共用方式為


Windows Vista

使用 Windows Vista 架設企業網路

Jason Leznek

 

摘要:

  • 下一代 TCP/IP 堆疊
  • 使用者為主的網路工具
  • 改善網路安全性
  • 簡化網路管理工作

您還記得上一次嘗試一整天卻無法連線到公司網路的情況嗎?想像一下:無法存取電子郵件、無法瀏覽網際網路、無法使用

印表機或檔案共用。無法存取銷售資料庫中的重要資料。您根本無法工作。

網路連線能力對於大部分的人來說,是執行工作的關鍵能力。同樣地,使用者期望行動更自由,能夠隨時隨地讓公司所屬的筆記型電腦連線到任何公用或家用網路。但是,您是否對錯綜複雜的安全性生畏?

Windows Vista™ 網路功能團隊的工程師瞭解連線能力的重要性,而且從推出 Windows® 95 開始,便不斷努力提供最佳的網路功能創新。隨著 Windows Vista 的問世,網路功能變得更容易使用、更安全、更易於管理,並且能針對各種網路做最大程度的調整。

發行 Windows XP 至今業已五年。其間發生了許多變更,包括使用者隨時隨地需要更普遍的無線網路功能、政府或業界制定的規範如 Sarbanes-Oxley 和 HIPAA,以及降低成本與更有效運用現行投資的需要。使用者期望網路資源「垂手可得」,對於可能發生的輕微連線問題也變得無法容忍。結果使用者較以往更富行動自由,他們不只是連線到公司網路,也可能會連線到四周的任何網路。

開始使用堆疊

Windows Vista 擁有更新的 TCP/IP 堆疊實作,其中包括大幅改善的功能,可解決數項最常見的網路問題,提供更高的效能與輸送量、原生 Wi-Fi 架構,以及檢查網路封包的 API。

若要充分運用網路,則需要對 TCP/IP 組態設定進行複雜的調整。Windows Vista 會偵測網路狀況並自動最佳化效能,免除了手動進行調整的需要。在高損失率的網路上 (例如無線網路),Windows Vista 更能從單一或多個封包損失復原。它能動態增加或減少 TCP 接收視窗,以充分運用連結。使用者透過高速/高延遲的 WAN 傳輸檔案,或從網際網路下載檔案時,會發現傳輸速度已快上許多。

Windows Vista 也已將原生無線網路架構 (原生 WiFi) 納入為核心網路堆疊的一部分。其優勢包括彈性地在多種品牌和機型的硬體上部署、不受硬體影響的相似使用者經驗,以及更可靠的協力廠商無線 NIC 驅動程式。Windows Vista 中的無線網路可集中管理,支援最新的安全性通訊協定,並且提供使用者更完整的網路經驗。

Windows 篩選平台 (WFP) 是下一代 TCP/IP 堆疊中的全新架構,其提供的 API 能讓協力廠商軟體開發人員參與 TCP/IP 通訊協定堆疊中,數個通訊層上進行的篩選決策,而不需自行撰寫核心模式應用程式。此平台還支援下一代防火牆功能,例如,驗證的通訊和以應用程式的 Windows Sockets API (應用程式為主的原則) 使用情況為主的動態防火牆設定。

提升使用者的能力

網路和共用中心 (Network and Sharing Center) 是專門讓使用者檢查網路狀態的位置,包括使用者是否已連線、連線目標為何,以及使用者位於區域網路或是網際網路上 (請參閱 [圖 1])。使用者還可以檢視電腦上各種網路服務的狀態。電腦是否可在區域網路上顯示?是否有任何共用的資料夾或印表機?使用者還可以建立或連接到現有的網路,無論是臨機操作網路或基礎結構無線網路、VPN 或家用寬頻連線。

圖 1 網路和共用中心

圖 1** 網路和共用中心 **(按影像可放大)

