Microsoft Windows XP Service Pack 2 的新增網路特性

[psac]

目前正在進行 Beta 測試的 Windows XP Service Pack 2（SP2）包含以下全新的網路特性，可以為無線用戶和對等網路應用程式提供增強的安全性和附加功能：

• Internet 連接防火牆（Internet Connection Firewall，ICF）的增強特性

• 無線規範服務（Wireless Provisioning Services）

• Windows 對等網路（Windows Peer-to-Peer Networking）

• IPv6 的更新特性


本頁內容
Internet 連接防火牆的增強特性
無線規範服務
Windows 對等網路（Windows Peer-to-Peer Networking）
IPv6 的更新特性
更多資訊

Internet 連接防火牆的增強特性
Windows XP Service Pack 2（SP2）包含多項有關 Internet 連接防火牆的重要增強特性。ICF 又稱 Windows 防火牆（Windows Firewall），是一種能夠阻截所有傳入的未經請求的流量的狀態防火牆。這些流量既不是回應電腦請求而傳送的流量（請求流量），也不是事先指定允許傳入的未經請求的流量（異常流量）。ICF 提供了一個強大的保護層，可以阻止惡意用戶和程序依靠未經請求的傳入流量攻擊電腦。

在 Windows XP（早於 SP2 的版本）中，所有連接都預設禁用 ICF，除非通過「網路設定嚮導」（Network Setup Wizard）或「Internet 連接嚮導」（Internet Connection Wizard）進行更改。可以手動對每個連接啟用 ICF，即選連接內容的「進階」選擇項上的一個單一複選框。在該選擇項上，您還可以通過指定傳輸控制傳輸協定（Transmission Control Protocol，TCP）或用戶資料報傳輸協定（User Datagram Protocol，UDP）連接阜來配置異常流量集合。

在 Windows XP SP2 中，ICF 有了許多變化，包括：

• 電腦的所有連接預設啟用 ICF

• 套用於所有連接的新增全局配置選項

• 全新的本機配置對話視窗集合

• 全新的遮閉模式

• 啟動安全性

• 本機子網限制

• 可以通過應用程式檔案名指定異常流量

• 對於 IPv6 ICF 的內建支持

• 有關 Netsh 和群組原則（Group Policy）的新增配置選項


電腦的所有連接預設啟用 ICF
Windows XP SP2 中的 ICF 預設全面啟用。這意味著在預設狀態下，執行 Windows XP SP2 的電腦的所有連接－－包括有線和無線區域網路（LAN）、撥號以及虛擬專用網（virtual private network，VPN）連接－－都啟用了 ICF。新的連接也預設啟用了 ICF 。

雖然這一預設設定為關於 Windows XP 的電腦提供了更多保護，不過在應用程式相容性和管理網路上的電腦的能力方面，同樣能夠對組織網路的資訊技術（Information technology，IT）部門產生重大影響。

要想瞭解如何在企業環境內佈署 Windows XP SP2 中的 ICF 的更多資訊，請參閱佈署 Microsoft Windows XP（SP2）的 Internet 連接防火牆設定。

套用於所有連接的新增全局配置選項
Windows XP SP2 中的 ICF 允許您配置套用於電腦的所有連接的設定（全局配置）。在 Windows XP（早於 SP2 的版本）中，ICF 設定是針對每個連接逐一進行配置的。這就意味著，如果希望在多個連接上啟用 ICF 並配置異常流量，您必須分別配置每一個連接。而當您更改一個全局 ICF 設定時，該變化將套用於已啟用 ICF 的所有連接上。

Windows XP SP2 中的 ICF 也允許對每個連接逐一進行配置。全局配置服從於特定的連接配置。

全新的本機配置對話視窗集合
Windows XP（早於 SP2 的版本）中的 ICF 設定包括一個複選框（位於連接內容的「進階」 選擇項上的「通過限制和防止從 Internet 訪問本地機保護我的電腦和網路」 複選框）和一個「設定」按鈕。點擊該按鈕，您就可以配置異常流量、日誌記錄設定和允許的 ICMP 流量。

在 Windows XP SP2 中，一個「設定」按鈕取代了複選框。通過點擊該按鈕，您將可以配置全局設定、程序和服務許可、特定連接設定、日誌設定以及允許輸入的 ICMP 流量。您還可以通過點擊「控制台」中的「Internet 連接防火牆」圖示，配置 ICF 設定。

