2.3 保護網路中的存取和通訊要求

2.3.1 工作負載的存取和通訊要求

以下是您要使用 PlateSpin Forge 保護之工作負載的軟體、網路及防火牆要求。

表 2-2 工作負載的存取和通訊要求

工作負載類型

先決條件

所需連接埠

所有工作負載

Ping (ICMP echo 要求與回應) 功能。

 

所有 Windows 工作負載

.NEt Framework 2.0 版或更高版本

 

Windows 7;

Windows Server 2008;

Windows Vista

  • 內建管理員或網域管理員帳戶身分證明 (僅屬於本地管理員群組的成員,其權限是不夠的)。在 Vista 上,帳戶必須處於啟用狀態 (預設為停用)。

  • Windows 防火牆已設定為啟用以下輸入規則並允許

    • 檔案及印表機共用 (回應要求 - ICMPv4 輸入)

    • 檔案及印表機共用 (回應要求 - ICMPv6 輸入)

    • 檔案及印表機共用 (NB-Datagram-In)

    • 檔案及印表機共用 (NB-Name-In)

    • 檔案及印表機共用 (NB-Session-In)

    • 檔案及印表機共用 (SMB-In)

    • 檔案及印表機共用 (多工緩衝處理程式服務 - RPC)

    • 檔案及印表機共用 (多工緩衝處理程式服務 - RPC-EPMAP)

這些防火牆設定可透過 Windows 防火牆與進階安全性公用程式 (wf.msc) 來設定。使用基本的 Windows 防火牆公用程式 (firewall.cpl) 也可以達到同樣的目的。從例外清單中選取檔案及印表機共用項目。

TCP 3725

NetBIOS 137 - 139

SMB (TCP 139、445 與 UDP 137、138)

TCP 135/445

Windows Server 2000;

Windows XP;

Windows NT 4

  • 已安裝 Windows Management Instrumentation (WMI)

Windows NT Server 上預設不會安裝 WMI。請從 Microsoft 網站獲取 WMI 核心。如果不安裝 WMI,工作負載探查操作將會失敗。

WMI (RPC/DCOM) 可以使用 TCP 連接埠 135 與 445,以及隨機或動態指定的 1024 以上的連接埠。如果在探查過程中出現問題,請考慮將工作負載暫時放在 DMZ 中,或僅在探查期間暫時開啟防火牆連接埠。

如需其他資訊,例如限制 DCOM 與 RPC 之連接埠範圍的指導,請參閱以下 Microsoft 技術文章。

TCP 3725

NetBIOS 137 - 139

SMB (TCP 139、445 與 UDP 137、138)

TCP 135/445

所有 Linux 工作負載

安全外圍程序 (SSH) 伺服器

TCP 22、3725

2.3.2 透過 NAT 在公用及私人網路中提供保護

在某些情況下,來源、目標或 PlateSpin Forge 本身可能位於網路位址轉換 (Network Address Translation, NAT) 設備之後的內部 (私人) 網路中,在保護期間無法與另一方通訊。

PlateSpin Forge 可讓您根據下列哪部主機位於 NAT 設備之後來解決此問題: