W NAP możemy także wykorzystać protokół IPSec. W tym modelu stosuje się założenie, że sieć podzielona jest logicznie na trzy segmenty, a stacja kliencka nie może być członkiem więcej niż jednego z nich. Te trzy segmenty to kolejno:

sieć bezpieczna (secure network)

sieć graniczna/brzegowa (boundary network)

sieć niezaufana (restricted network).

Sieć bezpieczną tworzą komputery, dla których wystawiono tzw. certyfikaty zdrowia (health certificates), oraz które przyjmują próby nawiązania połączenia, wykorzystując certyfikaty zdrowia do uwierzytelnienia IPSec. W skład takiej sieci wchodziłaby większość serwerów i komputerów znajdujących się we wspólnej domenie. Z kolei sieć graniczna zbudowana jest z komputerów, które mają certyfikaty zdrowia, ale nie nakładają wymogów uwierzytelniania IPSec. Tutaj znalazłyby się przede wszystkim serwery naprawcze oraz te, które wystawiają certyfikaty zdrowia. Sieć niezaufana to również komputery bez certyfikatów zdrowia (np. goście, kontraktorzy, komputery z systemem Linux itp.). W takim trójwarstwowym modelu komputery sieci bezpiecznej mogą nawiązywać połączenia z dowolnym komputerem w każdej strefie. Przyjmą jednakże tylko połączenia uwierzytelnione ze swojej sieci oraz z sieci granicznej. Komputery ze strefy granicznej przyjmą natomiast zarówno połączenia z sieci bezpiecznej, jak i niezaufanej. Wreszcie komputery z sieci niezaufanej mogą nawiązywać komunikację z komputerami znajdującymi się w sieci granicznej i niezaufanej. Zastosowanie tego modelu umożliwia wprowadzenie mechanizmu "naprawy" stacji niezgodnych z polityką NAP, przy jednoczesnym odseparowaniu ich od komputerów, które taką weryfikację przeszły prawidłowo.

W architekturze NAP potrzebny jest jeszcze jeden element, tzw. HRA (Health Registration Authority). Jego zadaniem jest uzyskiwanie certyfikatów w imieniu klientów dla aplikacji, jeżeli okaże się, że są one zgodne z polityką NAP.

Odczucia i wnioski

Należy jeszcze podjąć próbę całościowego spojrzenia na NAP jako na rozwiązanie, które powinno zaspokajać potrzeby typowej organizacji z różnorodną infrastrukturą. I tutaj pojawiają się pewne problemy, wynikające z "MS-centryzmu". NAP interesują tylko i wyłącznie urządzenia z systemem Windows.

A jak wygląda NAP z punktu widzenia administratora? Na początek ogólne wrażenia z instalacji. Podobnie jak w przypadku większości produktów Microsoftu, tak i NAP jest stosunkowo łatwy do uruchomienia, pod warunkiem, że mamy już zainstalowane i skonfigurowane wszystkie wymagane usługi dodatkowe, m.in. urząd certyfikacji MS CA, serwer RADIUS lub IIS. Na brak dokumentacji na szczęście nie można narzekać, a więc cały proces jesteśmy w stanie przeprowadzić bez zbędnych komplikacji. Niestety, wszystko to zajmuje sporo czasu i zdecydowanie nie jest to usługa typu plug and play.