• 项目

Windows Vista

采用 Windows Vista 时的企业联网

Jason Leznek

 

概览:

  • 下一代 TCP/IP 堆栈
  • 以用户为中心的网络工具
  • 改进网络安全性
  • 简化网络管理

您最近一次试图在一整天不连接企业网络的情况下工作是在什么时候?考虑一下 - 不访问电子邮件。不浏览 Internet。您不能使用

打印机或文件共享功能。您不能访问您所需的在销售数据库中的数据。您将根本无法工作。

网络连接对大多数人能否开展工作至关重要。同样,用户对于移动连接的期望也越来越高,他们希望其公司的便携式计算机可以随时随地连接任何公共或家庭网络。您是否对安全性带来的后果感到不寒而栗?

Windows Vista™ 网络团队的工程师了解网络连接的重要性,并且自 Windows® 95 发布以来他们一直在努力追求最佳的网络技术创新。在 Windows Vista 中,网络变得更易于使用、更安全、更易于管理并且可扩展为最大的网络。

自 Windows XP 发布至今已有五年时间。在此期间发生了很多变化,例如用户需要无线网络功能的覆盖范围更广,还有各种政府或行业法规(如 Sarbanes-Oxley 和 HIPAA 法案)的变化,以及用户需要降低成本和更高效地利用当前投资。用户希望可以“随时获得”网络资源,他们即使遇到最轻微的网络连接问题也会感到失望。最后,用户的移动能力比以前更强,他们不仅仅连接您的企业网络 - 他们还可以连接整个城市的几乎所有网络。

从堆栈开始

Windows Vista 包含 TCP/IP 堆栈的更新实施,对其进行了重要改进,解决了多个主要的网络问题,从而提高了性能和吞吐量、提供了更出色的本机 Wi-Fi 体系结构以及用于检查网络数据包的 API。

使网络利用率达到最大化需要对 TCP/IP 配置设置进行复杂的调整。Windows Vista 通过检测网络状况并自动优化性能,消除了手动完成此项任务的必要性。在高损失网络(如无线网络)中,Windows Vista 具有更强的从单个或多个数据包损失中恢复的能力。它可以动态增加或减少 TCP 接收窗口,以充分利用网络连接。在高速/高延迟 WAN 上传输文件或从 Internet 下载文件的用户会发现传输速度得到了大幅提高。

Windows Vista 还包括本机无线网络体系结构(本机 WiFi),作为其核心网络堆栈的一部分。其优势包括可以在许多硬件品牌和型号上灵活部署、无论采用何种硬件都会带来相似的用户体验,以及更加可靠的第三方无线 NIC 驱动程序。Windows Vista 中的无线网络可以集中管理,支持最新的安全协议,并且可为用户提供更加无缝的网络体验。

Windows 过滤平台 (WFP) 是下一代 TCP/IP 堆栈中的一种新体系结构,提供 API,第三方软件开发商可利用 API 参与 TCP/IP 协议堆栈中的多层中发生的过滤决策,而不必编写其自身的内核模式应用程序。该平台还提供对下一代防火墙特性的支持,如已验证的通信以及基于应用程序对 Windows Sockets API 使用情况的动态防火墙配置(基于应用程序的策略)。

为用户提供强大支持

网络和共享中心是用户检查网络状态的唯一渠道 - 如果他们联网,这里会显示他们连接的内容,以及他们连接的是本地网络还是 Internet(参见图 1)。他们还可以查看其计算机上各种网络服务的状态。是否可以发现本地网络上的计算机?是否存在共享的文件夹或打印机?用户还可以创建或连接现有网络,无论该网络是专门的网络还是基础结构无线网络、VPN 或家庭宽带连接。

图 1 网络和共享中心

图 1** 网络和共享中心 **(单击该图像获得较大视图)

Windows Vista 还可以诊断和解决许多连接问题,而用户无需呼叫帮助中心。网络诊断框架为 Windows Vista 提供了从应用程序的操作环境识别连接问题的根本原因的能力。例如,如果用户无法访问 Internet 站点,网络诊断会试图跟踪该问题,检查是否存在有效的无线连接和有效的 IP 地址,然后检查访问 DNS 服务器、查找代理服务器以及从 Web 服务器获得响应的情况。

如果发现问题,用户会获得一条消息,其中明确指出问题所在以及解决的办法(参见图 2)。有时用户只需单击响应即可。其他情况下,用户必须进行配置变更,该对话框会为用户提供准确位置。有时用户由于缺乏相关的知识或管理权限而无法采取适当的措施,详细的信息被记录在事件查看器中,以便帮助中心可以快速解决问题,而不必花费数小时进行故障排除。

图 2 解决连接问题

图 2** 解决连接问题 **(单击该图像获得较大视图)

Windows Vista 中包含 Network Awareness API,应用程序可以通过调用它获得连接状态,从而使应用程序可以了解连接状态的变更情况,并识别计算机当前连接的网络类型(域、公共或专用网络)。当 Windows Vista 可以访问网络上的域控制器时,它会自动切换到域配置文件。此类别中不会容纳其他网络。所有其他网络会被归类为公共网络,除非用户或应用程序将该网络认定为专用网络。直接连接 Internet 的网络或公共场所(如机场或咖啡店)中的网络应为公共网络。只有通过专用网关设备联网的网络应被认定为专用网络,如家庭或小型企业网络。

借助 Network Awareness,像 Windows Firewall with Advanced Security(稍后讨论)这样的应用程序会根据当前连接的网络类型采用不同的配置,当网络类型发生改变时,会自动在不同配置之间切换。例如,当计算机连接域网络时,管理员可能配置了防火墙,只有打开特定的端口才能访问台式计算机管理软件,但当用户在公共热点上工作时这些端口应自动关闭。

在 Windows Vista 中,也可以通过组策略了解网络状态:当计算机位于域网络上时,它会自动获知,并开始处理所有新的组策略设置,而不必等到下一个刷新周期。这意味着当计算机连接域网络时(即使它刚脱离休眠状态),Windows Vista 将自动检查新的组策略设置。因此,管理员可以在时间紧迫时更快速地部署安全设置。

确保网络安全

威胁的类型多种多样 - 访问无线网络的用户(这些网络并不像它们看上去的那样),连接企业网络的不健康的来宾 PC,试图访问其不应访问的资源的未管理资源等等。这些威胁足以让网络管理员整日忙碌,还要整夜担心网络的安全。Windows Vista 可借助全面而易于配置的增强的网络安全特性帮助处理所有上述情形。

Windows Vista 中的本机 Wi-Fi 体系结构拥有对最新安全协议的广泛支持,其中包括 Wi-Fi 安全访问 (WPA) 2 企业版和个人版、PEAP-TLS 和 PEAP-MS-CHAP v2(受保护的可扩展身份验证协议-传输层安全,以及受保护的可扩展身份验证协议-Microsoft 质询握手身份验证协议)。这种广泛支持可确保 Windows Vista 与几乎所有无线基础结构之间都具有互操作性。Windows Vista 会对无线网络卡的功能进行检查,当连接或创建无线网络时,默认情况下会选择大多数安全协议。利用 EAP-HOST 框架,Windows Vista 能够支持硬件供应商或组织定义的自定义身份验证机制。

Windows Vista 包含许多对无线客户端行为的改进,以减少通常的无线攻击。客户端将仅自动连接那些用户提出明确请求或被认定为首选网络的网络,并且不会自动连接专门的网络。如果用户要启动到不安全网络的连接,客户端还会发出警告。此外,客户端还会主动探测为数不多的首选网络,就像用户指示这样做一样,这就使攻击者更难识别客户端试图连接哪个网络,并且客户端会以相同的名字创建模糊网络。

