2.3 保护网络的访问和通讯要求

2.3.1 工作负载的访问和通讯要求

以下软件、网络和防火墙要求是针对要使用 PlateSpin Forge 保护的工作负载的。

表 2-2 工作负载的访问和通讯要求

工作负载类型

先决条件

所需端口

所有工作负载

Ping(ICMP 回应请求和响应)功能。

 

所有 Windows 工作负载

.NEt Framework 版本 2.0 或更高版本

 

Windows 7;

Windows Server 2008;

Windows Vista

  • 内置 Administrator 或域管理员帐户身份凭证(仅本地管理员组中的成员资格是不够的)在 Vista 上,该帐户必须启用(默认情况下它是禁用的)。

  • “Windows 防火墙”配置为启用以下入站规则,并设置为允许

    • 文件和打印机共享(回显请求 - ICMPv4In)

    • 文件和打印机共享(回显请求 - ICMPv6In)

    • 文件和打印机共享 (NB-Datagram-In)

    • 文件和打印机共享 (NB-Name-In)

    • 文件和打印机共享 (NB-Session-In)

    • 文件和打印机共享 (SMB-In)

    • 文件和打印机共享(后台打印程序服务 - RPC)

    • 文件和打印机共享(后台打印程序服务 - RPC-EPMAP)

这些防火墙设置通过使用“Windows 防火墙”与“高级安全”实用程序 (wf.msc) 配置。可以通过使用基本 Windows 防火墙实用程序 (firewall.cpl) 实现相同结果。在例外列表中选择文件和打印机共享项目。

TCP 3725

NetBIOS 137 - 139

SMB(TCP 139、445 和 UDP 137、138)

TCP 135/445

Windows Server 2000;

Windows XP;

Windows NT 4

  • Windows Management Instrumentation (WMI) 已安装

Windows NT Server 的默认安装中不包含 WMI。从 Microsoft 网站获取 WMI Core。如果 WMI 未安装,则工作负载发现会失败。

WMI (RPC/DCOM) 可使用 TCP 端口 135 和 445,以及大于 1024 的随机或动态指派的端口。如果在发现过程中发生问题,可以考虑将工作负载临时放入 DMZ 或仅针对发现过程临时打开防火墙屏蔽的端口。

有关更多信息,例如关于限制 DCOM 和 RPC 端口范围的指南,请参见以下 Microsoft 技术文章。

TCP 3725

NetBIOS 137 - 139

SMB(TCP 139、445 和 UDP 137、138)

TCP 135/445

所有 Linux 工作负载

安全外壳 (SSH) 服务器

TCP 22、3725

2.3.2 通过 NAT 在公用和专用网络中进行保护

在某些情况下,源、目标或 PlateSpin Forge 本身可能位于网络地址转换器 (NAT) 设备后的内部(专用)网络中,无法在保护期间与其对应的对象通讯。

PlateSpin Forge 使您能够解决此问题,具体取决于以下哪个主机位于 NAT 设备后: