NAP与NAC的技术架构与区别

    NAP 部署环境中包括下列组成部分：

1、 适用于动态主机配置协议和VPN、IPSec 的NAP 客户端计算机；
2、 Windows Longhorn Server（NAP Server），对于不符合当前系统运行状况要求的计算机进行强制受限网络访问，同时运行Internet 身份验证服务 (IAS)，支持系统策略配置和 NAP 客户端的运行状况验证协调。
3、 策略服务器，为IAS服务器提供当前系统运行情况，并包含可供NAP客户端访问以纠正其非正常运行状态所需的修补程序、配置和应用程序。策略服务器还包括防病毒隔离和软件更新服务器。
4、 证书服务器，向基于IPsec的NAP客户端颁发运行状况证书。

NAP结构图

   根据微软提供的演示图示，我们可以看到： NAP 服务器有一个“强制隔离客户端”（QES/ QEC）组件层。每个QES/ QEC都针对不同类型的网络访问而定义。例如，有用于 DHCP 配置和 VPN 连接的 QES与具备 NAP 能力的客户端一起工作。隔离服务器推动 IAS 与系统运行状况验证器（SHV）之间的通信，并根据已配置的一组系统运行状况策略进行系统运行状况分析。在用于防病毒和用于操作系统更新的 SHV层，用于检查防病毒签名的 SHV 与存储最新防病毒更新版本号的服务器匹配。在隔离方面，NAP提供了DHCP 隔离包含、VPN 隔离、IPsec 隔离多种取保通信的访问机制。

    NAC系统也包括四个组件：

1、 客户端软件（AV防毒软件，Cisco Security Agent）与Cisco Trust Agent（思科可信代理）；CTA可以从多个安全软件组成的客户端防御体系收集安全状态信息，例如防毒软件、操作系统更新版本、信任关系等，然后将这些信息传送到相连的网络中，在这里实施准入控制策略。
2、 网络接入设备；包括路由器、交换机、防火墙以及无线AP等。这些设备接受主机委托，然后将信息传送到策略服务器，由策路服务器决定是否采取什么样的授权。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。
3、 策略服务器；负责评估来自网络设备的端点安全信息，比如利用图中的Cisco Secure ACS服务器（认证+授权+审计）配合防病毒服务器使用，提供更强的委托审核功能。
4、 管理服务器；负责监控和生成管理报告，Cisco Works VPN、VMS、SIMS等。

NAC结构图

   NAP与NAC在架构上基本是由Policy Server策略服务器、Controller控制器、Agent 代理、Enforcer执行器这四个组件所组成。二者的区别主要在于Cisco偏重于在接入设备上升级安全特性，而微软则力主在操作系统本身上增加更多的安全服务。