Windows Vista

Windows Vista를 사용한 기업 네트워킹

Jason Leznek

한 눈에 보기:

• 차세대 TCP/IP 스택
• 사용자 중심의 네트워킹 도구
• 네트워크 보안 강화
• 네트워크 관리 간소화

회사에서 온종일 네트워크에 연결되지 않은 상태로 근무해 본 적이 있습니까? 전자 메일에 액세스할 수 없거나 인터넷 검색도 할 수 없었던 때를 생각해 보십시오.

그때는 프린터나 파일 공유를 사용할 수 없으며 판매 데이터베이스에 들어 있는 중요한 데이터에도 액세스할 수 없었습니다. 한마디로 네트워크에 액세스할 수 없으면 모든 업무가 마비됩니다.

네트워크 연결은 대부분의 사람들이 업무를 수행하는 데 있어 매우 중요합니다. 또한 이동이 잦은 사용자들은 회사 소유의 랩톱을 언제 어디서든 모든 공용 또는 개인 네트워크에 연결할 수 있어야 합니다. 그러나 이에 따른 보안 문제에 대해 생각해 보셨습니까?

Windows Vista™ 네트워킹 팀의 엔지니어들은 네트워크 연결의 중요성을 염두에 두고 이미 Windows® 95부터 혁신적인 네트워킹 환경을 만드는 데 온 힘을 기울여 왔습니다. 그 결과 Windows Vista에서는 네트워킹이 보다 사용하기 간단하고 안전하며 관리하기 쉬워졌을 뿐만 아니라 대규모 네트워크로의 확장도 가능해졌습니다.

Windows XP가 출시된 지 5년이 지났습니다. Windows XP 출시 이후 어디에서나 즐길 수 있는 다양한 무선 네트워킹 기능, Sarbanes-Oxley 및 HIPAA와 같은 정부 또는 산업 규정, 비용 절감 및 기존 투자의 보다 효율적인 활용 등과 관련하여 그 동안 많은 변화가 있었습니다. 이제 사용자는 네트워크 리소스를 "항상 액세스할 수 있는" 대상으로 생각하게 되었고 네트워크 연결에 조금이라도 문제가 생기면 불안해합니다. 마침내 사용자는 과거 어느 때보다도 이동이 훨씬 더 잦아졌기 때문에 회사 네트워크뿐만 아니라 지역 내 거의 모든 네트워크에 연결할 수 있게 되었습니다.

스택에서 시작

Windows Vista에는 업데이트된 TCP/IP 스택 구현이 포함되어 있습니다. 이 구현은 가장 문제가 되는 몇 가지 네트워킹 문제를 해결하여 더욱 뛰어난 성능과 처리량, 기본 Wi-Fi 아키텍처, 네트워크 패킷 검사를 위한 API 등을 제공하도록 향상되었습니다.

네트워크 사용률을 극대화하려면 TCP/IP 구성 설정을 조정해야 하는데 이는 복잡한 작업입니다. Windows Vista는 네트워크 상태를 확인하고 성능을 자동으로 최적화하기 때문에 구성 설정을 사용자가 직접 조정할 필요가 없습니다. 무선 네트워크와 같이 손실도가 높은 네트워크의 경우 Windows Vista를 사용하면 단일 또는 다중 패킷 손실을 보다 효과적으로 복구할 수 있습니다. Windows Vista는 TCP 수신 영역을 동적으로 늘리거나 줄여 연결 사용률을 극대화합니다. 고속 WAN 또는 대기 시간이 긴 WAN을 통해 파일을 전송하거나 인터넷에서 파일을 다운로드하는 사용자는 더욱 빨라진 전송 속도를 직접 느낄 수 있을 것입니다.

Windows Vista의 핵심 네트워킹 스택에는 기본 무선 네트워킹 아키텍처(기본 WiFi)가 포함되어 있습니다. 이는 여러 하드웨어 브랜드 및 모델에서 보다 융통성 있게 배포하고, 하드웨어에 관계없이 비슷한 사용자 환경을 제공하고, 타사 무선 NIC 드라이버를 보다 안정적으로 사용할 수 있다는 이점을 제공합니다. Windows Vista의 무선 네트워킹은 중앙에서 관리할 수 있으며 최신 보안 프로토콜을 지원하고 사용자에게 보다 원활한 네트워크 환경을 제공합니다.

