Налаштування брандмауерів здійснюється за допомогою створення на них правил, які дозволяють або забороняють проходження даних по певним мережевим протоколам і портам. За замовчуванням, заборонено все, крім того, що явно дозволено. Отже, для обміну інформацією між сервером даних і клієнтами, а також при передачі кеша в межах локальної мережі, необхідно попередньо налаштувати мережеві екрани.
У цій статті будуть описані:
мережеві протоколи, які використовуються при передачі даних за технологією BranchCache,
порти, що відповідають зазначеним протоколам,
правила, які необхідно задати на мережевих екранах для успішного проходження даних.
У процесах запиту інформації у сервера даних, пошуку комп'ютерів, що зберігають кеш, а також передачі кешу клієнтом використовуються наступні протоколи передачі даних:
[MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol,
[MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol,
[MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol.
Розглянемо їх більш детально.
[MS-PCCRD]: Peer Content Caching and Retrieval Discovery Protocol
Зазначений протокол використовується в режимі Distributed Cache Mode. З його допомогою, клієнти посилають широкомовні запити в локальній мережі віддаленого офісу для пошуку комп'ютерів, вже скачали потрібну їм інформацію. Отже, мережеві екрани всередині локальної мережі повинні дозволяти проходження широкомовних запитів. Крім того, в правилах для вхідного трафіку потрібно дозволити з'єднання на локальний порт 3702 з динамічних віддалених портів.
Подивитися набір, використовуваних на клієнті динамічних портів, можна за допомогою команд:
Для вихідного трафіку слід дозволити з'єднання з динамічних локальних портів на віддалений порт 3702. Додатково, як програми, яка ініціює мережеву активність можна вказати
[MS-PCCRR]: Peer Content Caching and Retrieval: Retrieval Protocol
Даний протокол використовується як в Hosted Cache Mode, так і Distributed Cache Mode режимах. З його допомогою клієнт отримує інформацію з кеша всередині локальної мережі. На мережевому екрані слід додати правила, які дозволяють вхідний трафік на локальний порт 80 з динамічних віддалених портів. Для вихідного трафіку потрібно дозволити з'єднання з динамічних локальних портів на віддалений порт 80.
[MS-PCHC]: Peer Content Caching and Retrieval: Hosted Cache Protocol
Цей протокол використовується в режимі Hosted Cache для передачі отриманих клієнтом даних на локальний сервер, призначений для зберігання кешу. Для його використання слід додати правило, яке дозволяє з'єднання з динамічних локальних портів на віддалений порт 443.
Відповідні правила створюються в консолі "Брандмуер Windows в режимі підвищеної безпеки" (див. Рис. 1).
Мал. 1. Консоль управління брандмауером Windows в режимі підвищеної безпеки
При використанні режиму Distributed Cache Mode на клієнтських комп'ютерах потрібно дозволити для вхідних з'єднань і вихідних з'єднань наступні правила:
BranchCache - Отримання вмісту (Використовує HTTP),
BranchCache - Виявлення кешуючих вузлів (ІспользуетWSD).
У разі Hosted Cache Mode, Вам потрібно включити для вхідного і вихідного трафіку правило:
BranchCache -Одержання вмісту (Використовує HTTP),
а також тільки вихідного трафіку правило
Додавання даних правил дозволить клієнтові отримувати кеш з локальної мережі без шкоди для своєї безпеки.
У наступній статті буде розказано про включення технології BranchCache на серверах даних.