Windows Vista 還可以診斷和解決許多連線問題,而不需要使用者致電服務台。「網路診斷架構」能讓 Windows Vista 從應用程式的動作判斷出連線問題的根本原因。例如,如果使用者無法連線網際網路站台,「網路診斷」將嘗試追蹤問題,從是否有作用中的無線網路和有效的 IP 位址,乃至於存取 DNS 伺服器、尋找 Proxy 伺服器,以及從網頁伺服器取得回應。

如果找到問題,使用者會收到清楚說明問題以及如何解決的訊息 (請參閱 [圖 2])。有時候這就像點選回應一般的簡單。不過,有時候使用者必須進行組態變更,而對話方塊會將使用者引導至正確的位置。使用者或許會因為未具備足夠的知識或管理權限而無法採取適當的動作;事件檢視器中會記錄更詳細的資訊,可協助服務台迅速解決問題,而不必花上數小時進行疑難排解。

圖 2 疑難排解連線問題

圖 2** 疑難排解連線問題 **(按影像可放大)

Windows Vista 擁有應用程式可呼叫以取得連線狀態的網路覺察 API,能讓應用程式察覺連線中的變更,並且識別電腦目前連接的網路類型 (網域、公用或私人)。當 Windows Vista 能夠透過網路存取網域控制站時,會自動切換至網域設定檔。此類別中不能放置其他網路。除非使用者或應用程式將網路識別為私人,否則其他所有網路都會分類為公用。代表網際網路的直接連線或在公共區域 (例如機場或咖啡店) 中的網路應保留為公用。只有位於私人閘道裝置背後的網路應識別為私人網路,例如,家用或小型企業網路。

有了「網路覺察」,具有進階安全性的 Windows 防火牆 (將於稍後討論) 這類應用程式就能根據目前連線的網路類型擁有不同的設定,並且在網路類型變更時自動切換設定。例如,管理員可能已將防火牆設定為在電腦連線網域網路時,針對桌面管理軟體開啟特定通訊埠,但這些通訊埠應在使用者於公用作用點作業時自動關閉。

群組原則在 Windows Vista 中同樣具備網路覺察能力:它會自動獲知電腦位於網域網路上,並且開始處理任何新的群組原則設定,而不會等到下一個重新整理週期。這表示即使 Windows Vista 才剛結束休眠,它也會在連線至網域網路時自動檢查新的群組原則設定。如此可讓管理員爭取時效,更迅速地部署安全性設定。

保護網路安全

威脅有多種類型:使用者存取不明的無線網路、連線至企業網路的不安全公用電腦,以及嘗試存取本身未具備存取權之資源的未受管理資源。光是這些就足以讓網路管理員終日忙碌又輾轉反側。Windows Vista 可藉由提供完整且易於設定的增強型網路安全性功能,在這些情況中予以協助。

Windows Vista 中的原生 Wi-Fi 架構能夠廣泛支援最新的安全性通訊協定,包括 Wi-Fi 保護的存取 2 (WPA2) 企業版和個人版、PEAP-TLS 以及 PEAP-MS-CHAP v2 (具備傳輸層安全性與 Microsoft Challenge Handshake 驗證通訊協定的受保護可延伸驗證通訊協定)。這項廣泛的支援能確保 Windows Vista 與幾乎所有無線基礎結構之間的互通功能。Windows Vista 會檢查無線網路卡的功能,而大部分通訊協定是在連線或建立無線網路時根據預設所選擇。若使用 EAP-HOST 架構,Windows Vista 就能支援硬體廠商或組織自訂的驗證機制。

Windows Vista 包括多項有關無線用戶端行為的改善功能,可減少常見的無線攻擊。用戶端將只會自動連線至使用者明確要求或識別為慣用網路的網路,並且不會自動連線臨機操作網路。如果使用者即將起始不安全的網路連線,用戶端還會顯示警告。此外,用戶端將減少主動探查的慣用網路,並且只有在使用者指示時探查,讓攻擊者更難識別用戶端嘗試連線的網路為何及使用相同名稱建立惡意網路。

Windows Vista 原生無線用戶端支援單一登入 (SSO) 功能,該功能會在適當時機執行網路安全性設定的 Layer 2 網路驗證,同時整合使用者的 Windows 登入經驗。一旦設定了單一登入設定檔,網路登入將優先於 Windows 登入。此功能會啟用例如群組原則更新、登入指令碼和無線啟動程序載入等情況,而這些情況需要網路能力才能讓使用者登入。