WFP(Windows 필터링 플랫폼)는 차세대 TCP/IP 스택의 새로운 아키텍처입니다. 여기에 제공되는 API를 사용할 경우, 타사 소프트웨어 개발자는 고유한 커널 모드 응용 프로그램을 직접 만들지 않고도 TCP/IP 프로토콜 스택의 여러 계층에 적용되는 필터링 결정에 관여할 수 있습니다. 이 플랫폼은 또한 응용 프로그램에서 사용하는 Windows Sockets API(응용 프로그램 기반 정책)를 기초로 하는 동적 방화벽 구성 및 인증된 통신과 같은 차세대 방화벽 기능도 지원합니다.

사용자에게 보다 많은 기능 제공

네트워크 및 공유 센터는 사용자가 네트워크 상태를 확인할 수 있는 곳으로, 네트워크에 현재 연결되어 있는지 여부, 연결된 대상, 로컬 네트워크 또는 인터넷에서 작업 중인지 여부 등을 볼 수 있습니다(그림 1 참조). 여기서는 사용자 컴퓨터에서 사용 중인 다양한 네트워크 서비스의 상태도 확인할 수 있습니다. 예를 들어 로컬 네트워크에서 이 컴퓨터를 검색할 수 있는지 여부, 공유된 폴더 또는 프린터가 있는지 여부 등을 알 수 있습니다. 이외에도 사용자는 임시 또는 인프라 무선 네트워크, VPN, 홈 광대역 연결 등에 상관없이 새 네트워크를 만들거나 기존 네트워크에 연결할 수 있습니다.

그림 1** 네트워크 및 공유 센터 **(더 크게 보려면 이미지를 클릭하십시오.)

Windows Vista에서는 사용자가 기술 지원 부서에 문의할 필요 없이 대부분의 연결 문제를 진단하고 해결할 수 있습니다. 네트워크 진단 프레임워크를 통해 응용 프로그램 작업의 컨텍스트에서 연결 문제의 근본적인 원인을 식별할 수 있습니다. 예를 들어 사용자가 인터넷 사이트에 연결할 수 없는 경우 네트워크 진단 프레임워크는 DNS 서버에 액세스하고 프록시 서버를 찾은 다음 웹 서버에서 응답을 가져와 활성 상태의 무선 연결과 올바른 IP 주소가 있는지 여부를 확인하여 문제를 추적합니다.

문제가 발견되면 문제와 해결 방법을 명확히 알려 주는 메시지가 표시됩니다(그림 2 참조). 응답을 클릭하는 것처럼 간단한 경우도 있지만 경우에 따라서는 대화 상자를 통해 정확한 위치로 이동하여 구성을 직접 변경해야 하는 경우도 있습니다. 전문적인 지식이 없거나 관리자 권한이 없어서 사용자가 적절한 작업을 실행하지 못할 수도 있는데 이런 경우에는 이벤트 뷰어에 자세한 정보가 기록되므로 기술 지원 부서에서 많은 시간을 소비하지 않고 문제를 신속하게 해결할 수 있습니다.

그림 2** 연결 문제 해결 **(더 크게 보려면 이미지를 클릭하십시오.)

Windows Vista에는 응용 프로그램에서 연결 상태를 확인하기 위해 호출할 수 있는 Network Awareness API가 있습니다. 이러한 API를 사용하면 응용 프로그램에서 연결에 대한 변경 정보를 알 수 있고 컴퓨터가 현재 연결되어 있는 네트워크 유형(도메인, 공용 또는 개인)을 식별할 수 있습니다. Windows Vista에서 네트워크를 통해 도메인 컨트롤러에 액세스할 수 있는 경우에는 도메인 프로필로 자동 전환됩니다. 다른 네트워크는 이 범주에 속할 수 없으며, 사용자나 응용 프로그램에서 네트워크를 개인 네트워크로 식별하는 경우를 제외하고는 모두 공용 네트워크로 분류됩니다. 인터넷에 직접 연결된 네트워크나 공항, 커피숍 등의 공공 장소에서 사용하는 네트워크는 공용 네트워크로 두어야 합니다. 홈 또는 소규모 비즈니스 네트워크와 같이 개인 게이트웨이 장치 뒤에 있는 네트워크만 개인 네트워크로 지정해야 합니다.

