【IT168 专稿】俗话说“林子大了，什么鸟都有”，当局域网规模比较大时，接入到局域网网络中的客户端工作站安全状况也是参差不齐，有只安装了杀毒软件的，有只安装了防火墙的，也有同时安装杀毒软件或防火墙的，更有什么也没有安装的。当没有采取任何安全保护措施的工作站访问局域网服务器时，网络病毒很可能会通过这些工作站袭击服务器甚至整个局域网网络，从而导致服务器不能正常对外提供服务，造成整个局域网网络运行效率下降。

        那我们怎样才能有效防止那些存在潜在安全隐患的客户端工作站访问局域网服务器，从而给局域网服务器带来巨大安全威胁呢？要做到这一点，相信许多人都会说只要强制工作站系统安装好杀毒软件、防火墙程序，定期安装更新系统补丁，就能保证工作站系统安全访问局域网服务器了。话是这么说，但实际上这样的强制措施很难执行下去；不过，在Windows Server 2008系统环境下，我们可以利用该系统新增加的NAP功能——网络访问保护功能，来对企图访问Windows Server 2008服务器系统的任何一台客户端工作站系统进行安全“体检”，一旦发现有不符合安全健康标准的客户端在访问局域网网络时，立即强制其进行安全修正，或者限制其网络访问活动，直到不符合安全健康标准的客户端系统符合访问健康标准为止！

　　撩开NAP面纱

　　NAP的中文名称为网络访问保护，该功能是Windows Vista系统中首先引入的一项功能，该功能通过强制客户端工作站系统符合网络健康标准，以便保证只有通过安全“体检”的客户端工作站才能正常访问局域网网络，从而达到预防网络病毒袭击服务器或局域网网络的目的。借助NAP功能，我们可以根据实际组网情况自行定义网络访问健康策略，并要求对连接到网络中的客户端工作站系统进行健康策略验证，并自动更新符合网络访问健康标准的客户端工作站系统以保证该系统持续的健康符合性，同时将那些没有通过安全“体检”的客户端工作站系统限制到受限网络，直到它们重新符合网络访问健康标准。

　　为了强制那些存在安全隐患的客户端工作站系统能够重新符合网络访问健康标准，NAP通过系统健康验证器、系统运行状况代理以及第三方网络安全保护应用程序等进行互相操作，确保让那些不符合健康“体检”的客户端工作站系统能够自动使用我们事先指定的安全解决方案，例如更新系统补丁程序，安装网络防火墙程序，安装防病毒软件，使用VPN网络连接等。

　　总之，在NAP功能的帮助下，网络管理员可以让Windows Server 2008服务器系统自动为客户端工作站进行安全“体检”，而不需要耗费客户端工作站自身的系统资源；在NAP功能的帮助下，网络管理员可以确定正在访问网络的客户端工作站系统是否有权访问服务器中的资源信息，如果发现客户端工作站没有访问权限时，可以不需要进行任何设置或更新，让其直接访问网络管理员事先指定的受限网络访问；在NAP功能的帮助下，网络管理员还可以让Windows Server 2008服务器系统自动为客户端工作站提供最新的更新，从而有效避免访问Internet资源时可能带来的潜在安全威胁。