考慮這樣一個(gè)情景：某企業(yè)在內(nèi)網(wǎng)上有數(shù)百臺(tái)計(jì)算機(jī)。邊界防火墻能夠保護(hù)專用網(wǎng)絡(luò)免受internet上威脅（包括蠕蟲功擊）。一天，一名出差員工帶著他的筆記本回到了辦公室。在旅行的過(guò)程中，將的筆記本連接到了外部開放的無(wú)線網(wǎng)絡(luò)，而另一個(gè)訪客的計(jì)算機(jī)在該網(wǎng)絡(luò)上傳輸了一個(gè)蠕蟲。當(dāng)該人員將自己筆記本連接至專用網(wǎng)絡(luò)后，該蠕蟲立即蔓延至易受攻擊的計(jì)算機(jī)，這樣完全繞過(guò)了邊界安全。很容易導(dǎo)致，內(nèi)部網(wǎng)絡(luò)上幾乎所有計(jì)算機(jī)都受到感染。; ;“網(wǎng)絡(luò)訪問保護(hù)可以防止這種情況發(fā)生。在計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)之前，其必須滿足指定的健康要求，才能訪問內(nèi)部網(wǎng)絡(luò)，如果這些計(jì)算機(jī)不滿足健康要求，那么它們將被隔離在某個(gè)網(wǎng)絡(luò)中。NAP旨在根據(jù)主機(jī)的當(dāng)前健康狀態(tài)，將其連接到不同的網(wǎng)絡(luò)資源。(完全訪問和受限網(wǎng)絡(luò))NAP強(qiáng)制類型：IPsec連接安全、802.1X、VPN服務(wù)器和DHCP服務(wù)器在硬件不支持802.1x且IPsec不可用的情況下，配置NAP DHCP強(qiáng)制是最常見的選擇。雖然DHCP NAP安全性欠佳，但由于其便于演示，便于理解所有類型的NAP強(qiáng)制，所以這一章我們討論DHCP的NAP：這種強(qiáng)制類型借助運(yùn)行server2008的計(jì)算機(jī)和為企業(yè)內(nèi)部網(wǎng)提供DHCP服務(wù)的服務(wù)器。只有符合的計(jì)算機(jī)會(huì)收到授予完全網(wǎng)絡(luò)訪問權(quán)限的IP地址，而不符合的計(jì)算機(jī)會(huì)被分配到子網(wǎng)掩碼為255.255.255.255且沒有默認(rèn)網(wǎng)關(guān)的ip地址。另外，不符合的主機(jī)會(huì)收到一個(gè)修正服務(wù)器組中網(wǎng)絡(luò)資源的“主機(jī)路由表，將通信內(nèi)容定向到某一個(gè)IP地址。為使客戶端變?yōu)榉希拚?wù)器組可以對(duì)其進(jìn)行必要的更新。這種配置是防止不符合的計(jì)算機(jī)與修正服務(wù)器組以外的網(wǎng)絡(luò)資源通信。注：DHCP客戶端手動(dòng)配置ip地址可繞過(guò)DHCP服務(wù)器強(qiáng)制，不同于802.1x網(wǎng)絡(luò)訪問設(shè)備和VPN服務(wù)器能夠?qū)⒂?jì)算機(jī)從網(wǎng)絡(luò)上斷開，IPSEC強(qiáng)制能夠只允許來(lái)自健康計(jì)算機(jī)的連接。但對(duì)于非惡意用戶使用不符合的計(jì)算機(jī)連接網(wǎng)絡(luò)來(lái)說(shuō)，DHCP服務(wù)器強(qiáng)制可以降低這種風(fēng)險(xiǎn)。目的：理解NAP作用，實(shí)現(xiàn)DHCP NAP 拓樸圖：;

環(huán)境：pc1 server2008充當(dāng)DC/DNS/DHCP/NPS，安裝角色在這里就不詳貼圖了，在前面文章中都有。IP:172.16.1.1;

pc2 server2008作為加入域的成員服務(wù)器,啟用網(wǎng)絡(luò)發(fā)現(xiàn)，用于驗(yàn)證結(jié)果ip:172.16.1.2;

pc3 vista作為工作組dhcp客戶端;