Network Awareness를 사용하면 고급 보안이 설정된 Windows 방화벽(이후에 설명) 같은 응용 프로그램에서 현재 연결되어 있는 네트워크 유형에 따라 서로 다른 구성을 사용하고, 네트워크 유형이 바뀌면 자동으로 구성 간에 전환할 수 있습니다. 예를 들어 관리자는 컴퓨터가 도메인 네트워크에 연결된 경우에는 데스크톱 관리 소프트웨어에 사용할 특정 포트를 열고, 사용자가 공용 핫스폿에서 작업하는 경우에는 해당 포트를 자동으로 닫도록 방화벽을 구성할 수 있습니다.

Windows Vista에서는 그룹 정책도 네트워크를 인식하므로 컴퓨터가 도메인 네트워크에 있을 경우 이를 자동으로 감지하여 다음 새로 고침 주기를 기다리지 않고 새 그룹 정책 설정을 처리합니다. 즉, Windows Vista는 최대 절전 모드에서 다시 시작하는 경우를 포함하여 도메인 네트워크에 연결할 때 새 그룹 정책 설정을 자동으로 확인합니다. 따라서 관리자는 시간이 매우 촉박한 경우에 보안 설정을 더욱 신속하게 배포할 수 있습니다.

네트워크 보안

사용자가 유효하지 않은 무선 네트워크에 액세스하는 경우, 손상된 게스트 PC에서 회사 네트워크에 연결하는 경우, 관리되지 않은 리소스가 기본적으로 액세스하면 안 되는 리소스에 액세스하려는 경우 등과 같이 보안 위협은 그 종류가 매우 다양합니다. 네트워크 관리자는 이러한 보안 관련 문제를 해결하는 것만으로도 시간이 부족할 것입니다. Windows Vista는 포괄적이면서도 쉽게 구성할 수 있는 향상된 네트워크 보안 기능을 제공하므로 이러한 모든 시나리오에서 발생하는 문제를 해결하는 데 도움을 줍니다.

Windows Vista의 기본 Wi-Fi 아키텍처에서는 WPA(Wi-Fi 보호 액세스) 2 Enterprise 및 Personal, PEAP-TLS, PEAP-MS-CHAP v2(Protected Extensible Authentication Protocol with Transport Layer Security and with Microsoft Challenge Handshake Authentication Protocol) 등 다양한 최신 보안 프로토콜을 지원합니다. Windows Vista는 이러한 폭넓은 지원을 통해 거의 모든 종류의 무선 인프라와 상호 운용될 수 있습니다. Windows Vista에서 무선 네트워크 카드의 기능을 검사하므로 무선 네트워크를 새로 만들거나 무선 네트워크에 연결할 때 가장 안전한 프로토콜이 기본적으로 선택됩니다. Windows Vista에서는 EAP-HOST 프레임워크를 사용하여 하드웨어 공급업체나 조직에서 정의한 사용자 지정 인증 메커니즘을 지원합니다.

Windows Vista에서는 일반적인 무선 공격을 완화하기 위해 무선 클라이언트의 동작이 많이 개선되었습니다. 예를 들어 클라이언트는 사용자가 명시적으로 요청했거나, 기본 설정 네트워크로 식별된 네트워크에만 자동으로 연결하고 임시 네트워크에는 자동으로 연결하지 않습니다. 또한 클라이언트에서는 사용자가 안전하지 않은 네트워크에 연결하려고 하면 경고 메시지를 표시합니다. 이외에도 클라이언트는 사용자가 요청할 경우에만 적은 수의 기본 설정 네트워크를 적극적으로 조사합니다. 따라서 공격자는 클라이언트가 연결하려고 하는 네트워크를 식별하여 이름이 같은 불량 네트워크를 만들기가 더 어려워집니다.

Windows Vista 기본 무선 클라이언트는 네트워크 보안 구성이 제공된 경우 적절한 시점에 계층 2 네트워크 인증을 실행하는 SSO(Single Sign-On) 기능을 지원하며 이와 동시에 사용자의 Windows 로그온 환경을 통합합니다. Single Sign-On 프로필이 구성되고 나면 네트워크 로그온이 Windows 로그온보다 우선합니다. 이 기능을 통해 그룹 정책 업데이트, 로그온 스크립트, 무선 부트스트랩 등과 같이 네트워크에 연결된 상태에서만 사용자가 로그온할 수 있는 시나리오를 구현할 수 있습니다.

