NAP FOR IPSEC 技術機制：
1、    NAP 客戶端請求網路訪問，提供系統(tǒng)健康狀態(tài)。發(fā)送SoH請求；
2、    HRA接受SoH請求，中繼請求至策略服務器；
3、    依據健康策略，策略服務器SHV對SoH請求作出應答，返回給HRA；
4、    如果客戶健康狀態(tài)不符合健康策略要求，將被受限訪問。HRA返回SoH請求應答給客戶端， NAP客戶端不能獲得健康證書，客戶端不能同后臺服務器建立IPsec通訊。但可以同救援服務器通訊，恢復健康狀態(tài)。在恢復健康狀態(tài)后，可以重新申請健康證書；
5、    如果客戶健康狀態(tài)符合健康策略要求，HRA返回SoH請求應答給客戶。HRA得到策略服務器的批準，替NAP客戶端申請健康證書，頒發(fā)證書給符合要求的NAP客戶端。有了健康證書的客戶端就可以同后臺的服務器建立IPSEC的通訊了。標志進入企業(yè)安全網絡。

NAP FOR IPSEC在企業(yè)實施方案分析：

1、在微軟提供的NAP解決方案中，有DHCP、802.1X、VPN及IPSEC。
2、在DHCP、802.1X、VPN情形中，有一個關鍵點和前提，就是客戶端入網的第一步必須和DHCP、802.1X、VPN通訊，進而才能對客戶端的健康狀態(tài)加以評估，NAP機制才會起作用。如果沒有這個前提，NAP機制就會被繞過，不會起作用。具體來講，在NAP FOR DHCP技術方案中，關鍵點是DHCP服務器。在NAP FOR 802.1X　技術方案中，關鍵點是支持NAP的802.1X訪問設備。在NAP FOR VPN技術方案中，關鍵點是VPN服務器。
3、在NAP FOR IPSEC情形下，問題比較復雜。缺乏一個關鍵點，客戶端在企業(yè)網絡里與那一臺服務器通訊是隨機的。我們必須保證基礎架構服務器（DC）、網絡架構服務器（ＤＮＳ等）及救援服務器和客戶端通訊是正常的，不能設置嚴格的IPSEC策略。因此不能將這一類服務器作為關鍵控制點。而每臺客戶端機器必須與之通訊的業(yè)務系統(tǒng)，可能是跨平臺系統(tǒng)，不支持NAP技術，也作不成中心控制點；
4、引入微軟網關產品TMG 2010,利用TMG 2010將網絡分成微軟企業(yè)內部網和業(yè)務系統(tǒng)網絡。TMG是關鍵點，有兩塊網卡。一塊連接企業(yè)內部網，另一塊連接業(yè)務網絡。所有客戶端（B/S模式）要訪問業(yè)務系統(tǒng)，必須先同TMG通訊（web 代理功能）。這樣就形成以TMG為中心控制點；
5、有了TMG關鍵點后，就可以規(guī)劃NAP FOR IPSEC方案了；

