Windows Server 2008 中策略驱动网络访问

　　移动员工日益增多，需要访问组织 IT 资源的用户和设备种类日见增长，从而导致传统的网络外围退出历史舞台，这方面的文章已经有许多。为提高生产力，用户和业务线所有者们大力提倡既流畅又简约的连接体验。这样，原本已经复杂的情况又增加了许多法规符合性负担、处于演变的威胁环境以及与数据分散相关的风险。

　　这往往使得 Windows 管理员在充满挑战的安全性中间需求一种平衡行为：如何能够轻松地访问资源，同时仍满足日益增长的信息和网络安全要求。

　　尽管所有这些挑战可能没有一个万全的解决方案，但作为 Windows 管理员，您还是可以利用许多工具来更好地控制安全性，如您已具有的边缘防火墙。为了帮助在访问权限和安全性之间达到适当的平衡，最佳方法是将传统的连接性模型转型为力求以更具逻辑和侧重策略的方式定义网络访问。

　　策略驱动的网络访问方法

　　联网资源

　　●IPsec

　　●具有高级安全性的 Windows 防火墙

　　●服务器和域隔离

　　●Windows Server 2008 的网络访问保护 (NAP)

　　策略驱动的网络访问的目的是：打破在主要根据网络拓扑边界建立基本信任时所遇到的现有限制。例如，只因为某个设备插入到您公司防火墙后面的以太网交换机端口之一中，您就能真正确定应信任该设备并授权其连接到运行“客户关系管理”(CRM) 应用程序的服务器吗?

　　相反，新模型通过验证设备的安全状况和请求访问的用户身份来制定访问决策，而不考虑用户从哪里进行连接。验证完成后，此相同框架随后可用于授权可以访问的信息和资源。

　　从防护状态转变为更注重访问权限的模式涉及诸多关键因素，包括需要可验证连接主机的身份和策略合规性的现成机制、签发受信任的用户身份，以及根据这些属性动态地控制网络访问。为简化这些形式多样的可变部分的管理，集中式策略存储也是一个重要的组成部分。