微软网络接入保护（NAP）是一个基于软件的网络接入控制(NAC)产品，它或许非常适合微软的客户，能够与微软的其他产品整合在一起，事实上，它是作为Windows Server 2008的一个功能出现的。但是，Ball State大学为学校的有线网络寻求更多的网络保护的时候，他选择NAP还是有很多其他的原因。

　　在这个大学校园一系列的NAC部署中，负责大学业务系统和安全架构的Alex Chalmers描述了NAP解决方案的一些功能，并使之为大学服务。成本是其中一个方面。这个微软的客户Ball State大学通过使用微软的NAP，其在支持和维护方面每年节省了75000美元，并且建立五个新的服务器只是承担适度的费用。作为网络接入控制市场上最近出现的新产品，微软的NAP是该供应商2003年推出的Quarantine Server产品的遗传和演变。NAP获得了Forrester 研究公司的2008年度网络接入控制市场分析的最高级别奖，并且由于它的可扩展性、利用供应商的Forefront安全产品和Active Directory策略管理产品的能力以及与其他厂商的产品的集成性使它获得了更多的荣誉。

　　取代了思科的Clean Access

　　像所有的学术机构一样，Ball State大学也是需要一种有效的方式来加强它的安全策略并检查那些连接到它们网络上未被管理的设备的安全状态。

　　尽管这所大学之前已经成功地部署了思科（Cisco）系统公司的Clean Access工具用来验证无线网络连接，但是当Chalmers的团队转向一个有线的部署时，情况发生了转变。Ball State大学的网络由2100名教职员工和18000多名学生共享，它由一个防火墙分为主校区网络和学生宿舍。当学校举行会议的时候，这个网络大约会有20000个节点。

　　“我们的网络根据学校的规模设计的相当庞大，我们确定在使终端用户利用软件验证检查计算机方面还存在一些问题，并且确保在合适的地点，我们有适当的组件，” Chalmers提醒说。

　　受到新的网络接入保护产品中微软对执行标准使用的吸引——特别是802.1X——Chalmers成为一个试用客户。“执行802.1X使我们获得了很大的成功，它能够允许我们使用WPA，” Chalmers说，反过来，它也允许用户登录一次就可以了。（Wi-Fi网络安全访问（Wi-Fi Protected Access，WPA）为无线网络会议提供动态的加密密钥）

　　802.1X协议在有线网络上也同样起作用，他说。“我们这是一个完全的交换网络，可以部署多个虚拟局域网（VLAN），并且可以非常有效地进行隔离，不需要所有人都要返回到中央路由器上，在VLAN上就可以完成。我们可以在交换层上做完这一切。”

　　这种模式为Ball State大学的宿舍带来了挑战，那里并没有足够的站点实施802.1X。他的团队一直都在致力于为该大学宿舍研究出一个解决方案。

　　不过，NAP平台的灵活性为该宿舍解决方案提供了一个基础，Chalmers说。这种灵活性对于学校的混合麦金塔电脑(Macintosh，简称Mac）和PC环境同等重要（Ball State大约有20%都是Macintosh）。

　　不像其他的网络接入控制解决方案，只是为Windows提供安全或只为Macs提供验证，“NAP通过第三方部署给我们安全的选择，其他验证机制的增加可以使我们看到自己学校宿舍的网络，” Chalmers说。

　　“对于NAP有一定的选择，而并不是只有一个平台‘我们只能这么做’。这一点很吸引我们，”他说。

　　如果你是微软的客户，那么NAP确实能够很有帮助，Chalmers说。“如果你是一个Linux用户或者一个Apple用户，你就会遇到一些挑战，因为它确实是基于Active Directory、Windows servers等部署的，所以，针对不同的架构，可能会有更好的解决方案。”

　　另外一个值得考虑的是，801.2X可能是一个比较困难的协议，Chalmers说。对于那些还没有特定的网络来处理802.1X的企业们来说，部署成本或许有些高，他说。

　　Ball State大学的资金投入比较谨慎：运行在Windows 2008企业版上的五台新服务器为NAP提供了验证机制。现有的SQL服务器用来处理相关报告。那些需要更换的交换机已经成为了日常硬件翻新的一部分，他说。

　　Ball State大学到目前为止的进展报告如何？该大学处于最初的部署阶段，一直都在记录网络的安全状态。在一所大学内，保持每个人都在全力工作是至关重要的，因此，新的设置进行地比较缓慢。他希望在夏季能够进入到执行阶段。