【IT168 专稿】2007年一月底，千呼万唤的Windows Vista隆重上市，同时微软服务器家族的下一力作，Longhorn Server也一步步向我们走来，作为下一代的服务器操作系统，Longhorn是否可以在现在的网络环境中承诺给用户更多的保护呢？

    每当谈到安全问题，微软必然成为众矢之的，刚刚上市的Windows Vista虽然以“有史以来最安全的操作系统”自居，但早在其公测阶段就受到了业界众多专家的置疑，来自欧洲的黑客更是成功的绕过了Vista引以为豪的Kernel Patch Protection和 Mandatory Driver Signing，装载了存在风险的硬件驱动。

    对于与Windows Vista拥有太多“血缘关系”的Longhorn Server，它的安全问题是否会令人满意呢？实际上Longhorn Server在安全方面花费了太多太多的心血，同时Longhorn Server 也带给用户更加便捷的管理操作以及更加出色的性能体验。而这些改变正是企业用户迫切需要的，我们针对现有的Longhorn Server Beta版本进行了安全方面的测试，经测试，我们真实地感受到了Longhorn Server在安全方面努力。无论是在安装还是配置阶段，我们都深刻的体会到了这一点——操作系统的模块性、客户端的安全检查，加之增强的防火墙和新的IP栈构成了Longhorn Server一套完善的安全体系。 

内网安全保障

    在全新的Longhorn Server 中，我们可以看到许多针对原先Windows系统的安全隐患的改进，而这些细微之处的变化也许用户都不会察觉到，例如：在初始化配置任务向导运行的时候，服务器将无法通过网络访问，从而避免了系统遭受攻击的可能；而在一些大的方面，微软则利用例如NAP (Network Access Protection网络访问保护)这样的技术来为远程连接提供更加安全的防护。

    NAP可提高移动计算机和内部网络的安全性。通常，带着笔记本电脑旅行或者出差的用户不会连续几个星期与内部网络相连。当他们通过VPN或者其他方式连接公司内网时，连接时间可能会非常短，以至于来不及下载最新的更新内容、安全配置设置和病毒签名。因此，笔记本电脑所处的安全状态往往不及其他计算机。“网络访问保护”可提高这些移动计算机的安全性，因为它可确保在用户连接到网络前安装最新的更新内容。

    NAP的全称是Network Access Protection，它是Longhorn Server自带的功能。NAP的作用就是帮助企业管理接入到企业中的计算机必须符合企业的安全标准，只有符合企业标准的计算机才能够访问公司的内部网络，不符合标准的计算机被限制在企业的网络之外。这就有效的保证了企业的网络不会受到某个不安全的计算机接入而受到破坏。NAP这一功能非常适合于那些经常需要合作伙伴计算机接入企业网络内部的场景。

    在整个保护过程中，NAP针对存在风险的客户提供了3种解决方案：第一种是通过策略限制他们在内网中的访问；第二种是将这些用户隔离到一个指定的网段以等待下一步处理；而第三种则是直接为这些用户下载最新的更新内容、安全配置设置、防火墙设置和病毒签名等等。这些“查缺补漏”的工作则可以通过微软的一些管理软件来完成，比如SMS (Systems Management Server) ，同时这些受限的用户也可以通过策略配置的URL去访问公司内网的一些补丁分发服务器等。

    为了完成NAP功能，客户端还需要有NAP的客户代理程序。Longhorn Server 和Windows Vista 中都含有这个代理，Windows XP则需要单独下载这个代理程序，如果某客户端缺少当前安全更新、病毒签名或不符合安全条件，该代理将阻止该客户端连接到内部网络。该代理将客户端的运行状况状态（例如，安装了当前更新和最新病毒签名）报告给基于服务器的网络访问保护增强服务，该服务确定是授予客户端访问内部网络的权限还是限定其访问某个受保护的网络。客户端所具有的功能取决于“网络访问保护”的基础结构，结构则包含在 Longhorn Server 中。不过要想配置NAP功能，在服务器Longhorn Server 端的工作还是比较复杂的，用户需要配置NAP Administration Server、System Health Validator、Health Policy、Health Certificate Server、Remediation Server和Policy Server。

    NAP功能虽然强大，但是也有一些不好的消息，那就是这个被命名为NAP的网络访问保护技术，要求对我们现有的桌面操作系统加以改进或者升级。如果希望实现Longhorn Server 的NAP 保护，那么就要在现有的XP系统上安装补丁或者直接将操作系统升级为Windows Vista。但现实情况是，更多的组织和企业还在使用着多种多样的操作系统，希望他们将桌面系统升级到Windows XP都是一件相当困难的事情，更不要说还没有普及开来的Windows Vista。

    与此同时，IT部门还不得不在培训和整体架构上再投入大量精力，因为当NAP保护技术对一台可能存在风险的计算机发出警告时，IT管理员不但要通过策略来限制它们在网络中的访问，还要调整他们原先的架构，架设内网中的“补救服务器”来补上这些计算机可能存在的风险，只有所有的安全策略全部被符合时，这台计算机才可以被认可为合法的终端用户。

    好在在测试中，NAP的保护功能做的还是非常出色的，当一台没有按照安全策略规定开启Windows 防火墙的计算机通过DHCP连入内网的时候，NAP成功了对其进行了隔离，并且自动将客户端计算机的防火墙开启。随着Longhorn Server 更加成熟的版本的推出，NAP这一功能也将更加完善，更加强大。

