|
Содержание:ВведениеДля обеспечения высокого уровня безопасности и фильтрации нежелательного трафика клиентские рабочие станции рекомендуются защищать при помощи сетевых экранов (брандмауэров). По умолчанию, в Windows 7 и Windows 2008 R2 используется встроенный сетевой экран. Более подробную информацию о нем можно получить из статьи " Что нового в брандмауэре Windows 7?"
Настройка брандмауэров осуществляется посредством создания на них правил, разрешающих или запрещающих прохождение данных по определенным сетевым протоколам и портам. По умолчанию, запрещено всё, кроме того, что явно разрешено. Следовательно, для обмена информацией между сервером данных и клиентами, а также при передаче кэша в пределах локальной сети, необходимо предварительно настроить сетевые экраны. В этой статье будут описаны: сетевые протоколы, используемые при передаче данных по технологии BranchCache, порты, соответствующие указанным протоколам, правила, которые необходимо задать на сетевых экранах для успешного прохождения данных.
В процессах запроса информации у сервера данных, поиска компьютеров, хранящих кэш, а также передаче кэша клиентом используются следующие протоколы передачи данных: [MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol, [MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol, [MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol.
Рассмотрим их более подробно. [MS-PCCRD]: Peer Content Caching and Retrieval Discovery ProtocolУказанный протокол используется в режиме Distributed Cache Mode. С его помощью, клиенты посылают широковещательные запросы в локальной сети удаленного офиса для поиска компьютеров, уже скачавших нужную им информацию. Следовательно, сетевые экраны внутри локальной сети должны разрешать прохождение широковещательных запросов. Кроме того, в правилах для входящего трафика нужно разрешить соединения на локальный порт 3702 с динамических удаленных портов. Начиная с Windows Vista и Windows 2008 Server, Microsoft изменила диапазон динамических портов для исходящих соединений. Теперь, в соответствии с рекомендациями IANA (Internet Assigned Numbers Authority), для этого используются порты с 49152 по 65535. В более ранних версиях операционной системы данный диапазон был с 1025 по 5000 порт. Посмотреть набор, используемых на клиенте динамических портов, можно с помощью команд:
netsh int ipv4 show dynamicport udp netsh int ipv4 show dynamicport tcp netsh int ipv6 show dynamicport tcp netsh int ipv6 show dynamicport udp
Для исходящего трафика следует разрешить соединения с динамических локальных портов на удаленный порт 3702. Дополнительно, в качестве программы, инициирующей сетевую активность можно указать
%systemroot%\system32\svchost.exe (BranchCache Service [PeerDistSvc])
[MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval ProtocolДанный протокол используется как в Hosted Cache Mode, так и Distributed Cache Mode режимах. С его помощью клиент получает информацию из кэша внутри локальной сети. На сетевом экране следует добавить правила, разрешающие входящий трафик на локальный порт 80 с динамических удаленных портов. Для исходящего трафика нужно разрешить соединения с динамических локальных портов на удаленный порт 80. [MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache ProtocolЭтот протокол используется в режиме Hosted Cache для передачи полученных клиентом данных на локальный сервер, предназначенный для хранения кэша. Для его использования следует добавить правило, разрешающее соединения с динамических локальных портов на удаленный порт 443. Настройка встроенных сетевых экранов в Windows 7 и Windows 2008 R2Для упрощения процесса настройки, встроенные в Windows 7 и Windows 2008 R2 брандмауэры имеют набор предопределенных правил, которые позволяют упростить процесс настройки в большинстве типовых задач. Компонент BranchCache также можно настроить с их помощью. Для этого при создании нового правила следует указать тип "Predefined", выбрать из списка правил нужное и разрешить для него подключения. Соответствующие правила создаются в консоли "Брандмуэр Windows в режиме повышенной безопасности" (см. рис. 1). 
Рис. 1. Консоль управления брандмауэром Windows в режиме повышенной безопасности При использовании режима Distributed Cache Mode на клиентских компьютерах нужно разрешить для входящих соединений и исходящих соединений следующие правила: BranchCache – Получение содержимого (Использует HTTP), BranchCache – Обнаружение кэширующих узлов (Использует WSD).
В случае Hosted Cache Mode, необходимо разрешить для входящего и исходящего трафика правило: а также только исходящего трафика правило - BranchCache – Клиент размещенного кэша (Используется HTTPS).
Добавление данных правил позволит клиенту получать кэш из локальной сети без ущерба для своей безопасности. В следующей статье будет рассказано о включении технологии BranchCache на серверах данных. Дополнительные ресурсы
Автор: Dmitry_Rudykh
|
Фильмы |
Парней 1295 
Девушек 427 
