第四节：网络安全

    微软自带的个人防火墙在各种网络评测里，总是毫无例外的名落孙山、稳坐倒数第一。但是在网络环境下，LH 的 NAP （网络接入保护）系统加上 Vista 终端的综合部署，就可以为网络管理员带来不错的集中管理效能。在讨论集中管理之前，我们先回顾一下微软的个人防火墙为什么口碑不好。

    微软的个人防火墙不是功能不强，而是规则设计非常落后。目前软件防火墙里，只有 Windows 防火墙支持 IPv6，其它解决方案都是硬件路由级的，可见 Windows 防火墙的强大。市面上大多数防火墙都有简单明了、规则清晰的特点，只有微软的这个产品过于简陋，违反微软一贯的通俗易懂作风。微软本身是做操作系统起家的，现在向着媒体播放、网络安全、杀毒杀木马等领域进军。微软在媒体播放领域已经挤跨了不少对手，在网络、杀毒领域还是新手，做出来的东西弱智当然不足为奇，但是凭借跟操作系统捆绑的优势，还是给软件厂商很大压力。

    根据业界消息，思科和微软正在着手帮助客户和合作伙伴部署整合的安全架构，实现思科网络准入控制（NAC）和微软网络接入保护（NAP）的互操作。这两家公司在2006年波士顿开幕的安全标准大会上演示了这一全新的互操作架构。在安全标准大会之上，思科与微软共同宣布Cisco NAC和Microsoft NAP将实现互操作，并具体阐述了如何将思科网络基础设施内嵌的安全功能与Microsoft Windows Vista、以及称为“Longhorn”的Windows Server未来版本相集成。这两个业界巨头的合作，无疑给网络安全带来一个更加广阔的前景。
 

图四：在NAP中，Longhorn Server 保护所有通过VPN、DHCP以及IPsec进行连接的通信

    看了一些介绍 NAP 的资料，发现这是一个网络版的组策略(Group Policy)。所谓组策略就是Windows域用户登陆到域的时候，系统自动运行的一些全局设置和批处理。那 NAP 做什么呢？就是企业网用户通过DHCP、VPN接入网络的时候，LH Server自动检测其系统补丁、病毒定义等状态，然后决定是否为其开放网络权限。当然，这是需要终端的软件支持的，目前只有 Vista 系统合乎要求，其它 Windows 操作系统都必须安装专门的终端软件。

    其实，这在企业网络安全中还是不够的。真正完美的 NAP，应该可以强制管理整个企业网内每台PC的全局防火墙定义，这样每台机器接入网络的时候都受受到全局防火墙策略的保护。有些人或许说，服务器管网络出口不就行了吗？大错特错了。笔者见过不少企业网的服务器本身是安全的，但是网内的个别PC机被病毒、木马攻击之后，传染了整个网络的PC机。究其原因，是因为内网用户缺少一个被全局监控的杀毒、防火墙策略。对于20人以下的小网好办，管理员经常检查就行，但是50人、几百人的大中型网络，人工检查的手段就不合适了。

    大家都知道 Symantec 的杀毒有网络版，是主机强制内网PC升级病毒定义的。问题在于 Symantec 的网络理念虽好，但是杀毒水平实在有限。个人使用经验，以及本人在若干个公司看到的情况，就单机杀毒而言 NOD32 和 Mcafee 比 Symantec 强很多。但是一般人的PC只装单机版的，如果可以通过 NAP 系统把杀毒软件的名称（允许某几种软件）和病毒定义文件日期（确保数据是最新的）做出规定，然后才可以访问网络资源，那绝对是个进步。

    至于防火墙，刚才已经提到了很多人更加倾向于使用第三方软件，因为它们简单明了。如果 Windows 防火墙能够进行重新设计或者配置，使其接受中心服务器的全局策略，然后用户再定义少数个人策略，那么配置的过程就会大大简化。只要服务器上做好配置，所有接入网络的PC、NoteBook自动接受中央管理，被木马攻击的可能性大大降低。当然，中心服务器必须订阅安全更新才能保障全网安全，对于一些独立服务器或者公司领导，可以设置DMZ区使用透明连接。

    请读者注意，关于用 NAP 系统集中管理 Windows 防火墙的讨论，虽然听起来很诱人，但它只是笔者的纸上谈兵。网络资料也只是提到用户可以使用具有高级安全功能的Windows防火墙，执行网络访问保护(NAP)策略，并没有详细的配置实例，或许是因为还没普及的缘故吧。对此功能感兴趣的读者，请向微软公司咨询或者安装LH Beta3之后自行探索。