如何保证虚拟服务器网络访问安全

　　谈到安全，这无疑是个复杂的问题，我们会经常谈到纵深的安全，因为仅仅凭借一个软件，一项技术是无法保障企业IT环境安全的。企业需要保障网络安全、系统安全、信息传递安全和数据的安全，这就需要我们有纵深的安全解决方案才能做到。

　　做过很多项目，也接触过很多企业客户，尽管这些客户对于IT规划的需求是各不相同的，有的要求标准化的企业环境，有的要求自动化的系统部署，还有的要求实现应用系统的单点登录，但这些客户在做IT规划和实施的时候，都会最先考虑一个问题：安全。安全已经成为企业IT规划中的头等大事。随着IT技术、互联网的不断发展，我们说面临的安全威胁也越来越大，我们经常会听说，某某病毒爆发、某某蠕虫爆发、某某组织受到黑客攻击等类似的事件，甚至于还经常能听说某某杀毒软件误将操作系统搞崩溃，连安全软件厂商都不能保障我们的系统安全，企业该如何应对这与日俱增的风险?

　　谈到安全，这无疑是个复杂的问题，我们会经常谈到纵深的安全，因为仅仅凭借一个软件，一项技术是无法保障企业IT环境安全的。企业需要保障网络安全、系统安全、信息传递安全和数据的安全，这就需要我们有纵深的安全解决方案才能做到。

　　Windows Server 2008在安全方面也有了很大的改进，也能够为企业提供一些基本的纵深安全特性，为企业实现纵深安全解决方案提供了基础：

　　今天我想讨论的是网络访问的安全，企业用户在连入互联网的同时，也面临了各种各样的威胁，我们可以通过各种防火墙将这些安全威胁阻止掉，但来自于企业内部的网络连接威胁，企业往往就束手无策了。很多企业经常会有来宾访问，这些来宾如果携带了自己的笔记本，就可以直接连接到企业内部的网络中，而不会受到防火墙和各种外部访问策略的限制，如果这些笔记本中携带了恶意的应用程序、病毒、木马等，就会直接对企业内部网络安全造成影响。那么如何才能限制这些用户呢?在Windows Server 2008中为我们提供了一个非常强大的新功能：网络访问保护，也就是我们经常听到的NAP。其实之前也有类似的技术，如Cisco的NAC，Windows Server 2003 Resources Kit中的Network Access Quarantine Control。那么NAP能够实现怎样的功能呢?

　　NAP主要包含几个部分内容：

　　1、 健康策略验证：当一台客户端计算机试图连接到网络时，会根据设定的安全策略对计算机的健康状况进行验证，如果计算机不满足安全策略的要求(如防火墙、自动更新没有开启、没有安装最新版本的杀毒软件)，可以将计算机放置在受限制或者受监视的环境当中。

　　2、 健康策略遵循：当连入计算机被发现不符合企业策略要求时，可以通过企业内部的System Operation Center、SMS或者企业修复服务器对这些计算机进行自动修复，以满足策略需求。

　　3、 限制访问：管理员可以将不符合健康策略要求的客户端放置到受限的网络当中，可以设定这些客户端在指定时间无法访问网络，或者只能访问指定的网络和资源。

　　后面我们会详细讨论Windows Server 2008 NAP的技术细节，如何部署几种方式的NAP。