下圖所顯示為全新的「Internet 連接防火牆」對話視窗。


檢視全尺寸圖像

全新的遮閉模式
通過 Windows XP（早於 SP2 的版本），既可以啟用 ICF （允許請求流量和異常流量傳入），也可以將其禁用（允許所有流量傳入）。

對於 Windows XP SP2，您可以選項一種稱為遮閉（Shielded）模式的全新操作模式，其對應於 「Internet 連接防火牆」 對話視窗的「一般」選擇項上的「啟用且無異常」選項。當 Windows XP SP2 中的 ICF 處於遮閉模式時，所有未經請求的傳入流量（包括異常流量）都被阻截。遮閉模式可用於在遭到已知網路攻擊期間或惡意程序進行擴散時暫時鎖定電腦。一旦網路攻擊結束，電腦安裝完適當的軟體更新版本以防止未來攻擊之後，ICF 即可重新設定為保護模式（對應於「啟用」（推薦設定）選項），從而允許異常流量傳入。

啟動安全性
在 Windows XP（早於 SP2 的版本）中，當 Internet 連接防火牆（ICF）/Internet 連接共享（Internet Connection Sharing，ICS）服務成功啟動後，ICF 在啟用它的連接上進入活動狀態。因此，當執行 Windows XP（早於 SP2 的版本）的電腦啟動時，電腦在網路上進入活動狀態的時間與 ICF 開始保護連接的時間之間有一個延遲。這個延遲給未經請求的流量在啟動期間攻擊電腦留下了可乘之機。

在 Windows XP SP2 中，有一個可以執行狀態資料包過濾的啟動原則。該原則允許電腦使用動態主機配置傳輸協定（Dynamic Host Configuration Protocol，DHCP）和域名系統（Domain Name System，DNS）執行基本網路啟動工作，並與域控制器進行通信，以更新群組原則。一旦 Internet 配置防火牆（ICF）/Internet 連接共享（ICS）服務啟動，便開始使用其配置並移除啟動原則。啟動原則設定無法進行配置。

如果禁用了 ICF，ICF 啟動安全性也不復存在。

本機子網限制
在 Windows XP（早於 SP2 的版本）中，異常流量可以來自任何 IP 位址。在 Windows XP SP2 中，ICF 允許您指定異常流量來自任何 IP 位址或一個特定的 IP 位址。該特定位址匹配與接收流量的連接相連的本機子網。

這一特性對於家庭網路非常有益。在本機家庭網路中，您想要允許對全部連線到同一子網的電腦的程序或服務進行訪問，而不允許潛在的惡意 Internet 用戶進行訪問。在這種情況下，您只需配置本機子網的異常流量即可。

可以通過應用程式檔案名指定異常流量
在 Windows XP（早於 SP2 的版本）中，您需要通過指定對應特定應用程式或服務的流量的 TCP 和 UDP 連接阜集合，手動配置異常流量。對於不瞭解支持應用程式或服務的 TCP 和 UDP 連接阜集合或如何尋找這些連接阜的用戶，這可能使配置變得非常困難。此外，這種配置不適用於不對特定 UDP 或 TCP 連接阜集合進行監聽的應用程式。

為了簡化異常流量的指定程序，在 Windows XP SP2 中可以通過配置應用程式的檔案名來實現。當應用程式執行時，ICF 監控應用程式所監聽的連接阜，並將它們自動增加到異常流量列表中。

為了使您能夠快速配置異常流量，使之成為通常允許傳入的未經請求的流量，ICF 已經為常用的 Windows 元件和服務預先配置了許可，如文件和列印機共享以及Windows Messenger。

對於 IPv6 ICF 的內建支持
Windows XP SP2 附帶曾包含在Advanced Networking Pack for Windows XP（面向 Windows XP 的進階網路程序包） 中的 Internet 傳輸協定版本 6 （Internet Protocol version 6，IPv6） ICF。您可以通過選項「控制台」中的「增加或刪除程式」選項，再選項「增加/移除 Windows 元件」選項，安裝 IPv6 ICF。安裝完畢後，IPv6 ICF 在所有 IPv6 連接上自動啟用。您可以使用 netsh 防火牆 ipv6 環境中的指令來配置 IPv6 ICF。