고급 보안이 설정된 Windows 방화벽은 인바운드 및 아웃바운드 필터링은 물론 Windows 서비스 보안 강화 기능을 모두 지원하여 Windows 플랫폼에 새로운 수준의 네트워크 보안 기능을 제공합니다. Windows 서비스 보안 강화 네트워크 규칙의 정의에 따라 비정상적으로 작동하는 Windows 서비스가 발견되면 방화벽이 해당 서비스를 차단합니다. 또한 고급 보안이 설정된 Windows 방화벽은 IPSec으로 인증된 특정 컴퓨터에서 원격 관리와 같은 작업을 위해 방화벽 규칙을 우회할 수 있도록 하는 인증된 우회(Authenticated Bypass) 기능도 지원합니다.

Windows 방화벽의 가장 큰 변화 중 하나는 IPsec과의 통합입니다. 이전에는 관리자가 두 가지 개별 도구인 방화벽과 IPsec 배포 및 관리 도구를 사용하여 계층화된 네트워크 보안 규칙 집합을 만들어야 했습니다. 그러나 이제 Windows Vista에서는 관리자가 방화벽 포트와 IPsec 규칙이 결합된 간단한 네트워크 보안 규칙을 만들어 무단 액세스로부터 네트워크를 보호할 수 있습니다. 방화벽과 IPsec의 통합은 신뢰할 수 있는 네트워크 리소스에 대한 확장 가능하고 계층화된 액세스를 제공하고 데이터 기밀성과 무결성을 보호하여 인증된 종단 간 네트워크 통신을 실행할 수 있는 간단한 방법을 제공합니다.

관리자는 게스트를 포함한 모든 컴퓨터에서 액세스할 수 있는 영역 또는 도메인에 인증된 컴퓨터에서만 액세스할 수 있는 영역으로 회사 네트워크를 논리적으로 분리할 수 있습니다(도메인 격리). 더 나아가 특정 사용자나 컴퓨터 집합에서만 액세스할 수 있도록 특정 서버를 격리시킬 수도 있습니다(서버 격리). 예를 들어 HR 응용 프로그램 서버에는 HR 그룹에 포함된 컴퓨터만 액세스할 수 있도록 제한할 수 있습니다(그림 3 참조).

그림 3** 서버 격리 및 도메인 격리 **

바이러스나 웜은 모바일 랩톱을 통해 개인 네트워크에 침투하여 다른 컴퓨터를 빠르게 감염시킬 수 있습니다. Windows Vista는 Windows Server 차기 버전인 Windows Server "Longhorn"을 기반으로 하는 네트워크 인프라에 연결할 경우 감염된 컴퓨터가 개인 네트워크에 직접 연결되거나 VPN 연결을 통해 연결될 위험을 줄이기 위해 NAP(네트워크 액세스 보호) 기능을 지원합니다. Windows Vista를 실행하는 컴퓨터에 최신 보안 업데이트 또는 바이러스 서명이 없거나 컴퓨터가 회사 보안 요구 사항을 충족하지 않는 경우 NAP에서는 컴퓨터가 네트워크에 완전히 액세스할 수 없도록 차단합니다. 대신 이 컴퓨터는 현재의 상태 요구 사항을 준수하는 데 필요한 업데이트, 바이러스 백신 서명 또는 구성 설정을 다운로드하고 설치할 수 있는 제한된 네트워크에 연결됩니다.

네트워크 관리 간소화

Windows Vista의 네트워킹 기능은 무선 네트워크 및 네트워크 보안 정책을 배포하는 비용을 줄이고 응용 프로그램과 사용자에게 보다 나은 품질의 서비스를 제공하기 위해 높은 수준의 관리 효율성을 지원하도록 설계되었습니다. Windows Vista는 NETSH(네트워크 셸)를 통한 명령줄 스크립팅 및 그룹 정책을 광범위하게 사용하여 네트워크 기능을 관리하기 때문에 새 관리 도구를 배우거나 배포할 필요가 없으며 기존에 투자하여 이미 작성한 Active Directory® 및 OU(조직 구성 단위) 구조를 그대로 활용할 수 있습니다.

