Технология BranchCache. Часть 4. Настройка брандмауэра клиентских рабочих станций

Источник: oszone

Введение

Для обеспечения высокого уровня безопасности и фильтрации нежелательного трафика клиентские рабочие станции рекомендуются защищать при помощи сетевых экранов (брандмауэров). По умолчанию, в Windows 7 и Windows 2008 R2 используется встроенный сетевой экран. Более подробную информацию о нем можно получить из статьи " Что нового в брандмауэре Windows 7?"

Настройка брандмауэров осуществляется посредством создания на них правил, разрешающих или запрещающих прохождение данных по определенным сетевым протоколам и портам. По умолчанию, запрещено всё, кроме того, что явно разрешено. Следовательно, для обмена информацией между сервером данных и клиентами, а также при передаче кэша в пределах локальной сети, необходимо предварительно настроить сетевые экраны.

В этой статье будут описаны:

  • сетевые протоколы, используемые при передаче данных по технологии BranchCache,

  • порты, соответствующие указанным протоколам,

  • правила, которые необходимо задать на сетевых экранах для успешного прохождения данных.

В процессах запроса информации у сервера данных, поиска компьютеров, хранящих кэш, а также передаче кэша клиентом используются следующие протоколы передачи данных:

  • [MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol,

  • [MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol,

  • [MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol.

Рассмотрим их более подробно.

[MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol

Указанный протокол используется в режиме Distributed Cache Mode. С его помощью, клиенты посылают широковещательные запросы в локальной сети удаленного офиса для поиска компьютеров, уже скачавших нужную им информацию. Следовательно, сетевые экраны внутри локальной сети должны разрешать прохождение широковещательных запросов. Кроме того, в правилах для входящего трафика нужно разрешить соединения на локальный порт 3702 с динамических удаленных портов.

Начиная с Windows Vista и Windows 2008 Server, Microsoft изменила диапазон динамических портов для исходящих соединений. Теперь, в соответствии с рекомендациями IANA (Internet Assigned Numbers Authority), для этого используются порты с 49152 по 65535. В более ранних версиях операционной системы данный диапазон был с 1025 по 5000 порт.

Посмотреть набор, используемых на клиенте динамических портов, можно с помощью команд:

  • netsh int ipv4 show dynamicport udp
  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

Для исходящего трафика следует разрешить соединения с динамических локальных портов на удаленный порт 3702. Дополнительно, в качестве программы, инициирующей сетевую активность можно указать

%systemroot%\system32\svchost.exe (BranchCache Service [PeerDistSvc])

[MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol

Данный протокол используется как в Hosted Cache Mode, так и Distributed Cache Mode режимах. С его помощью клиент получает информацию из кэша внутри локальной сети. На сетевом экране следует добавить правила, разрешающие входящий трафик на локальный порт 80 с динамических удаленных портов. Для исходящего трафика нужно разрешить соединения с динамических локальных портов на удаленный порт 80.

[MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol

Этот протокол используется в режиме Hosted Cache для передачи полученных клиентом данных на локальный сервер, предназначенный для хранения кэша. Для его использования следует добавить правило, разрешающее соединения с динамических локальных портов на удаленный порт 443.

Настройка встроенных сетевых экранов в Windows 7 и Windows 2008 R2

Для упрощения процесса настройки, встроенные в Windows 7 и Windows 2008 R2 брандмауэры имеют набор предопределенных правил, которые позволяют упростить процесс настройки в большинстве типовых задач. Компонент BranchCache также можно настроить с их помощью. Для этого при создании нового правила следует указать тип "Predefined", выбрать из списка правил нужное и разрешить для него подключения.

Соответствующие правила создаются в консоли "Брандмуэр Windows в режиме повышенной безопасности" (см. рис. 1).

*
Рис. 1. Консоль управления брандмауэром Windows в режиме повышенной безопасности

При использовании режима Distributed Cache Mode на клиентских компьютерах нужно разрешить для входящих соединений и исходящих соединений следующие правила:

  • BranchCache - Получение содержимого (Использует HTTP),

  • BranchCache - Обнаружение кэширующих узлов (Использует WSD).

В случае Hosted Cache Mode, необходимо разрешить для входящего и исходящего трафика правило:

  • BranchCache - Получение содержимого (Использует HTTP),

а также только исходящего трафика правило

  • BranchCache - Клиент размещенного кэша (Используется HTTPS).

Добавление данных правил позволит клиенту получать кэш из локальной сети без ущерба для своей безопасности.

В следующей статье будет рассказано о включении технологии BranchCache на серверах данных.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=23050