防火墙的高级保护

    虽然现在市场上对于数据安全的重点还集中在终端上，但是基于网络的防火墙依然是防御的第一线。在过去，微软内建了一个只有传入限制的防火墙，而在Longhorn Server 中则是引入了一个全新的Windows 防火墙。在测试中我们看到了这个新的防火墙强有力的安全保障，尤其在定制策略方面的改进更是让人耳目一新。

    在如今这个信息爆炸的年代，人们已经不再局限于自己电子设备上的资源，越来越多来自其他计算机和网络的资源为我们的生活、工作提供了极大的便利，但是在我们浏览或者下载这些资源的时候，病毒和恶意软件也不请自来的侵入了我们的计算机。

    为了有效的防范这些病毒和恶意软件，最有效的工具莫过于各种各样的防火墙产品，而这其中Windows自带的防火墙无疑是我们最容易体验的一款产品，Longhorn Server 中内置的个人防火墙基于 Microsoft Windows XP Service Pack 2 中包含的功能构建。它还包括应用程序相关的出站筛选，该筛选可提供对通信的完全、定向控制。默认情况下，所有的传入请求都是被阻止的，除非它匹配用户制定的策略。例如，Longhorn Server 中的 Windows 防火墙将允许管理员阻止应用程序（例如，对等共享应用程序或即时消息传递应用程序）联系或响应其他计算机。这些限制可以是源或者目标IP地址，活动目录的组或者帐户，源或目标TCP和UDP端口，ICMP通讯和服务等等。此外，Longhorn Server 防火墙设置还可由“组策略”对象进行配置，以简化可管理性。

    我们清楚的看到基于策略的管理功能尤为适合于帮助单一安全设备的配置，管理员可以选择三种基本配置方案：域配置、私有配置和公共配置，而他们将满足不同的网络安全配置。域配置方案适用于已经配置了域环境的企业，私有配置适合于家庭或者小型办公环境，而公共配置则可以帮助我们保护那些直接连接到Internet的用户。

    像Windows Vista中一样，Longhorn Server中的防火墙默认也是开启的，以从一开始就保护计算机。Windows 防火墙现在包括入站和出站两种筛选，以用来限制操作系统的一些不合法的操作，例如当某一个Windows的服务组件被设计用来向其他计算机发送消息时，Windows 防火墙将阻止这些消息，从而阻止可能的病毒传播。Longhorn Server 中的防火墙还可以让IT 管理员有能力阻止例如点对点共享，或者是及时消息软件的安装。

    同时，Longhorn Server的防火墙还提供了与IPSec更加紧密的结合，使得用户更加容易的进行配置。对于IT专业人士来说，他们还可以选择MMC中的高级管理工具，甚至是使用命令行和脚本工具来进行深入、全面的防火墙规则设置。在IPsec整合中，Longhorn Server 还提供了5种简便但足够强大的规则，其中包括：isolation, authentication exemption, server-to-server, tunnel or custom。这些隔离规则用来限定不同授权用户的访问权限。这些工作在原来虽然也可以完成，但是复杂程度却要比现在多上数倍。
 

下一代 TCP/IP 堆栈
 
    在网络方面也许Longhorn Server 带来的最大变化就是TCP/IP栈的重新设计，IPv6 在 Windows XP 和 Windows Server 2003 中如果希望实现是需要双堆栈体系结构。也就是说原来要想支持IPv6还需要另外安装协议，而现在“下一代 TCP/IP 堆栈”支持双 IP 分层体系结构，在该结构中 IPv4 和 IPv6 实现共享相同的“传输层”和“分帧层”。“下一代 TCP/IP 堆栈”默认启用 IPv4 和 IPv6，无需另外安装组件即可获得对 IPv6 的支持。

    “下一代 TCP/IP 堆栈”会自动感应网络环境并调节关键性能设置，例如 TCP 接收窗口被扩展到了16M。改进后的堆栈自动调节和配置减少了需要手动配置 TCP/IP 设置的情况。

    同时Longhorn Server 还支持强主机模式，当单播数据包到达主机时，IP 必须判断该数据包的目标位置是否为本地（其目标位置与分配给主机某接口的地址匹配）。使用弱主机模式的 IP 实现会接受目标位置是本地的任何数据包，而不考虑接收数据包的接口。对于使用强主机模式的 IP 实现，只有数据包中的目标地址与分配给接收数据包的接口的地址匹配时，才接受目标位置是本地的数据包。

     Windows XP 和 Windows Server 2003 中的当前 IPv4 实现使用弱主机模式。“下一代 TCP/IP 堆栈”支持 IPv4 和 IPv6 的强主机模式，并默认配置为使用该模式。用户也可以将“下一代 TCP/IP 堆栈”配置为使用弱主机模式。弱主机模式能提供更好的网络连接，但该模式也使主机容易受到基于多宿主的网络攻击。

    除此以外，Longhorn Server 在数据存储与安全性方面还有许多新的功能，例如微软的BitLocker技术，它可以利用USB设备来进行数据的全卷加密，同时Longhorn Server 也默认支持虚拟技术，新的Windows 管理程序支持Intel VT 或者 AMD-V chip来完成虚拟机，虚拟系统的使用。最终使真正的操作系统成为一个平台来发挥软硬件最大的利用价值。

    当我们只用了大概45分钟完成了系统的安装后，我们便开始一次次的享受着Longhorn Server带给我们的全新安全体验，相比之前的服务器端操作系统，Longhorn Server 在安全方面确实有了更加全面的进步，随着Beta版本的不断完善，我们期待着Longhorn Server 可以为我们带来更大的惊喜。