移动员工日益增多，需要访问组织 IT 资源的用户和设备种类日见增长，从而导致传统的网络外围退出历史舞台，这方面的文章已经有许多。为提高生产力，用户和业务线所有者们大力提倡既流畅又简约的连接体验。这样，原本已经复杂的情况又增加了许多法规符合性负担、处于演变的威胁环境以及与数据分散相关的风险。

　　这往往使得 Windows 管理员在充满挑战的安全性中间需求一种平衡行为：如何能够轻松地访问资源，同时仍满足日益增长的信息和网络安全要求。

　　尽管所有这些挑战可能没有一个万全的解决方案，但作为 Windows 管理员，您还是可以利用许多工具来更好地控制安全性，如您已具有的边缘防火墙。为了帮助在访问权限和安全性之间达到适当的平衡，最佳方法是将传统的连接性模型转型为力求以更具逻辑和侧重策略的方式定义网络访问。

　　策略驱动的网络访问方法

　　联网资源

　　●IPsec

　　●具有高级安全性的 Windows 防火墙

　　●服务器和域隔离

　　●Windows Server 2008 的网络访问保护 (NAP)

　　策略驱动的网络访问的目的是：打破在主要根据网络拓扑边界建立基本信任时所遇到的现有限制。例如，只因为某个设备插入到您公司防火墙后面的以太网交换机端口之一中，您就能真正确定应信任该设备并授权其连接到运行“客户关系管理”(CRM) 应用程序的服务器吗?

　　相反，新模型通过验证设备的安全状况和请求访问的用户身份来制定访问决策，而不考虑用户从哪里进行连接。验证完成后，此相同框架随后可用于授权可以访问的信息和资源。

　　从防护状态转变为更注重访问权限的模式涉及诸多关键因素，包括需要可验证连接主机的身份和策略合规性的现成机制、签发受信任的用户身份，以及根据这些属性动态地控制网络访问。为简化这些形式多样的可变部分的管理，集中式策略存储也是一个重要的组成部分。

　　采用策略驱动方式后，您可将多个迥异的网络访问归纳到一起，并将多个安全控制托管在一个更全面的解决方案中。这样，您就可以在连接构造之上的逻辑层设置网络访问基本规则，进而改进以深层防御为主的传统最佳实践。

　　例如，当用户将其便携式计算机连接到组织的无线网络时，可根据最新的安全配置要求来检查设备的合规性。一旦确定该便携式计算机具备所有最新的防病毒更新和重要的安全补丁，并且启用了其所有端点安全控制(如主机防火墙)，就可授予对公司网络的访问权限。之后，当用户尝试访问业务应用程序时，会使用该便携式计算机的运行状况和用户的网络身份这两种因素为依据，确定是否授权该用户连接到托管应用程序的资源。通过在物理网络基础结构之上的逻辑层进行操作，可以持续地强制执行策略，即使用户从无线转为有线，甚至远程访问连接。

　　实施后，策略驱动的网络访问可为用户提供更为顺畅的连接体验，而不影响进程的安全性。对于管理员，从交换机端口或远程访问网关配置来提升网络访问控制可简化管理。在这两种情况下，最终结果均是提高了生产力和组织网络运行状态的总体改进，即使网络中的各方具备不同的访问权限(例如，受邀来宾或其他来宾、供应商、合作伙伴和员工)也是如此。

　　与任何其他安全项目相同，实施策略驱动的网络访问的第一步是开发一组全面的操作策略。这通常包括以下几方面的指导方针：

　　设备安全合规性—设备运行状况良好的含义是什么?

　　逻辑网络分区—如何从授权设备中区分出运行状况不佳的设备?

　　信息风险管理—如何分类敏感数据并保护其免受损坏?

　　幸运的是，Microsoft® TechNet 安全中心 汇集了各式各样的策略开发资源。

　　一旦开发出访问策略，您将需要选择那些既能轻松部署，又能有效地强制执行它们的技术。Windows Server® 2008 正是您理想的选择。这是因为它不仅是目前为止最安全的 Windows Server，还为管理员提供了稳固的安全平台，让策略驱动的网络访问解决方案具备了扎实的基础。在其众多新功能和增强功能中，Windows Server 2008 提供了大量必要组件，用于实现以策略为基础的安全网络访问，从而有助于确保敏感信息不受损坏。