本篇为上篇Direct Access成功搭建之后(点击)，添加IPsec NAP功能，为Direct Access客户端提供安全加固方案，保证内部网络安全。

一 、NAP(Network Access Protection)功能简述

网络访问保护 (NAP)。NAP 是一种创建、强制和修正客户端健康策略的技术，包含在 Windows Vista? 客户端操作系统和 Windows Server 2008 操作系统中。通过 NAP，系统管理员可以设置并自动强制运行状况策略，策略中可以包含软件要求、安全更新要求、计算机配置要求以及其他设置。可以为不符合健康策略的客户端计算机提供受限网络访问，直到更新其配置并且使其符合策略时为止。根据您选择部署 NAP 的方式，可以自动更新不兼容的客户端，使用户可以快速重新获得完全网络访问，而不必手动更新或重新配置其计算机。

二、IPsec NAP网络概念简述

IPsec NAP网络环境把网络逻辑的分成3个网络，分别是安全网络、边界网络、受限网络。

" 安全网络：此网络的计算机，符合含有一个系统健康证书并且可以使用IPsec进行安全通信。通常Active Directory 域中的大多数服务器例如证书服务和邮件服务器处于安全网络中。

" 边界网络：此网络中的计算机含有系统健康证书，但是需要能访问整个网络资源，因此不需要进行认证和IPsec保护通信，通常这个网络类型中的计算机需要评估和更新NAP客户端计算机的系统健康状态，所以NPS和HRA服务器处在这个网络中，但是需要对他们进行严格控制，以免对内部网络带来安全威胁。

" 受限网络：处于此网络中的计算机没有经过安全健康检查，并且没有系统健康证书，在获得补救服务器更新之前，网络访问受限制。