有關 Netsh 和群組原則的新增配置選項
對於 Windows XP（早於 SP2 的版本），啟動或禁用 ICF 的唯一方法是通過「網路連接」資料夾、「網路設定嚮導」和「Internet 連接嚮導」加以實現。要想配置異常流量，您必須使用「網路連接」資料夾，或者您的應用程式必須支持 ICF 。在此情況下，當應用程式執行時，將自動啟用異常流量。

在 Windows XP SP2 中，您可以選項下列附加配置選項：

• Netsh 指令

Netsh 是一個指令行工具。通過它，您可以配置網路元件的設定。要想配置一個元件，Netsh 必須通過一個 Netsh 環境支持一組指令。Windows XP（早於 SP2 的版本）沒有支持 ICF 的 Netsh 環境。在 Windows XP SP2 中，您現在可以通過 netsh 防火牆環境中的一系列指令來配置 ICF 設定。使用 Netsh，您可以新增 Netsh 指令碼以自動配置支持 TCP/IP 和 IPv6 的一組 ICF 設定。要想瞭解更多資訊，請參閱「附錄 B」和「附錄 C」中的「佈署 Microsoft Windows XP（SP2）的 Internet 連接防火牆設定」。

• 全新的 API 配置

Windows XP（早於 SP2 的版本）提供了許多 API（應用程式編程接頭），應用程式可以使用這些 API 自動配置異常流量和 ICF 設定。而 Windows XP SP2 提供了許多全新的 API，您可以使用它們配置 ICF，實現對通過「Internet 連接防火牆控制台」程序 中的所有選項的配置全局和特定連接設定。 您可以使用這些　API　新增設定的配置程序，供用戶在組織網路上執行。

• 對於使用群組原則配置設定的廣泛支持

為了集中配置組織網路中使用 Active Directory （活動目錄）目錄服務的大量電腦，執行　Windows XP SP2 的電腦的　ICF 設定可以通過「電腦配置群組原則」來佈署。一組全新的「電腦配置群組原則 ICF」 設定使網路管理員能夠使用群組原則對像配置　ICF　執行模式、異常流量以及其它設定。


當使用全新的 ICF 群組原則設定時，您可以配置兩種不同的配置文件：

• 域配置文件

域配置文件是在電腦連線到包含該群組織的域控制器的網路時需要使用的一組　ICF　設定。例如，域配置文件可能包含企業網路上可管理電腦所需的應用程式的異常流量。

• 移動配置文件

移動配置文件是在電腦沒有連線到包含該群組織的域控制器的網路時需要使用的一組　ICF　設定。例如，當組織的便攜式電腦由用戶攜帶外出並使用公共寬瀕或通過無線　Internet 服務提供商連線到　Internet 時。因為組織的便攜式電腦直接連線到　Internet，所以移動配置文件應包含比域配置文件更多的限制性設定。


下圖顯示了全新的 ICF 群組原則設定。


檢視全尺寸圖像

要想瞭解更多資訊，請參閱「佈署 Microsoft Windows XP（SP2）的 Internet 連接防火牆設定」。


無線規範服務
無線規範服務（WPS）是 Microsoft Windows XP Service Pack 2 （SP2）中的增強特性，同時 Microsoft 正在考慮將其納入 Windows Server 2003 Service Pack 1 （SP1）中。WPS 增強了 Windows XP 中包含的無線客戶端軟體和 Windows Server 2003 中的 Internet 身份驗證服務（Internet Authentication Service，IAS），從而支持電腦在連接以下各部分時實現一致和自動的配置程序：

• 提供 Internet 訪問的公共無線熱點。

• 提供 Internet 客戶訪問的專用組織無線網路。


當無線客戶端電腦連線到一個公共無線熱點，但又不屬於無線 Internet 服務提供商（wireless Internet service provider，WISP）的客戶時，無線客戶端電腦的用戶面臨執行以下工作的挑戰：

