【IT168 专稿】在上一篇中(点击)，我们对网络访问保护技术做了一个技术预览，大致了解了网络访问保护这个策略平台包含的组件及保护机制，接下来的几篇我将重点描述一下其中一种强制保护机制：DHCP网络保护访问强制。

　　一、 网络访问保护强制过程简述

　　策略验证

　　系统健康代理(SHA)会监控NAP客户端的健康状态，并且交给系统健康验证器(SHV)来进行分析。系统健康验证器会根据客户端健康状态，使用不同的网络策略将客户端推送至相应的限制网络中。网络访问保护使用SHA和SHV来监控，强制和修补客户端的健康状态。

　　通过包含在Windows Vista，Windows Server 2008，Windows Server 2008 R2和Windows 7里的Windows安全健康代理(Windows Security Health Agent，包含在SHA中)及Windows 安全健康验证器(Windows Security Health Validator，包含在SHV中)去强制NAP客户端执行一些策略，例如开启防火墙，开启杀毒软件，更新杀毒软件等等。

　　网络限制

　　在网络访问保护平台中，不符合健康要求的客户端会被推送到受限网络中，直到符合了健康安全策略才会被允许进入不受限网络。其中有3个允许访问的网络类型：

　　允许全网络访问：这是一个默认设置。客户端的连接请求如果通过了身份验证和授权，就可以不受限制的进入到企业网络中，并被记录到日志中。

　　允许受限网络访问：客户端计算机未符合网络访问保护的健康状态要求，会被送到与企业网隔离的受限网络中，此网络不可访问企业网络资源，但是可以访问由网络访问保护平台提供的补丁服务，杀毒软件升级服务等健康状态修复。直到客户端符合了安全健康策略，才会被允许进入企业网络。

　　限时的全网络访问：客户端与策略验证匹配，网络访问保护强制被延迟执行，客户端被暂时准许进行完全网络访问。

　　修补服务

　　不符合安全健康策略的客户端将会被送到受限网络中进行健康状态修补。在受限网络中，网络访问保护会提供一些资源来帮助客户端进行健康状态的修补，比如使用WSUS服务器来为客户端提供升级补丁，提供杀毒软件升级程序给客户端提供杀毒软件升级服务等。

　　后续监控

　　当客户端发起访问网络资源和他们的健康状态发生改变的时候，网络访问保护依然处于监控状态。本例中，当客户端进行DHCP地址续约时，会同时发送一个健康状态声明，根据声明决定客户端该属于哪种网络访问状态。