具有進階安全性的 Windows 防火牆為 Windows 平台帶來了新層次的網路安全性,同時支援輸入和輸出篩選以及 Windows Service Hardening。如果防火牆偵測到 Windows 服務發生 Windows Service Hardening 網路規則所定義的行為異常,則防火牆會封鎖該服務。具有進階安全性的 Windows 防火牆亦支援驗證的繞道,能讓通過 IPsec 驗證的特定電腦繞過防火牆規則進行遠端管理工作。

Windows 防火牆的其中一項重大變更就是與 IPsec 整合。在過去,管理員必須倚賴兩種不同的工具:防火牆和 IPsec 部署及管理工具,建立一組分層的網路安全性規則。而有了 Windows Vista,管理員就能建立可結合防火牆通訊埠與 IPsec 規則的簡單網路安全性規則,以保護網路避免未經授權的存取。此項整合提供了強制執行已授權之點對點網路通訊的簡單方式,藉此提供受信任網路資源的可調整分層存取,並且/或保護資料的機密性和完整性。

管理員可以利用邏輯的方式,將企業網路隔離在可由任何電腦 (包括訪客) 存取的區域中,或是只能由已通過網域驗證的電腦存取的區域中 (網域隔離)。管理員可進一步隔離只能由特定的一組使用者或電腦存取的特定伺服器,例如 HR 應用程式伺服器僅限 HR 群組的電腦存取 (伺服器隔離),如 [圖 3] 所示。

圖 3 伺服器和網域隔離

圖 3** 伺服器和網域隔離 **

病毒或蠕蟲可透過行動筆記型電腦進入私人網路,並且迅速感染其他電腦。連線至以 Windows Server "Longhorn" (為下一版的 Windows Server) 為主的網路基礎結構時,Windows Vista 將支援網路存取保護 (NAP),以降低不安全的電腦透過 VPN 連線或直接連線至私人網路時的風險。如果執行 Windows Vista 的電腦沒有最新的安全性更新、病毒簽章,或不符合企業安全性需求,NAP 就會封鎖這部電腦完整存取網路的能力。這部電腦將只能連線受限的網路,並且可下載和安裝更新、病毒簽章,或符合目前健康狀態需求所需的組態設定。

簡化網路管理工作

Windows Vista 中的網路功能設計為支援高層次的管理能力,以協助降低部署無線網路和網路安全性原則的成本,並且為應用程式和使用者提供高品質的服務。Windows Vista 會進一步透過 Network Shell (NETSH) 使用群組原則或命令列指令碼管理網路功能,因此您不需學習或部署新的管理工具,並且可以充分利用 Active Directory® 中的現行投資和已建立的組織單位 (OU) 結構。

在稱為「具有進階安全性的 Windows 防火牆」(請參閱 [圖 4]) 的單一精靈驅動 Microsoft Management Console (MMC) 嵌入式管理單元內,或透過 NETSH 的命令列指令碼部署和管理網路安全性規則 (結合防火牆和 IPsec 原則) 更為容易。新的嵌入式管理單元提供簡單的方式,讓您部署輸入或輸出篩選與連線安全性規則,以限制特定使用者、電腦或應用程式的存取,同時提供更深入的系統管理控制。IPSec 可藉由使用者、電腦或狀況憑證要求驗證 (與網路存取保護整合),以根據情況提供安全性原則。嵌入式管理單元可簡化建立伺服器或網域隔離規則的作業,由於它是以群組原則為基礎,因此您可以根據商務結構設定目標規則。

圖 4 具有進階安全性的 Windows 防火牆

圖 4** 具有進階安全性的 Windows 防火牆 **(按影像可放大)

使用群組原則還可以定義行動用戶端連線無線網路,以及在無線網路上操作的方式。例如,公司可定義要求所有無線連線使用特定通訊協定,或是所有連線必須限於特定無線網路的原則。由於必須透過群組原則才能進行這些設定,因此可防止使用者變更這些設定。

