Содержание:
Введение
Для обеспечения высокого уровня безопасности и фильтрации нежелательного трафика клиентские рабочие станции рекомендуются защищать при помощи сетевых экранов (брандмауэров). По умолчанию, в Windows 7 и Windows 2008 R2 используется встроенный сетевой экран. Более подробную информацию о нем можно получить из статьи " Что нового в брандмауэре Windows 7?"
Настройка брандмауэров осуществляется посредством создания на них правил, разрешающих или запрещающих прохождение данных по определенным сетевым протоколам и портам. По умолчанию, запрещено всё, кроме того, что явно разрешено. Следовательно, для обмена информацией между сервером данных и клиентами, а также при передаче кэша в пределах локальной сети, необходимо предварительно настроить сетевые экраны.
В этой статье будут описаны:
сетевые протоколы, используемые при передаче данных по технологии BranchCache,
порты, соответствующие указанным протоколам,
правила, которые необходимо задать на сетевых экранах для успешного прохождения данных.
В процессах запроса информации у сервера данных, поиска компьютеров, хранящих кэш, а также передаче кэша клиентом используются следующие протоколы передачи данных:
[MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol,
[MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol,
[MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol.
Рассмотрим их более подробно.
[MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol
Указанный протокол используется в режиме Distributed Cache Mode. С его помощью, клиенты посылают широковещательные запросы в локальной сети удаленного офиса для поиска компьютеров, уже скачавших нужную им информацию. Следовательно, сетевые экраны внутри локальной сети должны разрешать прохождение широковещательных запросов. Кроме того, в правилах для входящего трафика нужно разрешить соединения на локальный порт 3702 с динамических удаленных портов.
Начиная с Windows Vista и Windows 2008 Server, Microsoft изменила диапазон динамических портов для исходящих соединений. Теперь, в соответствии с рекомендациями IANA (Internet Assigned Numbers Authority), для этого используются порты с 49152 по 65535. В более ранних версиях операционной системы данный диапазон был с 1025 по 5000 порт.
Посмотреть набор, используемых на клиенте динамических портов, можно с помощью команд:
netsh int ipv4 show dynamicport udp
netsh int ipv4 show dynamicport tcp
netsh int ipv6 show dynamicport tcp
netsh int ipv6 show dynamicport udp
Для исходящего трафика следует разрешить соединения с динамических локальных портов на удаленный порт 3702. Дополнительно, в качестве программы, инициирующей сетевую активность можно указать
%systemroot%\system32\svchost.exe (BranchCache Service [PeerDistSvc])
[MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol
Данный протокол используется как в Hosted Cache Mode, так и Distributed Cache Mode режимах. С его помощью клиент получает информацию из кэша внутри локальной сети. На сетевом экране следует добавить правила, разрешающие входящий трафик на локальный порт 80 с динамических удаленных портов. Для исходящего трафика нужно разрешить соединения с динамических локальных портов на удаленный порт 80.
[MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol
Этот протокол используется в режиме Hosted Cache для передачи полученных клиентом данных на локальный сервер, предназначенный для хранения кэша. Для его использования следует добавить правило, разрешающее соединения с динамических локальных портов на удаленный порт 443.
Настройка встроенных сетевых экранов в Windows 7 и Windows 2008 R2
Для упрощения процесса настройки, встроенные в Windows 7 и Windows 2008 R2 брандмауэры имеют набор предопределенных правил, которые позволяют упростить процесс настройки в большинстве типовых задач. Компонент BranchCache также можно настроить с их помощью. Для этого при создании нового правила следует указать тип "Predefined", выбрать из списка правил нужное и разрешить для него подключения.
Соответствующие правила создаются в консоли "Брандмуэр Windows в режиме повышенной безопасности" (см. рис. 1).
Увеличить рисунок
Рис. 1. Консоль управления брандмауэром Windows в режиме повышенной безопасности
При использовании режима Distributed Cache Mode на клиентских компьютерах нужно разрешить для входящих соединений и исходящих соединений следующие правила:
BranchCache – Получение содержимого (Использует HTTP),
BranchCache – Обнаружение кэширующих узлов (Использует WSD).
В случае Hosted Cache Mode, необходимо разрешить для входящего и исходящего трафика правило:
а также только исходящего трафика правило
- BranchCache – Клиент размещенного кэша (Используется HTTPS).
Добавление данных правил позволит клиенту получать кэш из локальной сети без ущерба для своей безопасности.
В следующей статье будет рассказано о включении технологии BranchCache на серверах данных.
Дополнительные ресурсы