Windows Vista 本机无线客户端支持单一登录 (SSO) 特性,该特性会根据网络安全配置在适当的时间执行第 2 层网络身份验证,同时集成在用户的 Windows 登录体验中。一旦配置了单一登录配置文件,在 Windows 登录之前将先进行网络登录。此特性支持组策略更新、登录脚本和无线启动等需要在用户登录之前进行网络连接的情形。

Windows Firewall with Advanced Security 为 Windows 平台带来了新一级的网络安全性,从而为进站和出站过滤及 Windows 服务强化提供了支持。如果防火墙根据 Windows 服务强化网络规则的定义,检测到某个 Windows 服务表现异常,则防火墙将阻止该服务。Windows Firewall with Advanced Security 还支持 Authenticated Bypass,它支持某些通过 IPsec 身份验证的计算机绕过防火墙规则,执行诸如远程管理等任务。

Windows Firewall 的一个最重要的变更就是它与 IPsec 的集成。过去,管理员需要依赖两个单独的工具 - 防火墙与 IPsec 部署和管理工具 - 来创建层次化的网络安全规则。在 Windows Vista 中,管理员可以创建简单的网络安全规则,从而可将防火墙端口与 IPsec 规则相结合,以保护网络不受未经授权的访问的影响。这一集成为加强已验证的端到端网络通信提供了一种简单的方法,从而提供了对可信赖的网络资源的可扩展的分层访问,并/或保护了数据的机密性和完整性。

管理员可在逻辑上将企业网络隔离成多个区域中,有的区域可以允许任何计算机访问(包括来宾计算机),有的区域只允许在域上经过身份验证的计算机进行访问(域隔离)。管理员可以进一步隔离特定的服务器,使得只有特定的用户或计算机才能访问这些服务器,如只允许 HR 组的计算机访问 HR 应用程序服务器(服务器隔离),如图 3 所示。

图 3 服务器和域隔离

图 3** 服务器和域隔离 **

病毒或蠕虫可通过移动便携式计算机进入专用网络,并快速感染其他计算机。当连接基于 Windows Server(代号“Longhorn”,下一版本的 Windows Server)的网络基础结构时,Windows Vista 将支持网络访问保护 (NAP),以降低不健康的计算机直接连接专用网络或通过 VPN 连接带来的风险。如果运行 Windows Vista 的计算机缺乏最新的安全更新、病毒签名或无法满足企业安全要求,则 NAP 会阻止计算机对网络的完整访问。它将连接受限制的网络,可从该网络下载和安装为符合当前健康要求所需的更新程序、防病毒签名或配置设置。

简化网络管理

Windows Vista 中的网络特性旨在支持高级可管理性,以帮助降低部署无线网络和网络安全策略的成本,并为应用程序和用户提供出色的服务质量。Windows Vista 使用组策略或通过 Network Shell (NETSH) 编写命令行脚本来全面管理网络特性,因此您无需学习或部署新的管理工具,您可以利用您在已经创建的 Active Directory® 和 Organizational Unit (OU) 结构上的现有投资。

在单一向导驱动的名为 Windows Firewall with Advanced Security(参见图 4)的 Microsoft 管理控制台 (MMC) 单元中或通过 NETSH 编写命令行脚本,网络安全规则的部署和管理 - 将防火墙和 IPsec 策略相结合 - 变得更加轻松简单。新单元为部署进站或出站过滤和连接安全规则提供了一种简单的方法,可限制只有特定用户、计算机或应用程序才能访问,同时提供了精细的管理控制。IPSec 可请求或要求用户、计算机进行身份验证或健康认证(与网络访问保护集成),以提供基于情形的安全策略。该单元使得服务器隔离或域隔离规则的创建非常轻松,因为它基于组策略,因此您可以根据您的业务结构锁定这些规则。

图 4 Windows Firewall with Advanced Security

图 4** Windows Firewall with Advanced Security **(单击该图像获得较大视图)

利用组策略,您还可以定义移动客户端如何连接无线网络以及如何在无线网络上运行。例如,公司可以定义一个策略,要求所有无线连接都使用某一协议或者所有连接必须限制在某一无线网络内。由于这些设置都是通过组策略完成的,因此可以防止最终用户改变这些设置。

