Технологія BranchCache. Частина 4. Налаштування брандмауера клієнтських робочих станцій, Windows, Операційні системи, статті

Введення


Для забезпечення високого рівня безпеки та фільтрації небажаного трафіку клієнтські робочі станції рекомендуються захищати за допомогою мережевих екранів (брандмауерів). За замовчуванням, в Windows 7 і Windows 2008 R2 використовується вбудований мережевий екран. Більш детальну інформацію про нього можна отримати зі статті “Що нового в брандмауері Windows 7?”


Налаштування брандмауерів здійснюється за допомогою створення на них правил, які дозволяють або забороняють проходження даних по певних мережевим протоколам і портам. За замовчуванням, заборонено все, крім того, що явно дозволено. Отже, для обміну інформацією між сервером даних і клієнтами, а також при передачі кеша в межах локальної мережі, необхідно попередньо налаштувати мережеві екрани.


У цій статті будуть описані:



У процесах запиту інформації у сервера даних, пошуку комп’ютерів, що зберігають кеш, а також передачу кешу клієнтом використовуються наступні протоколи передачі даних:



Розглянемо їх більш докладно.


[MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol


Зазначений протокол використовується в режимі Distributed Cache Mode. З його допомогою, клієнти посилають широкомовні запити в локальній мережі віддаленого офісу для пошуку комп’ютерів, вже скачали потрібну їм інформацію. Отже, мережеві екрани всередині локальної мережі повинні дозволяти проходження широкомовних запитів. Крім того, в правилах для вхідного трафіку потрібно дозволити з’єднання на локальний порт 3702 з динамічних віддалених портів.


Починаючи з Windows Vista і Windows 2008 Server, Microsoft змінила діапазон динамічних портів для вихідних з’єднань. Тепер, відповідно до рекомендацій IANA (Internet Assigned Numbers Authority), для цього використовуються порти з 49152 по 65535. У більш ранніх версіях операційної системи даний діапазон був з 1025 по 5000 порт.


Переглянути набір, використовуваних на клієнті динамічних портів, можна за допомогою команд:



Для вихідного трафіку слід дозволити з’єднання з динамічних локальних портів на віддалений порт 3702. Додатково, в якості програми, що ініціює мережеву активність можна вказати

%systemroot%system32svchost.exe (BranchCache Service [PeerDistSvc])

[MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol


Даний протокол використовується як в Hosted Cache Mode, так і Distributed Cache Mode режимах. З його допомогою клієнт отримує інформацію з кеша всередині локальної мережі. На мережевому екрані слід додати правила, дозволяють вхідний трафік на локальний порт 80 з динамічних віддалених портів. Для вихідного трафіку потрібно дозволити з’єднання з динамічних локальних портів на віддалений порт 80.


[MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol


Цей протокол використовується в режимі Hosted Cache для передачі отриманих клієнтом даних на локальний сервер, призначений для зберігання кеша. Для його використання слід додати правило, яке дозволяє з’єднання з динамічних локальних портів на віддалений порт 443.


Налаштування вбудованих мережевих екранів в Windows 7 і Windows 2008 R2


Для спрощення процесу налаштування, вбудовані в Windows 7 і Windows 2008 R2 брандмауери мають набір визначених правил, які дозволяють спростити процес налаштування в більшості типових завдань. Компонент BranchCache також можна налаштувати з їх допомогою. Для цього при створенні нового правила слід вказати тип “Predefined“, Вибрати зі списку правил потрібне і дозволити для нього підключення.


Відповідні правила створюються в консолі “Брандмуер Windows в режимі підвищеної безпеки“(Див. рис. 1).


*
Рис. 1. Консоль управління брандмауером Windows в режимі підвищеної безпеки


При використанні режиму Distributed Cache Mode на клієнтських комп’ютерах потрібно дозволити для вхідних з’єднань і вихідних з’єднань наступні правила:



У разі Hosted Cache Mode, Вам потрібно включити для вхідного і вихідного трафіку правило:



а також тільки вихідного трафіка правило



Додавання даних правил дозволить клієнту отримувати кеш з локальної мережі без шкоди для своєї безпеки.


У наступній статті буде розказано про включення технології BranchCache на серверах даних.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*