A Windows tűzfal egy állomásalapú tűzfalalkalmazás, mely a Windows Server 2008 R2 rendszerben alapértelmezés szerint telepítve van és fut. Ha a Windows tűzfal szolgáltatásait igénybe szeretné venni Active Directory tartalomvédelmi szolgáltatások (AD RMS)-infrastruktúrájában, létre kell hoznia néhány tűzfalkivételt.
Megjegyzés | |
Ez a témakör csak a kifejezetten AD RMS-vonatkozású tűzfalkivételeket tárgyalja. Egyes esetekben további kivételeket is létre kell hozni más alkalmazások számára. |
Az alábbi táblázat a fürt egyes AD RMS-kiszolgálóin megadandó portkivételeket sorolja fel. Nem szükséges egyszerre mindkét portnak nyitva lennie. HTTP-adatátvitel esetén csak a 80-as TCP-portot kell megnyitni. Ha AD RMS-környezete Secure Sockets Layer (SSL) vagy HTTPS titkosítási protokollt használ, akkor csak a 443-as TCP-portot kell megnyitnia. SSL esetén az alapértelmezett port a 443-as TCP-port. Ha szervezete az alapértelmezettől eltérő portszámot használ az SSL-titkosításhoz, javasoljuk helyette az itt megadott port használatát.
Megjegyzés | |
Az AD RMS telepítésekor a rendszer automatikusan létrehozza és engedélyezi a következő táblázatban leírt kivételt. |
Portkivétel | Leírás |
---|---|
TCP 80 |
HTTP |
TCP 443 |
HTTPS- vagy SSL-adatátvitel |
Ha az AD RMS-fürt egynél több kiszolgálóból áll, vagy az AD RMS adatbázis-kiszolgálója nem az AD RMS rendszeren van egykiszolgálós telepítésben, akkor az alábbi kivételeket kell létrehozni az AD RMS-adatbázisoknak helyet adó adatbázis-kiszolgálón. A táblázat információi Microsoft SQL Server 2005 vagy ennél újabb rendszer használatát feltételezik.
Portkivétel | Leírás |
---|---|
TCP 1433 |
Alapértelmezett Microsoft SQL Server figyelőport |
TCP 445 |
SQL Server nevesített csövek (az AD RMS-kiszolgáló beiktatásához használatosak) |
A fenti portkivételek létrehozása mellett a tűzfal hatókörének beállítását is alaposan át kell gondolni. Hacsak az AD RMS-környezetet nem extranetes célokra használja, a szervezet hálózatába beérkező összes adatforgalmat ajánlott korlátozni. Ha AD RMS-környezetét a szervezet hálózatán kívüli ügyfélszámítógépek számára is elérhetővé kell tennie, akkor minden, az interneten keresztül csatlakozni próbáló számítógép számára csak a 443-as vagy a 80-as TCP-portot tegye elérhetővé.
Figyelem! | |
AD RMS-környezetekben a 445-ös TCP-portot AD RMS-kiszolgáló beiktatására használják, de ugyanez a port használatos fájlmegosztási portként is minden olyan számítógépen, amelyen Microsoft Windows 2000 vagy újabb rendszer fut. Hacsak nincs konkrét igény arra, hogy a hálózatra csatlakozó más számítógépek hozzáférjenek ehhez a porthoz, a hatókört úgy ajánlott korlátozni, hogy csak az AD RMS-fürt férhessen hozzá az AD RMS adatbázis-kiszolgálójának 445-ös TCP-portjához. |