Технология BranchCache. Часть 4. Настройка брандмауэра клиентских рабочих станций.

Содержание:

• Введение
• [MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol
• [MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol
• [MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol
• Настройка встроенных сетевых экранов в Windows 7 и Windows 2008 R2
• Дополнительные ресурсы

Введение

Для обеспечения высокого уровня безопасности и фильтрации нежелательного трафика клиентские рабочие станции рекомендуются защищать при помощи сетевых экранов (брандмауэров). По умолчанию, в Windows 7 и Windows 2008 R2 используется встроенный сетевой экран. Более подробную информацию о нем можно получить из статьи " Что нового в брандмауэре Windows 7?"

Настройка брандмауэров осуществляется посредством создания на них правил, разрешающих или запрещающих прохождение данных по определенным сетевым протоколам и портам. По умолчанию, запрещено всё, кроме того, что явно разрешено. Следовательно, для обмена информацией между сервером данных и клиентами, а также при передаче кэша в пределах локальной сети, необходимо предварительно настроить сетевые экраны.

В этой статье будут описаны:

• сетевые протоколы, используемые при передаче данных по технологии BranchCache,

• порты, соответствующие указанным протоколам,

• правила, которые необходимо задать на сетевых экранах для успешного прохождения данных.

В процессах запроса информации у сервера данных, поиска компьютеров, хранящих кэш, а также передаче кэша клиентом используются следующие протоколы передачи данных:

• [MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol,

• [MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol,

• [MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol.

Рассмотрим их более подробно.

[MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol

Указанный протокол используется в режиме Distributed Cache Mode. С его помощью, клиенты посылают широковещательные запросы в локальной сети удаленного офиса для поиска компьютеров, уже скачавших нужную им информацию. Следовательно, сетевые экраны внутри локальной сети должны разрешать прохождение широковещательных запросов. Кроме того, в правилах для входящего трафика нужно разрешить соединения на локальный порт 3702 с динамических удаленных портов.

Начиная с Windows Vista и Windows 2008 Server, Microsoft изменила диапазон динамических портов для исходящих соединений. Теперь, в соответствии с рекомендациями IANA (Internet Assigned Numbers Authority), для этого используются порты с 49152 по 65535. В более ранних версиях операционной системы данный диапазон был с 1025 по 5000 порт.

Посмотреть набор, используемых на клиенте динамических портов, можно с помощью команд:

• netsh int ipv4 show dynamicport udp

• netsh int ipv4 show dynamicport tcp

• netsh int ipv6 show dynamicport tcp

• netsh int ipv6 show dynamicport udp

Для исходящего трафика следует разрешить соединения с динамических локальных портов на удаленный порт 3702. Дополнительно, в качестве программы, инициирующей сетевую активность можно указать

%systemroot%\system32\svchost.exe (BranchCache Service [PeerDistSvc])

[MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol

Данный протокол используется как в Hosted Cache Mode, так и Distributed Cache Mode режимах. С его помощью клиент получает информацию из кэша внутри локальной сети. На сетевом экране следует добавить правила, разрешающие входящий трафик на локальный порт 80 с динамических удаленных портов. Для исходящего трафика нужно разрешить соединения с динамических локальных портов на удаленный порт 80.

[MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol

Этот протокол используется в режиме Hosted Cache для передачи полученных клиентом данных на локальный сервер, предназначенный для хранения кэша. Для его использования следует добавить правило, разрешающее соединения с динамических локальных портов на удаленный порт 443.

Настройка встроенных сетевых экранов в Windows 7 и Windows 2008 R2

Для упрощения процесса настройки, встроенные в Windows 7 и Windows 2008 R2 брандмауэры имеют набор предопределенных правил, которые позволяют упростить процесс настройки в большинстве типовых задач. Компонент BranchCache также можно настроить с их помощью. Для этого при создании нового правила следует указать тип "Predefined", выбрать из списка правил нужное и разрешить для него подключения.

Соответствующие правила создаются в консоли "Брандмуэр Windows в режиме повышенной безопасности" (см. рис. 1).

Увеличить рисунок

Рис. 1. Консоль управления брандмауэром Windows в режиме повышенной безопасности

При использовании режима Distributed Cache Mode на клиентских компьютерах нужно разрешить для входящих соединений и исходящих соединений следующие правила:

• BranchCache – Получение содержимого (Использует HTTP),

• BranchCache – Обнаружение кэширующих узлов (Использует WSD).

В случае Hosted Cache Mode, необходимо разрешить для входящего и исходящего трафика правило:

• BranchCache – Получение содержимого (Использует HTTP),

а также только исходящего трафика правило

• BranchCache – Клиент размещенного кэша (Используется HTTPS).
  

Добавление данных правил позволит клиенту получать кэш из локальной сети без ущерба для своей безопасности.

В следующей статье будет рассказано о включении технологии BranchCache на серверах данных.

Дополнительные ресурсы

• Non-Microsoft Firewall Settings for BranchCache
• BranchCache Client Configuration
• Forefront TMG and BranchCache
• [MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol Specification
• [MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol Specification
• [MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol Specification

Статья опубликована в рамках конкурса "Наш выбор - Windows 7!". Оригинальный стиль автора сохранен.