，要在企業(yè)內(nèi)部的網(wǎng)絡(luò)中，分出受限和非受限的網(wǎng)絡(luò)，并且將補(bǔ)救的服務(wù)器放于受限的網(wǎng)絡(luò)中，以便不“健康”的客戶端能夠得到“救治”。從Windows XP SP3開始，所有啟用了NAP Agent服務(wù)的客戶端操作系統(tǒng)，在NAP里面，都有一個(gè)統(tǒng)一的名稱：EC（Enforcement Client） 。而每個(gè)EC的健康狀態(tài)都有系統(tǒng)健康代理（SHA）負(fù)責(zé)收集，而每一個(gè)SHA都和相應(yīng)的補(bǔ)救服務(wù)器相對(duì)應(yīng)，因此在企業(yè)內(nèi)部部署受限網(wǎng)絡(luò)中的補(bǔ)救服務(wù)器的數(shù)量時(shí)，要考慮進(jìn)行搜集的項(xiàng)目來確定。
2）服務(wù)器端：
在服務(wù)器端，主要由三部分組成，分別是ES（Enforcement Server），健康策略（NAP Healthy Policy）服務(wù)器和健康要求（Healthy Requirement）服務(wù)器
面對(duì)來自EC的驗(yàn)證和授權(quán)請(qǐng)求，在企業(yè)內(nèi)部就要有相應(yīng)的設(shè)備來應(yīng)答，這類設(shè)備可以通過把2008的成員服務(wù)器上相應(yīng)服務(wù)來完成，或者由第三方來提供，但能夠應(yīng)答的設(shè)備統(tǒng)稱為ES；而ES在收到這些請(qǐng)求之后，就會(huì)把相應(yīng)的請(qǐng)求送達(dá)給健康策略服務(wù)器來進(jìn)行健康狀況的檢測(cè)，而檢測(cè)的依據(jù)就由健康要求服務(wù)器來提供。對(duì)于部署NAP的企業(yè)來說，每部署一個(gè)檢測(cè)的項(xiàng)目，就要有一個(gè)系統(tǒng)健康確認(rèn)者（SHV），而一個(gè)SHV會(huì)與一個(gè)健康要求服務(wù)器相對(duì)應(yīng)，因此在企業(yè)內(nèi)部，如果健康要求服務(wù)器用Windows 2008來進(jìn)行配置的話，可以和健康策略服務(wù)器一起由一臺(tái)服務(wù)器完成，但如果通過第三方來實(shí)現(xiàn)，就需要投入額外的資金了。
因此，在企業(yè)內(nèi)部實(shí)現(xiàn)NAP，從服務(wù)器的數(shù)量上面，至少要有兩臺(tái)服務(wù)器，一臺(tái)處于受限網(wǎng)絡(luò)中的補(bǔ)救服務(wù)器，另外一臺(tái)處于企業(yè)內(nèi)部的服務(wù)器，來完成ES，網(wǎng)絡(luò)策略服務(wù)器（根據(jù)EC的類型來決定連接的策略，提供RADIUS集中驗(yàn)證服務(wù)）、健康策略服務(wù)器和健康要求服務(wù)器這四個(gè)角色。而整個(gè)NAP解決方案，要實(shí)現(xiàn)三類對(duì)應(yīng)，即SHA的數(shù)量和補(bǔ)救服務(wù)器的數(shù)量相對(duì)應(yīng)，SHV和健康要求服務(wù)器的數(shù)量相對(duì)應(yīng)，而EC的類型和ES的類型相對(duì)應(yīng)。對(duì)于我們的企業(yè)來說，當(dāng)對(duì)各種角色的服務(wù)器的數(shù)量要求很多的時(shí)候，我們可以考慮使用2008的虛擬化技術(shù)，來減少資金的投入，并且使得管理和維護(hù)的工作更加容易。
那么在NAP的客戶端和服務(wù)器端之間，傳遞了什么樣的信息，這些信息如何傳遞的呢？
2、實(shí)現(xiàn)原理：
NAP的服務(wù)器端和客戶端之間所傳遞的信息，其實(shí)就是客戶端的健康狀態(tài)以及服務(wù)器端的健康反饋，具體的實(shí)現(xiàn)過程和我們進(jìn)行體檢的過程十分類似。