NETSH 可啟用自動化和指令碼,協助無線網路連線的疑難排解。管理員可使用命令列介面驗證、變更或移除用戶端的無線網路組態設定檔。這些組態設定檔還可以匯出到其他電腦或從其他電腦匯入,以加速完成多部電腦的設定。

由於高頻寬的應用程式會消耗所有可用容量,而應用程式並非撰寫成給予 IT 管理員中央頻寬控制權,因此可能會降低網路品質。加入更多頻寬可能仍無法解決這些問題,反而只會導致這些應用程式消耗新增加的頻寬。利用原則為主的服務品質 (QoS),管理員就能設定優先順序和/或調節輸出網路流量,而不需要修改應用程式。原則可以將輸出流量標上「區別服務代碼點」(Differentiated Services Code Point,DSCP) 值,讓路由器設定優先順序,或讓 Windows Vista 調節送出的輸出流量 (無論路由器設定為何)。結合這兩種技術就能提供更大的彈性。[圖 5] 顯示建立 QoS 原則。

圖 5 建立 QoS 原則

圖 5** 建立 QoS 原則 **(按影像可放大)

為企業量身訂做且提供更多益處

企業級的組織支援網路時,經常會擔心延展能力的問題。例如,可用的 IP 位址變得不夠用,尤其是因商務需要而使每位使用者必須使用多個網路裝置,例如,額外的筆記型電腦和 Smartphone 等行動裝置。同樣地,當您想要提供額外的網路服務 (例如 IPsec) 時,可能也會考慮對 CPU 負載造成的影響。而 Windows Vista 支援 IPv6 和硬體卸載功能,可以解決網路延展性方面的顧慮。

為了解決公用 IPv4 位址受限的問題,許多政府機關、ISP 及其他組織都將轉換為 IPv6 這個引領網際網路的下一版網路通訊協定。Windows Vista 透過雙層 IP 堆疊架構同時支援 IPv4 和 IPv6。IPv6 是預設啟用的功能,藉由連通 IPv6 流量到私人 IPv4 網路或網際網路的 IPv6 轉換技術,雙層堆疊支援可以讓您逐步移轉成使用 IPv6。Windows Vista 原本即支援 PPPv6 和第二層通道通訊協定 (L2TP/IPv6) 虛擬私人網路 (VPN),能讓遠端存取使用者充分利用 IPv6 網路的益處。

Windows Vista 支援將網路流量處理卸載至專用的網路介面卡。新的卸載功能包括 IPv6 和 TCP Chimney 卸載。這些架構上的創新可最佳化效能與網路輸出量,達到現今高速網路能實現的效能與營運收益。運用相容的網路介面卡硬體可消除與網路封包處理相關的瓶頸,例如 CPU 負荷與可用的記憶體頻寬,而不需變更現有的應用程式或網路管理工具。

網路堆疊還可支援接收端擴充,能夠動態平衡輸入網路連線,如此即可在多個處理器或核心之間分擔負載,並降低處理網路流量時可能發生的瓶頸。

總結

Windows Vista 象徵著自從 Windows 95 問世以來,Windows 網路功能的重大更新。使用者將發現,在四處移動時能更輕鬆地利用有線和無線網路。有了新的自動調整網路堆疊,檔案傳輸將更快速。而企業將能夠降低安全性風險,包括改善的保護能力,以對抗來自行動和無線使用者的威脅。系統管理員將發現 Windows Vista 更容易管理,並且能夠針對網路流量建立詳細的安全性原則,以及針對關鍵任務應用程式建立 QoS。這些新功能可讓您更充分利用網路基礎結構,同時大幅減少管理工作並提升使用者產能。

其他資源

Jason Leznek 是 Windows Vista 網路功能的資深產品經理,在 Microsoft 服務將近十年,加入 Windows Vista 團隊之前原為 Windows Server Update Services 和群組原則的產品經理。而更早之前則從事 Microsoft 企業客戶調查工作長達七年。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.