具體步驟：1.配置使用DHCP的NAP2.DHCP上啟用對(duì)NAP的支持; ; 驗(yàn)證：; ; a.沒啟用NAP代理、強(qiáng)制客戶端組策略設(shè)置屬于非NAP客戶端類別，受限網(wǎng)絡(luò); ; b.靜態(tài)IP，繞過(guò)DHCP服務(wù)強(qiáng)制3.配置NAP客戶端組策略; ; 驗(yàn)證：; ; c.測(cè)試符合的客戶端; ; d.測(cè)試不符合的客戶端補(bǔ)充域環(huán)境策略設(shè)置圖步驟1：?jiǎn)⒂胐hcp的nap方式有2種 ：a.通過(guò)手工配置，先配系統(tǒng)健康驗(yàn)證程序shv，再健康策略、網(wǎng)絡(luò)策略、連接請(qǐng)求策略。在網(wǎng)絡(luò)策略中可設(shè)置修正服務(wù)器b.通過(guò)向?qū)渲茫@個(gè)使用起來(lái)簡(jiǎn)單些，初學(xué)者建議使用，幾乎默認(rèn)向?qū)瓿?;

當(dāng)DHCP和NPS在同一臺(tái)PC上，不需設(shè)置Radius，如不在同一臺(tái)PC上，相互間要指定，在NPS服務(wù)器上指向radius客戶端為DHCP服務(wù)器，在DHCP上安裝NPS，在Radius服務(wù)器組上指向當(dāng)前在用的NPS服務(wù)器（2個(gè)字:麻煩）我在同一機(jī)器，所以保留為空;

多作用域時(shí)，可指定具體使用NAP作用域，不指定表示所有啟用NAP的范圍;

不指定任何組，用于所有對(duì)象;

指環(huán)境需求，指定更新服務(wù)器;

指定NAP使用健康策略;

完成。;

手工指定SHV;

步驟2：DHCP上啟用對(duì)NAP的支持當(dāng)前DHCP范圍與選項(xiàng);

DHCP服務(wù)器上啟用對(duì)NAP支持;

如果是在具體作用域上啟用點(diǎn)擊作用域?qū)傩詥⒂脼槭芟蘧W(wǎng)絡(luò)提供個(gè)標(biāo)識(shí)，;

驗(yàn)證：a.沒啟用NAP代理、強(qiáng)制客戶端組策略設(shè)置屬于非NAP客戶端類別，受限網(wǎng)絡(luò)當(dāng)前vista客戶端只有符合的計(jì)算機(jī)會(huì)收到授予完全網(wǎng)絡(luò)訪問權(quán)限的IP地址，而不符合的計(jì)算機(jī)會(huì)被分配到子網(wǎng)掩碼為255.255.255.255且沒有默認(rèn)網(wǎng)關(guān)的ip地址;

處于受限網(wǎng)絡(luò)，不能與172.16.1.2的文件服務(wù)器通信;

此時(shí)按需要，可指定修正服務(wù)，建立單條主機(jī)路由，在NPS如下位置設(shè)置;

驗(yàn)證：b.靜態(tài)IP，繞過(guò)NAP ;

步驟：3.啟用代理服務(wù)，配置強(qiáng)制NAP客戶端組策略通過(guò)這里知道，早期版本的客戶端就不支持了;

打開mmc添加組件，或在運(yùn)行輸入napclcfg.msc;

運(yùn)行ipconfig/release; ;ipconfig/renew;

驗(yàn)證：c.測(cè)試符合的客戶端 現(xiàn)時(shí)防火墻是啟用的結(jié)果;

把防火墻關(guān)閉，強(qiáng)制生效，馬上又啟用了如圖：;

d.測(cè)試不符合的客戶端我修改了shv，如圖：;

客戶端刷新;

處于受限網(wǎng)絡(luò);

這時(shí)，可設(shè)置補(bǔ)救服務(wù)器，當(dāng)前客戶端屬于NAP DHCP不符合的客戶端;

如172.16.1.2為補(bǔ)救服務(wù)器

客戶端ipconfig/release;;ipconfig/renew;

補(bǔ)充一點(diǎn)：我以上環(huán)境客戶端在工作組，手工設(shè)置NAP策略，如是在域環(huán)境下，策略設(shè)置如圖：;

;完畢，客戶端驗(yàn)證這里，后面很多圖是說(shuō)了在工作組和域環(huán)境下，客戶端的理解