SHA如同我們體檢的每一個(gè)科室，根據(jù)它所對(duì)應(yīng)的補(bǔ)救服務(wù)器的類型，分別收集客戶端的健康數(shù)據(jù)，我們?cè)隗w檢的時(shí)候，對(duì)身體各項(xiàng)指標(biāo)都有相應(yīng)的記錄，而在NAP里，這些由SHA所監(jiān)測(cè)出來的數(shù)據(jù)稱之為健康聲明（Statement of Healthy，簡(jiǎn)稱SoH）就是每臺(tái)EC的體檢記錄。當(dāng)我們?cè)隗w檢中心的各個(gè)診室檢查完身體，就會(huì)有完整的體檢報(bào)告，通過護(hù)士收集后送達(dá)倒醫(yī)生手中，在NAP中，所有SHA監(jiān)測(cè)出來的SoH， 都會(huì)通過NAP Agent收集到系統(tǒng)健康聲明中 （System Statement of Health，簡(jiǎn)稱SSoH），然后這份SSoH會(huì)通過EC發(fā)送到對(duì)應(yīng)的ES處。
在體檢報(bào)告交到專業(yè)醫(yī)生手里之后，他會(huì)對(duì)他所負(fù)責(zé)的監(jiān)測(cè)項(xiàng)目進(jìn)行判斷，來得出體檢人員的健康狀況，在NAP中，ES收到的SSoH會(huì)最終傳達(dá)到健康策略服務(wù)器，通過NAP Administration Server服務(wù)，把SSoH所包含的每一個(gè)SoH，送達(dá)到相應(yīng)的SHV進(jìn)行監(jiān)測(cè)。每一個(gè)SoH都會(huì)對(duì)應(yīng)一個(gè)健康聲明響應(yīng)（Statement of Health Response， 簡(jiǎn)稱SoHR）
，而所有的SoHR都會(huì)通過NAP Administration Server收集到系統(tǒng)健康聲明響應(yīng)中（System Statement of Health Response，簡(jiǎn)稱SSoHR），并通過ES傳遞給EC。
在體檢完成時(shí)，當(dāng)我們拿到體檢報(bào)告，如果有不合格的項(xiàng)目，我們會(huì)根據(jù)情況選擇去對(duì)應(yīng)的醫(yī)院就醫(yī)，排除病灶。在NAP中，當(dāng)EC收到的SSoHR后，如果該EC有不滿足企業(yè)安全的項(xiàng)目，就會(huì)被送到隔離的網(wǎng)絡(luò)中，然后通過相應(yīng)的補(bǔ)救服務(wù)器，來改善自身的健康狀態(tài)，直到再一次的“體檢”結(jié)果是健康的時(shí)候，才能夠正常的訪問企業(yè)內(nèi)網(wǎng)中的資源。

三、企業(yè)應(yīng)用的場(chǎng)景
通過NAP技術(shù)，我們可以實(shí)時(shí)地根據(jù)企業(yè)要求，動(dòng)態(tài)的設(shè)定健康檢測(cè)的項(xiàng)目，對(duì)企業(yè)內(nèi)部各種類型的EC進(jìn)行相應(yīng)的設(shè)定。具體到實(shí)際應(yīng)用上面，Windows Server 2008可以支持以下幾種NAP的技術(shù)：
IPSec、802.1X 、VPN、DHCP和TS Gateway的NAP強(qiáng)制，這幾種強(qiáng)制方式包含了企業(yè)中可能用到的各種網(wǎng)絡(luò)連接環(huán)境，對(duì)提升網(wǎng)絡(luò)安全，保護(hù)企業(yè)內(nèi)部數(shù)據(jù)通信的安全有效，發(fā)揮了非常重要的作用。對(duì)于部署NAP，需要注意EC和ES的聯(lián)系十分重要，如果EC沒有通過ES就完成了網(wǎng)絡(luò)連接的工作，那么NAP的作用就無從談起了。因此對(duì)于DHCP的強(qiáng)制，需要注意企業(yè)內(nèi)部被強(qiáng)制的客戶端，不能手動(dòng)配置IP。
此外，NAP只能保證按照我們?cè)O(shè)定的健康策略來實(shí)現(xiàn)計(jì)算機(jī)本身的健康，而不能保證操作計(jì)算機(jī)的人員的健康，所以，在企業(yè)中各種制度的完善也是保證企業(yè)整體安全不可或缺的一環(huán)。
希望借助Windows Server 2008的NAP技術(shù)，能夠幫助我們的企業(yè)營(yíng)造更加安全可靠的IT環(huán)境，充分發(fā)揮它應(yīng)有的作用，保證企業(yè)內(nèi)部主機(jī)的健康運(yùn)轉(zhuǎn)。

wangliang