Windows Vista에서는 마법사 기반의 단일 MMC(Microsoft Management Console) 스냅인인 고급 보안이 설정된 Windows 방화벽(그림 4 참조)이나 NETSH를 통한 명령줄 스크립팅에서 방화벽과 IPsec 정책이 결합된 네트워크 보안 규칙을 보다 쉽게 배포하고 관리할 수 있습니다. 새로 도입된 이 스냅인을 사용하면 특정 사용자, 컴퓨터 또는 응용 프로그램별로 액세스를 제한하는 연결 보안 규칙과 인바운드/아웃바운드 필터링을 간단하게 배포할 수 있으며 세부적인 수준의 관리 제어를 수행할 수 있습니다. IPSec은 사용자, 컴퓨터 또는 상태 인증서(네트워크 액세스 보호와 통합)를 통한 인증을 요청하거나 요구하여 시나리오 기반의 보안 정책을 제공합니다. 이 스냅인은 서버 또는 도메인 격리 규칙을 쉽게 작성할 수 있도록 도와 주며, 그룹 정책을 기반으로 하기 때문에 사용자는 비즈니스 구조를 기초로 이러한 규칙의 대상을 지정할 수 있습니다.

그림 4** 고급 보안이 설정된 Windows 방화벽 **(더 크게 보려면 이미지를 클릭하십시오.)

그룹 정책을 사용하면 모바일 클라이언트가 무선 네트워크에 연결하여 작동하는 방법도 정의할 수 있습니다. 예를 들어 회사에서 모든 무선 연결에 특정 프로토콜을 사용하도록 요구하는 정책이나 모든 연결을 특정 무선 네트워크로 제한하는 정책을 정의할 수 있습니다. 이러한 설정은 그룹 정책을 통해 지정되기 때문에 최종 사용자가 설정을 변경하지 못하도록 방지할 수 있습니다.

NETSH는 무선 네트워크 연결 문제를 해결하는 데 도움이 되는 자동화 및 스크립팅 기능을 제공합니다. 관리자는 이 명령줄 인터페이스를 사용하여 클라이언트의 무선 네트워크 구성 프로필을 확인, 변경 및 제거할 수 있습니다. 또한 이러한 구성 프로필을 다른 컴퓨터에 내보내거나 다른 컴퓨터에서 가져와 여러 대의 컴퓨터를 신속하게 구성할 수도 있습니다.

높은 대역폭을 사용하는 응용 프로그램은 사용 가능한 용량을 모두 소비하는 경우가 많고 응용 프로그램은 IT 관리자가 대역폭을 중앙에서 관리할 수 있도록 작성되지 않기 때문에 네트워크 품질이 떨어질 수 있습니다. 따라서 더 많은 대역폭을 추가하면 문제가 해결되지 않고 이러한 응용 프로그램이 새로 추가된 용량까지 소비하는 결과만 가져올 수 있습니다. 정책 기반의 QoS(서비스 품질)를 사용하면 관리자는 응용 프로그램을 수정하지 않고도 아웃바운드 네트워크 트래픽의 우선 순위를 지정하거나 트래픽을 제한할 수 있습니다. 정책을 통해 라우터에서 우선 순위를 지정할 수 있도록 DSCP(Differentiated Services Code Point) 값으로 아웃바운드 트래픽을 표시하거나 라우터 구성에 관계없이 아웃바운드 트래픽이 전송되는 양을 Windows Vista에서 제한하도록 지정할 수 있습니다. 이 두 가지 방법을 함께 사용하면 네트워크 품질을 보다 융통성 있게 관리할 수 있습니다. 그림 5에서는 QoS 정책을 작성하는 방법을 보여 줍니다.

그림 5** QoS 정책 작성 **(더 크게 보려면 이미지를 클릭하십시오.)