NAP FOR IPSEC解決方案實施步驟：
1、 在服務器上安裝Windows Server 2008,部署AD 架構，配置DNSAD DSAD CS角色；
2、 在AD域上建立三個安全組：1、NAP IPSEC Client Computers ，包含所有滿足健康策略接受健康證書的客戶端計算機（Windows XP SP3、Windows Vista、Windows 7）； 2、NAP IPSEC Boundary Computers ,能自動獲得IPSEC健康證書，涵蓋基礎架構服務器（DC）、網絡架構服務器（DNS等）及救援服務器，對這個組不采用嚴格的IPSEC策略； 3、NAP IPSEC Protected Computers,能自動獲得健康證書，要求進站連接提供健康證書。這個組包含關鍵服務器，TMG服務器屬于這個組。這個組采用嚴格的IPSEC策略；
3、 對網絡中的計算機進行歸屬劃分，加入相應的組里；
4、 在證書服務器創(chuàng)建新的健康證書模板，在證書模板的安全屬性設置安全組NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers對該模板有Read 、Allow Enroll 、Allow Autoenroll的權限；
5、 配置證書服務器頒發(fā)健康證書模板；
6、 在AD 上配置域缺省組策略，使得在域里的計算機能自動獲得證書；
7、 從以上配置可以保證安全組NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers里的計算機能獲得健康證書，即企業(yè)內部網的所有的服務器都能獲得健康證書。安全組NAP IPSEC Client Computers不能通過此方法獲得證書，因為此組對新創(chuàng)建的健康證書模板沒有Allow Enroll 、Allow Autoenroll的權限。安全組NAP IPSEC Client Computers是通過HRA獲得證書的；
8、 配置HRA，HRA是一個WEB 應用程序，如果策略服務器判定客戶端計算機是符合健康要求的，HRA將從證書服務器CA上為客戶端計算機獲得一個健康證書，并發(fā)送給客戶端。建立HRA與CA服務器之間的關聯，HRA就像一個證書代理機構，為符合要求的健康客戶端提供健康證書。因此，在證書服務器上配置HRA所代表的帳戶應有請求、頒發(fā)和管理證書的權限。在HRA上指向正確的證書服務器信息；
9、 配置策略服務器NPS，配置SHV、健康策略和網絡連接策略。有兩個策略，一個是符合健康要求的，另一個是不符合要求的;
10、 激活客戶端計算機NAP For IPSEC模塊。可通過組策略來實施。需要完成兩項設置，　 一是啟用NAP For IPSEC，配置信任HRA服務器組，指向正確HRA　URL地址.因為HRA提供的是一個WEB 應用程序服務?？蛻舳薔AP Agent根據SoH響應通過這個服務獲得健康證書或取消健康證書；
11、 驗證服務器證書機制起作用，查看在域中的服務器都能獲得健康證書；
12、 驗證客戶端證書機制起作用，查看符合健康要求和不符合健康要求的情況；
13、 確認準備安裝TMG 2010的機器已獲得健康證書；
14、 利用組策略管理工具GPMC對三個安全組實施IPSEC 組策略。安全組NAP IPSEC Client Computers NAP和 IPSEC Protected Computers實施嚴格的IPSEC組策略：入站要求健康證書出站請求；安全組NAP IPSEC Boundary Computers實施包容性的IPSEC組策略：入站和出站請求健康證書；
15、 安裝關鍵控制點TMG 2010，配置TMG 2010，TMG 服務器屬于安全組IPSEC Protected Computers。所有計算機必須首先訪問TMG，才能訪問后臺的業(yè)務系統(tǒng)。實現跨平臺的NAP For IPSEC解決方案；
16、 測試集成TMG 2010的NAP For IPSEC效果。

實施方案問題探討：
1、 TMG 2010安裝完成后，會接管對應網絡接口的管理策略，會不會同對應TMG服務器的NAP For IPSE組策略沖突？
答：通過做實驗和部署，確認不會沖突，TMG 2010遵從NAP For IPSEC組策略。兩者配合的很好。在做實驗前，對這個問題一直沒有把握。完成實驗后，心里就踏實了。
2、 TMG 2010只能安裝在64位Windows Server 2008 R2的機器上.64位Windows Server 2008 R2的機器能不能從在32位Windows Server 2008的CA服務器上獲得證書？
答：結果出人意料。不能獲得，但從道理上是可以的。需要進一步確認；
3、 對于Windows Server 2008 R2才有基于Windows 7的健康驗證器SHV。Windows Server 2008 R2以前的版本只支持XP 和Vista。
4、 Windows XP sp3 是否能接受來自Windows Server 2008 R2　基于高級防火墻配置的NAP For IPSEC組策略的設置？
答：實驗結果是不能。需要在Windows XP sp3上手工配置IPSEC,健康證書移走后，IPSEC通訊不中斷。需要重新啟動IPSEC服務，才能看到效果。

wangliang