不管你喜不喜欢,微软的Vista来了,终于来了。作为网络管理员,你当然没有必要急着在自己的公司里用上它,你可以等第一批使用者(往往是家庭用户)用了之后再决定,因为他们会在数番磨难之后发现新软件中必然存在的最明显的安全漏洞。这款新的操作系统也许从一开始就把安全问题牢记在心,但事实上没有人知道会发现什么漏洞。只有经过试用检测并打满补钉后才能成为安全的操作系统——表面闪闪发亮的新系统是不可能安全的。
不过管理Vista客户的网络是迟早的事,因为对windows 2000和XP的支持终将走到尽头——正象windows 98和ME的情形一样。那么从网络管理员的角度来看,究竟能对Vista抱有什么期望呢?
Vista其中一个引人之处可能是在操作高带宽网络时具有更快的速度,这要归功于微软所谓的“Vista下一代TCP/IP堆栈”技术。这一新的堆栈技术支持TCP接收窗口自动调节(Receive Window auto tuning)功能,该功能可以不间断地决定接收数据缓冲器的最佳大小并作出相应调整,这在理论上能提升网络在堵塞时的性能。在高带宽、高潜伏期网络中,TCP连接采用的是大接收窗口,新TCP/IP堆栈中的复合TCP(CTCP)还能提高每一次的数据发送量。据微软介绍,CTCP和TCP接收窗口自动调节功能通过协同工作,可以带来巨大的性能提升。微软引用内部测试数据表明,在每秒1吉位、往返行程时间为50毫秒的连接中,大文件的备份时间缩短了近一半。
同时,下一代TCP/IP堆还集成了微软所谓的Windows过滤平台(Windows Filtering Platform),它能为TCP/IP数据包处理路径提供证据充足的访问。这项功能将为第三方销售商设计新型防火墙和防病毒产品开放一条通路,其中包括在基于应用的策略下可以动态配置的防火墙。
不过要提醒一句:Vista中的TCP/IP堆栈似乎都是全新的代码。从安全方面考虑,这确实是个非常不好的消息。Vista已发布的beta版本显示,TCP/IP堆栈仍然充满漏洞,一些研究人员指出,数年前在旧版微软堆栈中已经解决的安全漏洞又在Vista中出现了。其中大部分漏洞会在程序进厂压片之前得到修补,但是不可避免仍有很多漏洞存在。
在策略方面,Vista集成了基于策略的服务质量(Quality of Service)体系结构,用于管理Longhorn网络上一个域范围的带宽。从本质上来说,管理员可以采用组策略(Group Policy)标记数据包,让路由器按优先级排序从而对流出网络的流量进行优先排序或者节流;或者根据用户组、产生流量的应用、源或目的IP地址、TCP或UDP端口号等,让Vista对外出流量进行节流。
虽然任何新的操作系统都会出现安全问题,但Vista确实内置了一些令人关注的网络安全特性,如网络访问保护(Network Access Protection),它集成在Longhorn Windows Server产品中。NAP能够让管理员在客户访问Longhorn网络之前,有效地指定运行在客户端的安全产品,如防病毒签名和安全补钉等。如果客户不符合这些安全策略要求,就会被连接至规定部分的网络,客户在那里下载正确的补钉或防病毒签名,然后再以正常方式接入网络。
新的Windows Firewall也令安全管理工作更加轻松。现在Windows Firewall是一个网络感知应用程序,这意味着你可以为每个网络目录建立一个概略图,而每个概略图中都包含不同的防火墙策略。这样当电脑连接至域网络时你就能指定流入数据可以到达某一个应用,或者在一个专用网络上可以实现文件和打印共享以及对等互联,但是当电脑连接至公共网络时,就要采用更严格的防火墙策略。这对于笔记本用户尤其重要,因为他们可能会在旅行时连接安全等级参差不同的各种网络,而在公司以内又必须能够不受限制地使用电脑。当用户在公司网络上无法访问所需的数据时,能够感知网络的防火墙可以打消用户想禁用防火墙的念头,这样当他们处于更危险的网络环境中时,防火墙继续保持启用状态。