Технология BranchCache. Часть 4. Настройка брандмауэра клиентских рабочих станцийИсточник: oszone
ВведениеДля обеспечения высокого уровня безопасности и фильтрации нежелательного трафика клиентские рабочие станции рекомендуются защищать при помощи сетевых экранов (брандмауэров). По умолчанию, в Windows 7 и Windows 2008 R2 используется встроенный сетевой экран. Более подробную информацию о нем можно получить из статьи " Что нового в брандмауэре Windows 7?" Настройка брандмауэров осуществляется посредством создания на них правил, разрешающих или запрещающих прохождение данных по определенным сетевым протоколам и портам. По умолчанию, запрещено всё, кроме того, что явно разрешено. Следовательно, для обмена информацией между сервером данных и клиентами, а также при передаче кэша в пределах локальной сети, необходимо предварительно настроить сетевые экраны. В этой статье будут описаны:
В процессах запроса информации у сервера данных, поиска компьютеров, хранящих кэш, а также передаче кэша клиентом используются следующие протоколы передачи данных:
Рассмотрим их более подробно. [MS-PCCRD]: Peer Content Caching and Retrieval Discovery ProtocolУказанный протокол используется в режиме Distributed Cache Mode. С его помощью, клиенты посылают широковещательные запросы в локальной сети удаленного офиса для поиска компьютеров, уже скачавших нужную им информацию. Следовательно, сетевые экраны внутри локальной сети должны разрешать прохождение широковещательных запросов. Кроме того, в правилах для входящего трафика нужно разрешить соединения на локальный порт 3702 с динамических удаленных портов. Начиная с Windows Vista и Windows 2008 Server, Microsoft изменила диапазон динамических портов для исходящих соединений. Теперь, в соответствии с рекомендациями IANA (Internet Assigned Numbers Authority), для этого используются порты с 49152 по 65535. В более ранних версиях операционной системы данный диапазон был с 1025 по 5000 порт. Посмотреть набор, используемых на клиенте динамических портов, можно с помощью команд:
Для исходящего трафика следует разрешить соединения с динамических локальных портов на удаленный порт 3702. Дополнительно, в качестве программы, инициирующей сетевую активность можно указать %systemroot%\system32\svchost.exe (BranchCache Service [PeerDistSvc]) [MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval ProtocolДанный протокол используется как в Hosted Cache Mode, так и Distributed Cache Mode режимах. С его помощью клиент получает информацию из кэша внутри локальной сети. На сетевом экране следует добавить правила, разрешающие входящий трафик на локальный порт 80 с динамических удаленных портов. Для исходящего трафика нужно разрешить соединения с динамических локальных портов на удаленный порт 80. [MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache ProtocolЭтот протокол используется в режиме Hosted Cache для передачи полученных клиентом данных на локальный сервер, предназначенный для хранения кэша. Для его использования следует добавить правило, разрешающее соединения с динамических локальных портов на удаленный порт 443. Настройка встроенных сетевых экранов в Windows 7 и Windows 2008 R2Для упрощения процесса настройки, встроенные в Windows 7 и Windows 2008 R2 брандмауэры имеют набор предопределенных правил, которые позволяют упростить процесс настройки в большинстве типовых задач. Компонент BranchCache также можно настроить с их помощью. Для этого при создании нового правила следует указать тип "Predefined", выбрать из списка правил нужное и разрешить для него подключения. Соответствующие правила создаются в консоли "Брандмуэр Windows в режиме повышенной безопасности" (см. рис. 1).
При использовании режима Distributed Cache Mode на клиентских компьютерах нужно разрешить для входящих соединений и исходящих соединений следующие правила:
В случае Hosted Cache Mode, необходимо разрешить для входящего и исходящего трафика правило:
а также только исходящего трафика правило
Добавление данных правил позволит клиенту получать кэш из локальной сети без ущерба для своей безопасности. В следующей статье будет рассказано о включении технологии BranchCache на серверах данных. |