NAP客户联机VPN测试

接下来我们必须将这一台Windows远程计算机，移至与VPN服务器外部网络的相同网段中来进行测试。在测试开始之前，您必须先将TCP/IP的地址修改成与外部网络相同的IP网段设置。完成了TCP/IP的变更之后，接下来我们要来新增一个VPN的网络联机。

请开启Windows“网络和共享中心”页面，然后点选位于动作窗格中的“设定联机或网络”链接，在选取“联机到工作地点”项目之后，在“您要如何联机”页面中点选“使用我的因特网联机”项目继续。

图5使用可延伸的验证通讯协议

在“输入要联机的因特网地址”的页面中，请输入VPN服务器的外部网络卡IP地址以及设定一个识别名称，并且将“不要立即联机，先设定好，我稍后再联机”的选项勾选，在“输入您的用户名称及密码”的页面中，分别输入正确的网域账号、密码以及域名，建议您也一并将“记住这个密码”选项勾选，完成VPN网络联机的新增。

注意：在此输入的网域账户，必须确认该账户的属性中已经将位于“拨入”页面中的网络存取权限的设定，选取为“允许存取”设定。

接下来连续点选前面我们所建立的VPN网络联机，不过请不要点选“联机”按钮，请点选在此页面中的“内容”按钮继续。开启VPN网络联机的内容之后，展开至“安全性”页面，然后在选取“进阶（自定义的设定）”项目之后，点选“设定”按钮继续。

接下来在开启如图5所示的“进阶安全性设定”页面之后，请在登录安全性的区域中选取“使用可延伸的验证通讯协议（EAP）”，从下拉选单中选取“Protected EAP（PEAP）启用加密”，紧接着点选“内容”按钮继续。

接下来在开启“受保护的EAP内容”页面之后，分别将“确认服务器证书”设定勾选，将“联机到这些服务器”的设定取消勾选，接着请在“选择验证方法”区域中先从下拉选单中选取“Secured Password（EAP-MSCHAP v2）”，然后分别将“启用快速重新联机”设定取消勾选，将“启用隔离检查”设定勾选，点选“确定”按钮完成所有VPN网络联机设定。

图6 NAP隔离通知

图7 受网络隔离的VPN客户端

在完成了VPN网络联机设定之后，接下来建议您先通过命令提示字符使用Ping命令，先确认与VPN服务器的外部网络联机是没有问题的，接着您便可以再一次开启所设定的VPN网络联机，点选“联机”按钮来登录联机至企业内部网络中。

如图6所示，当我们所构建的VPN服务器在整合NAP安全机制的情况下，如果有NAP客户端不符合原则要求，则右下角将会出现警告讯息，这时候您可以尝试点选这个信息的内容。

点选之后，将会开启“网络存取保护”的网络隔离信息，进一步还可以点选“更多信息”来查看我们前面所设置好的公司网页信息。

关于VPN客户端联机的实时监视部分，您可以从VPN服务器上的“路由及远程访问”接口中的“远程访问客户端”项目节点来查看即可，如果“状态”字段信息显示为没有限制，这表示该NAP客户端计算机并没有遭到隔离。相反的，如果NAP客户端计算机遭到隔离，将会出现如图7所示的状态显示，显示为“受限制”。

经验总结

从上述的实战过程之中，可以体验到VPN网络在结合NAP的安全防护机制下，可以有效自动隔离可能带来危害的远程计算机联机，以保护企业内部所有计算机的安全，避免遭受不必要的网络攻击或病毒感染。如此一来，企业对于VPN网络联机的整体安全而言，不仅可以确保从身份验证与数据传递的安全，还可以彻底监控合法使用者身份是否可能带来安全威胁的问题。

Windows Server 2008以上版本所内置的网络存取保护（NAP）功能，是一个全方位的安全管理机制，因为它无论是对于企业内部网络的联机，还是从外部远程登录的联机，都可以提供一个安全检验机制，让因本地与远程计算机本身的安全问题，所可能造成的企业网络瘫痪威胁降到最低。