使用 NAP 和 IPsec 来控制通过 DirectAccess 进行的客户端访问，可以改进您的审核和合规报告。

　　Dan Griffin 和 Lee Walker

　　建立安全的访问机制是企业步入云计算时代的第一步。现在为合规、报告和远程连接设置相应的策略，也就规定了您的团队将如何安全、顺利地在云计算环境中开展工作。使用带 IPsec 的网络访问保护 (NAP) 连接技术(如 DirectAccess)可以帮助改进您的审核和合规报告工作。

　　为新的 DirectAccess 或 IPsec 部署方案创建审核和报告解决方案时，识别和收集必要的数据困难重重。在本文中，我们将用一家虚拟的公司作为例子，说明如何创建 DirectAccess 和 NAP 解决方案，并提供报告数据以确定谁进行了连接、何时进行的连接以及客户端计算机是否合规。

　　合规问题

　　由于员工的工作场所越来越变化多端，因此很多企业都采用了灵活的远程访问技术，如 DirectAccess。使用 DirectAccess 后，只要获得授权的计算机连接 Internet，用户就将自动连接到远程网络。由于远程客户端有时并未安装最新的安全修补程序，而且可能感染了恶意软件，因此很多企业还部署了带 IPsec 的 NAP 来帮助确保只有健康的客户端可以访问受保护的资源。

　　在金融服务、医疗卫生和政府等行业，确保只有健康且获得批准的客户端能够连接到云计算或本地网络资源，对于保护数据的完整性非常重要。这些行业经常要按照内部的合规策略以及国家/地区的法律规定，确认个人身份信息(PII，包括银行账号、姓名和健康记录等)不会被任何未经授权的人(包括通过恶意软件和未知的第三方应用程序)访问。

　　用户都希望能够轻松地远程访问其工作资源，因此这些行业的 IT 经理们还必须确保只有健康的客户端可以访问公司网络。遗憾的是，要从 NAP 和 DirectAccess 日志创建有意义的报告并非易事。

　　真正的解决方案就是：设置 DirectAccess 基础设施以实现顺畅的远程客户端访问、使用 NAP 和 IPsec 保护 Intranet 资源并通过报告来监控策略的执行情况。TechNet 中有很多关于如何通过 DirectAccess 实现 NAP 的有用信息，但是对于如何有效记录和报告客户端的健康状况，却很少提及。我们将用一家虚拟公司 (Woodgrove National Bank) 为例，说明一位顾问如何用一些简单的代码和 SQL 查询来创建可以直接阅读的报告。报告中详细列出了在指定时间段内连接的客户端以及这些客户端是否 NAP 合规。

　　在 DirectAccess 上设置 NAP

　　DirectAccess 要求连接的客户端运行兼容版本的 Windows(Windows 7 旗舰版或 Windows 7 企业版)。这些客户端连接到运行了 Windows Server 2008 R2 的 DirectAccess 服务器。 DirectAccess 部署方案中可以包含一台或多台 DirectAccess 服务器。(我们建议使用至少两台服务器，以便在网络繁忙时帮助平衡负载。)部署中还必须包括一台网络位置服务器(用于确定客户端是连接到 Internet 还是连接到 Intranet)以及一个或多个证书吊销列表 (CRL) 分发点(用于追踪不再允许访问的客户端)。要了解如何设计 DirectAccess 部署方案，请参见 TechNet 上的 DirectAccess 设计指南。

　　在 DirectAccess 上添加 NAP 时，您必须实施针对 NAP 的 IPsec 强制方法。使用 IPsec 时，NAP 合规的客户端将获得健康证书。如果计算机不合规，则不允许与其他合规的计算机进行通信。要了解如何设计和部署 NAP，请参见 TechNet 上的规划具有网络访问保护的 DirectAccess。要了解如何将带 IPsec 的 NAP 设计为强制方法，请参见 TechNet 上的 IPsec 强制设计。

　　考虑 NAP IPsec 强制方案如何在 DirectAccess 及其 IPsec 连接策略的背景下工作非常有意思。首先，由于 DirectAccess 使用 IPsec 进行身份验证并处理保密性，因此 DirectAccess 部署中的 NAP 强制方案必须是 IPsec。其次，请记住 IPsec 的 AuthIP 组件让您在策略中配置两个独立的身份验证要求，因此连接必须同时满足这两个要求才能成功。一般来说，如果配置了两个 AuthIP 身份验证选项，则第一个是计算机凭据，第二个是用户凭据。但是，也有可能要配置两个计算机凭据。

　　NAP 与 AuthIP 策略是如何结合在一起的呢?NAP/IPsec 强制方案为健康的计算机颁发带有健康对象标识符 (OID) 的证书。AuthIP 策略引擎包括一个选项，要求提供该健康 OID。因此，只有健康的计算机可以满足第一个 AuthIP 身份验证要求，并且与 DirectAccess 服务器建立 IPsec 连接。

　　最后，第二个 AuthIP 身份验证选项要求提供用户凭据。就技术而言，用户凭据对 DirectAccess 来说是可选的。换句话说，客户端可以只使用计算机凭据向 DirectAcces