기업 이상의 수준으로 확장

기업 수준의 조직에서는 네트워크를 지원할 때 주로 확장성 문제를 중요하게 생각합니다. 예를 들어 업무상 필요에 따라 사용자마다 랩톱, 모바일 장치(예: Smartphone) 등과 같이 여러 대의 네트워킹 장치를 사용해야 하므로 사용 가능한 IP 주소가 부족해질 수 있습니다. 마찬가지로 IPsec 같은 추가 네트워크 서비스를 제공해야 할 경우에는 CPU 로드에 미칠 영향도 고려해야 합니다. Windows Vista는 IPv6 및 하드웨어 오프로드 기능을 지원하여 이러한 네트워크 확장성 문제를 해결합니다.

제한적인 공용 IPv4 주소를 사용할 경우 발생하는 문제를 해결하기 많은 정부 기관, ISP 및 기타 조직에서는 인터넷용 네트워크 프로토콜의 차기 버전인 IPv6으로 전환하고 있습니다. Windows Vista는 이중 계층 IP 스택 아키텍처를 통해 IPv4와 IPv6을 모두 지원합니다. 기본적으로 IPv6이 사용되며, 이중 계층 스택이 지원되므로 IPv6 전환 기술을 사용하여 점진적으로 마이그레이션할 수 있습니다. IPv6 전환 기술을 사용하면 개인 IPv4 네트워크나 인터넷에서 IPv6 트래픽을 터널링할 수 있습니다. Windows Vista는 PPPv6 및 계층 2 터널링 프로토콜(L2TP/IPv6) VPN(가상 사설망)을 기본적으로 지원하기 때문에 원격 액세스 사용자도 IPv6 네트워크의 이점을 활용할 수 있습니다.

Windows Vista에서는 네트워크 트래픽을 특수한 네트워크 어댑터에서 처리하도록 오프로드할 수 있습니다. 새로운 오프로드 기능으로는 IPv6 및 TCP Chimney 오프로드가 있습니다. 이러한 아키텍처의 혁신을 통해 성능 및 네트워크 처리량이 최적화되므로 오늘날의 고속 네트워크가 제공하는 성능 및 운영상의 이점을 활용할 수 있습니다. 호환되는 네트워크 어댑터 하드웨어를 사용하면 기존 응용 프로그램이나 네트워크 관리 도구를 변경하지 않고도 CPU 오버헤드, 사용 가능한 메모리 대역폭 등의 네트워크 패킷 처리와 관련된 병목 현상을 없앨 수 있습니다.

또한 네트워크 스택은 인바운드 네트워크 연결의 균형 조정을 동적으로 수행하는 받는 쪽 배율 기능을 지원합니다. 따라서 여러 개의 프로세서나 코어에 로드를 분산시킴으로써 네트워크 트래픽 처리 시 발생할 수 있는 병목 현상을 줄입니다.

요약

Windows Vista는 Windows 95 이후 가장 획기적으로 업데이트된 Windows 네트워킹 환경을 제공합니다. Windows Vista를 사용하면 여행 중에도 유/무선 네트워크를 더욱 쉽게 활용할 수 있습니다. 새로운 자동 조정 네트워크 스택을 통해 파일을 더 빠르게 전송할 수 있으며, 기업에서는 모바일 및 무선 사용자로 인해 발생할 수 있는 위협을 막아주는 향상된 보호 기능 등을 통하여 보안 문제를 크게 줄일 수 있습니다. 시스템 관리자의 경우에는 업무 수행에 필수적인 응용 프로그램의 QoS 및 네트워크 트래픽을 위한 세부적인 보안 정책을 작성할 수 있으므로 Windows Vista를 더 쉽게 관리할 수 있습니다. 이러한 새 기능을 사용하면 관리 작업을 최소화하고 최종 사용자의 생산성을 극대화하면서 네트워크 인프라에서 더 많은 작업을 수행할 수 있습니다.

추가 리소스

• New Networking Features in Windows Server “Longhorn” and Windows Vista(영문)
• Next Generation TCP/IP Stack in Windows Vista and Windows Server “Longhorn”(영문)

Jason Leznek은 Windows Vista 네트워킹의 수석 제품 관리자입니다. 그는 Microsoft에서 거의 10년간 근무했으며 Windows Vista 팀에 합류하기 전에는 Windows Server Update Services 및 그룹 정책 관련 제품 관리자를 역임했고, 그 이전에는 7년 동안 Microsoft 기업 고객에 파견되어 근무했습니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..