1、組成：
要想在企業(yè)內(nèi)部部署NAP，如上圖所示，要具備以下幾部分。
1）客戶端：
在客戶端，主要有兩部分組成。一個是啟用NAP的客戶端，一個是“補救服務(wù)器”。
由于NAP設(shè)計的目的是保證訪問企業(yè)內(nèi)部的計算機的“健康”，所以，對于不滿足健康狀態(tài)的計算機，并不是禁止訪問，而是限制訪問，因此從客戶端角度，自然會提供相應(yīng)的用于補救（Remediation）的服務(wù)器，所以從物理實現(xiàn)的角度，要在企業(yè)內(nèi)部的網(wǎng)絡(luò)中，分出受限和非受限的網(wǎng)絡(luò)，并且將補救的服務(wù)器放于受限的網(wǎng)絡(luò)中，以便不“健康”的客戶端能夠得到“救治”。從Windows XP SP3開始，所有啟用了NAP Agent服務(wù)的客戶端操作系統(tǒng)，在NAP里面，都有一個統(tǒng)一的名稱：EC（Enforcement Client） 。而每個EC的健康狀態(tài)都有系統(tǒng)健康代理（SHA）負責(zé)收集，而每一個SHA都和相應(yīng)的補救服務(wù)器相對應(yīng)，因此在企業(yè)內(nèi)部部署受限網(wǎng)絡(luò)中的補救服務(wù)器的數(shù)量時，要考慮進行搜集的項目來確定。
2）服務(wù)器端：
在服務(wù)器端，主要由三部分組成，分別是ES（Enforcement Server），健康策略（NAP Healthy Policy）服務(wù)器和健康要求（Healthy Requirement）服務(wù)器
面對來自EC的驗證和授權(quán)請求，在企業(yè)內(nèi)部就要有相應(yīng)的設(shè)備來應(yīng)答，這類設(shè)備可以通過把2008的成員服務(wù)器上相應(yīng)服務(wù)來完成，或者由第三方來提供，但能夠應(yīng)答的設(shè)備統(tǒng)稱為ES；而ES在收到這些請求之后，就會把相應(yīng)的請求送達給健康策略服務(wù)器來進行健康狀況的檢測，而檢測的依據(jù)就由健康要求服務(wù)器來提供。對于部署NAP的企業(yè)來說，每部署一個檢測的項目，就要有一個系統(tǒng)健康確認(rèn)者（SHV），而一個SHV會與一個健康要求服務(wù)器相對應(yīng)，因此在企業(yè)內(nèi)部，如果健康要求服務(wù)器用Windows 2008來進行配置的話，可以和健康策略服務(wù)器一起由一臺服務(wù)器完成，但如果通過第三方來實現(xiàn)，就需要投入額外的資金了。
因此，在企業(yè)內(nèi)部實現(xiàn)NAP，從服務(wù)器的數(shù)量上面，至少要有兩臺服務(wù)器，一臺處于受限網(wǎng)絡(luò)中的補救服務(wù)器，另外一臺處于企業(yè)內(nèi)部的服務(wù)器，來完成ES，網(wǎng)絡(luò)策略服務(wù)器（根據(jù)EC的類型來決定連接的策略，提供RADIUS集中驗證服務(wù)）、健康策略服務(wù)器和健康要求服務(wù)器這四個角色。而整個NAP解決方案，要實現(xiàn)三類對應(yīng)，即SHA的數(shù)量和補救服務(wù)器的數(shù)量相對應(yīng)，SHV和健康要求服務(wù)器的數(shù)量相對應(yīng)，而EC的類型和ES的類型相對應(yīng)。對于我們的企業(yè)來說，當(dāng)對各種角色的服務(wù)器的數(shù)量要求很多的時候，我們可以考慮使用2008的虛擬化技術(shù)，來減少資金的投入，并且使得管理和維護的工作更加容易。
那么在NAP的客戶端和服務(wù)器端之間，傳遞了什么樣的信息，這些信息如何傳遞的呢？
2、實現(xiàn)原理：
NAP的服務(wù)器端和客戶端之間所傳遞的信息，其實就是客戶端的健康狀態(tài)以及服務(wù)器端的健康反饋，具體的實現(xiàn)過程和我們進行體檢的過程十分類似。