• 配置網路設定以連線到 WISP 網路。

• 向 WISP 提供身份證明和付款資訊。

• 獲取連接憑證。

• 在獲得有效憑證後重新連線到 WISP 網路。


WPS 設計用於簡化、自動執行和標準化最初的註冊和續訂程序，從而使用戶不必再針對他們所希望連接的每個無線提供商執行一系列不同的步驟。

要想瞭解 WPS 如何套用於 WISP 的更多資訊，請參閱「無線規範服務概述」，2003 年 12 月 Cable Guy 文章。

返回頁首
Windows 對等網路（Windows Peer-to-Peer Networking）
對等網路利用相對強大的個人電腦（PC）。這些電腦位於 Internet 的邊緣，用於處理包括關於客戶端的計算工作在內的眾多工作。現代化的個人電腦擁有速度極快的處理器、海量記憶體和大容量硬碟。當執行普通的客戶端機/伺服器計算工作（如電子郵件和 Web 瀏覽）時，這些優勢並沒有得到充分利用。現代化的個人電腦可以非常輕鬆地同時充當客戶端和伺服器（對等的對象），支持許多類應用程式。

對等網路與客戶端機/伺服器絡網相比，具有以下優勢：

• 網路中心和邊緣都可以共享內容和資源。

• 對等網路易於擴充，而且比單一伺服器更加可靠。

• 對等網路可以共享處理器，整合計算資源來處理分佈式計算工作。

• 對等電腦的共享資源可以直接訪問。

• 支持高效的多點通信，但必須依賴於 IP 多點播基礎結構。

• 對等網路支持或增強了既時通信（RTC）、協作、內容分佈和分佈式處理。


為了滿足對於關於平台的對等網路功能的需求，Microsoft 現在把 Windows 對等網路包括在對等網路元件之中，可以在「增加/移除 Windows 元件」的「網路服務」類別中進行安裝。

在早於 Windows XP SP2 的版本中，Windows 對等網路利用Advanced Networking Pack for Windows XP（面向 Windows XP 的進階網路程序包）進行安裝。Advanced Networking Pack for Windows XP 是一個可免費下載的元件，可安裝在 Windows XP （SP1）上。預設不安裝對等網路元件。

Windows 對等網路使用 Microsoft TCP/IP 版本 6 傳輸協定作為其網路傳輸傳輸協定。

您可以使用一組支持分組、製圖和身份管理等功能的 Win32 函數開發對等應用程式。要想瞭解更多資訊，請參閱「Windows XP 對等 API 文件」。要想開發 Windows 對等網路應用程式，您必須安裝 Microsoft Windows XP 對等軟體開發工具包（SDK）。

如欲獲取 Windows 對等網路應用程式範例，您可以下載 threedegrees（3°）。這是一個免費應用程式，使用 Windows 對等網路平台通過 MSN Messenger 收聽共享播放列表中的音樂，傳送數位照片，以及發起小組聊天活動。

要想瞭解有關 Windows 對等網路體系結構的更多資訊，請參閱 「Windows 對等網路」，2003 年 11 月 Cable Guy 文章。

返回頁首
IPv6 的更新特性
Windows XP SP2 在 Advanced Networking Pack for Windows XP 中包括了以下針對 IPv6 的更新特性：

• IPv6 ICF

IPv6 ICF 是一個支持 IPv6 流量的狀態防火牆，能夠阻截所有傳入的未經請求的 IPv6 流量，為預防惡意用戶和程序依靠傳入的未經請求的流量攻擊電腦提供了額外的保護。

IPv6 ICF 可以作為 IPv6 Internet 連接防火牆元件，在「增加/移除 Windows 元件」的「網路服務」類別中進行安裝。

• Teredo

當連線到 Internet 時，許多執行 Windows XP 的電腦都位於網路位址轉換器（network address translators，NAT）之後。NAT 用於轉換在專用網路上使用的專用位址和在 Internet 上使用的公共位址之間的流量。Teredo 又稱為 IPv6 NAT traversal，是一種 IPv6/IPv4 轉換技術，能夠在通信對被一個或多個 NAT 隔離時在 IPv4 Internet 上提供單播 IPv6 連接。

當您在執行 Windows XP SP2 的電腦上安裝 IPv6 傳輸協定時，Teredo 元件會自動啟用。要想瞭解有關 Teredo 元件的狀態，可輸入 「netsh interface ipv6 show teredo」 指令。

要想瞭解有關 IPv6 ICF 和 Teredo 的更多資訊，請參閱 「Advanced Networking Pack for Windows XP 的 IPv6 特性」，2003 年 4 月 Cable Guy 文章。