NETSH 支持自动化和编写脚本,以协助对无线网络连接进行故障排除。利用命令行界面,管理员可以验证、更改或删除客户端的无线网络配置文件。还可以将这些配置文件导出和导入其他计算机,以加速多台计算机的设置。

网络质量会有所下降,因为高宽带应用程序往往会占用所有可用容量,并且应用程序的编写并未为 IT 管理员提供集中控制。增加更多带宽无法解决这种问题,这样只会导致同样的应用程序占用新的可用容量。借助基于策略的服务质量 (QoS),管理员可以对出站网络流量排列优先级和/或进行遏制,而无需修改应用程序。这些策略可以对出站网络流量标记一个差分服务代码点 (DSCP) 值,以便路由器排列优先级,或让 Windows Vista 遏制发送的出站网络流量的数量,而与路由器配置无关。将这两种技巧相结合可以带来更大的灵活性。图 5 显示了 QoS 策略的创建。

图 5 创建 QoS 策略

图 5** 创建 QoS 策略 **(单击该图像获得较大视图)

扩展到企业及更大范围

企业级组织在为其网络提供支持时往往会担心可扩展性问题。例如,您的可用 IP 地址即将用完,尤其当由于业务需要每个用户拥有多台联网设备时,如附加的便携式计算机和移动设备(如智能手机)。同样,您可能对提供附加的网络设备(如 IPsec)感兴趣,但同时又会担心会对 CPU 负载产生影响。Windows Vista 可通过支持 IPv6 和硬件卸载功能解决网络可扩展性问题。

为通过有限的公共 IPv4 地址解决问题,许多政府、ISP 和其他组织正在向下一版本的 Internet 网络协议 IPv6 过渡。Windows Vista 可通过双层 IP 堆栈体系结构同时支持 IPv4 和 IPv6。它在默认情况下启用 IPv6,双层堆栈支持使您可以使用 IPv6 过渡技术逐渐迁移,该技术使 IPv6 网络流量可通过专用 IPv4 网络或 Internet。Windows Vista 本机支持 PPPv6 和第 2 层隧道协议 (L2TP/IPv6) 虚拟专用网络 (VPN),使远程访问用户可以利用 IPv6 网络的优势。

Windows Vista 支持将网络流量处理任务卸载给专门的网络适配器。新的卸载功能包括 IPv6 和 TCP Chimney 卸载。这些体系结构创新可优化性能和网络吞吐量,从而使目前的高速网络可以实现性能和运行速度的提高。使用兼容的网络适配器硬件可消除与网络数据包处理(如 CPU 开销和可用内存带宽)相关的瓶颈,而无需更改现有应用程序或网络管理工具。

网络堆栈还支持接收方扩展,该功能可对进站网络连接进行动态均衡,从而使负载可以分摊在多个处理器或内核上,从而降低在处理网络流量时可能出现的瓶颈。

总结

自 Windows 95 发布以来,Windows Vista 对 Windows 的网络特性进行了最重要的更新。用户会发现在其出行时可以更轻松地利用有线和无线网络。借助新的自动调整网络堆栈,文件传输的速度将更快。企业将受益于安全风险的降低,其中包括移动和无线用户可以获得更出色的威胁保护。系统管理员会发现 Windows Vista 更易于管理,并且能够创建精细的网络流量安全策略并为关键任务应用提供出色的 QoS。这些新特性使您可以利用您的网络基础结构完成更多工作,同时降低管理投入并最大程度提高最终用户的工作效率。

其他资源

Jason Leznek 是 Windows Vista 网络部门的高级产品经理。他在 Microsoft 任职近 10 年,在加入 Windows Vista 团队之前,是 Windows Server 更新服务和组策略部门的产品经理。在此之前,他在与 Microsoft 企业客户合作方面拥有七年的工作经验。

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.