SHA如同我們體檢的每一個科室，根據(jù)它所對應(yīng)的補救服務(wù)器的類型，分別收集客戶端的健康數(shù)據(jù)，我們在體檢的時候，對身體各項指標(biāo)都有相應(yīng)的記錄，而在NAP里，這些由SHA所監(jiān)測出來的數(shù)據(jù)稱之為健康聲明（Statement of Healthy，簡稱SoH）就是每臺EC的體檢記錄。當(dāng)我們在體檢中心的各個診室檢查完身體，就會有完整的體檢報告，通過護士收集后送達倒醫(yī)生手中，在NAP中，所有SHA監(jiān)測出來的SoH， 都會通過NAP Agent收集到系統(tǒng)健康聲明中 （System Statement of Health，簡稱SSoH），然后這份SSoH會通過EC發(fā)送到對應(yīng)的ES處。
在體檢報告交到專業(yè)醫(yī)生手里之后，他會對他所負責(zé)的監(jiān)測項目進行判斷，來得出體檢人員的健康狀況，在NAP中，ES收到的SSoH會最終傳達到健康策略服務(wù)器，通過NAP Administration Server服務(wù)，把SSoH所包含的每一個SoH，送達到相應(yīng)的SHV進行監(jiān)測。每一個SoH都會對應(yīng)一個健康聲明響應(yīng)（Statement of Health Response， 簡稱SoHR）
，而所有的SoHR都會通過NAP Administration Server收集到系統(tǒng)健康聲明響應(yīng)中（System Statement of Health Response，簡稱SSoHR），并通過ES傳遞給EC。
在體檢完成時，當(dāng)我們拿到體檢報告，如果有不合格的項目，我們會根據(jù)情況選擇去對應(yīng)的醫(yī)院就醫(yī)，排除病灶。在NAP中，當(dāng)EC收到的SSoHR后，如果該EC有不滿足企業(yè)安全的項目，就會被送到隔離的網(wǎng)絡(luò)中，然后通過相應(yīng)的補救服務(wù)器，來改善自身的健康狀態(tài)，直到再一次的“體檢”結(jié)果是健康的時候，才能夠正常的訪問企業(yè)內(nèi)網(wǎng)中的資源。

三、企業(yè)應(yīng)用的場景
通過NAP技術(shù)，我們可以實時地根據(jù)企業(yè)要求，動態(tài)的設(shè)定健康檢測的項目，對企業(yè)內(nèi)部各種類型的EC進行相應(yīng)的設(shè)定。具體到實際應(yīng)用上面，Windows Server 2008可以支持以下幾種NAP的技術(shù)：
IPSec、802.1X 、VPN、DHCP和TS Gateway的NAP強制，這幾種強制方式包含了企業(yè)中可能用到的各種網(wǎng)絡(luò)連接環(huán)境，對提升網(wǎng)絡(luò)安全，保護企業(yè)內(nèi)部數(shù)據(jù)通信的安全有效，發(fā)揮了非常重要的作用。對于部署NAP，需要注意EC和ES的聯(lián)系十分重要，如果EC沒有通過ES就完成了網(wǎng)絡(luò)連接的工作，那么NAP的作用就無從談起了。因此對于DHCP的強制，需要注意企業(yè)內(nèi)部被強制的客戶端，不能手動配置IP。
此外，NAP只能保證按照我們設(shè)定的健康策略來實現(xiàn)計算機本身的健康，而不能保證操作計算機的人員的健康，所以，在企業(yè)中各種制度的完善也是保證企業(yè)整體安全不可或缺的一環(huán)。
希望借助Windows Server 2008的NAP技術(shù)，能夠幫助我們的企業(yè)營造更加安全可靠的IT環(huán)境，充分發(fā)揮它應(yīng)有的作用，保證企業(yè)內(nèi)部主機的健康運轉(zhuǎn)。

wangliang