Установка Microsoft Exchange Server 2010 на раз, два, три. Руководство для начинающих. Часть 11. Стандартные порты и протоколы Microsoft Exchange Server 2010.

В квартире есть окна и двери. Можно с уверенностью сказать, что все окна и двери любой хозяин старается держать закрытыми и вряд ли кто-любо был бы доволен, если бы каждый прохожий мог беспрепятственно зайти внутрь через открытую дверь или влезть через открытое окно.

По аналогии, любой пользователь ПК должен быть заинтересован в том, чтобы никто чужой не смог просто так войти в ваш компьютер и взять что ему захочется или удалить какие нибудь важные данные. На окнах и дверях дома обычно есть замки, их запирают, чтобы чувствовать себя в безопасности. Если необходимо выйти или впустить к себе знакомого, можно открыть двери и впустить или выпустить нужных людей. Программа-фаервол действует аналогично дверям с замком. Установив фаервол на компьютер, его можно настроить таким образом, чтобы он пропускал в Интернет или запускал из Интернет только те программы или сайты, которые можно и нужно в данный момент. Все остальные программы (в т.ч. и нежелательные) будут заблокированы как на вход так и на выход.

Политика безопасности правильного фаервола (да и вообще, правильный подход к любой системе безопасности) такова: все, что не разрешено или неизвестно — должно быть запрещено. Фактически фаервол преставляет собой фильтр между компьютером и Интернет, который пропускает только нужное и важное, все остальное фильтруется (блокируется).

TCP/IP — набор сетевых протоколов, через которые компьютеры устанавливают связь друг с другом. Набор TCP/IP — не более чем фрагменты программного кода, установленные в операционной системе и открывающие доступ к этим протоколам.

В начальный период развития сетей, в 1983 г., инженеры разработали семиуровневую модель взаимодействия OSI для описания процессов сетевого обмена компьютеров, от кабеля до приложения. Модель OSI состоит из физического, канального, сетевого, транспортного, сеансового представления данных и прикладного уровней. Несмотря на солидный возраст модели OSI, ею по-прежнему пользуются многие специалисты. Например, когда сетевой инженер говорит о коммутаторах уровней 1 или 2, а поставщик брандмауэров — о контроле на уровне 7, они имеют в виду уровни, определенные в модели OSI.

В данном случае мы будем обсуждать вопрос о сетевых портах, расположенных на четвертом уровне — транспортном. В наборе TCP/IP эти порты используются протоколами TCP и UDP. Но прежде чем перейти к подробному описанию одного уровня, необходимо кратко ознакомиться с семью уровнями OSI и той ролью, которую они выполняют в современных сетях TCP/IP.

Уровень 1 — физический, представляет собственно среду, в которой распространяется сигнал, — например, медный кабель, волоконно-оптический кабель или радиосигналы (в случае Wi-Fi).

Уровень 2 — канальный, описывает формат данных для передачи в физической среде. На уровне 2 пакеты организуются в кадры и могут быть реализованы базовые функции управления потоком данных и обработки ошибок. Стандарт IEEE 802.3, более известный как Ethernet,— самый распространенный стандарт уровня 2 для современных локальных сетей. Обычный сетевой коммутатор — устройство уровня 2, с помощью которого несколько компьютеров физически подключаются и обмениваются данными друг с другом. Иногда два компьютера не могут установить соединение друг с другом, хотя IP-адреса кажутся корректными: причиной неполадки могут быть ошибки в кэше протокола преобразования адресов ARP (Address Resolution Protocol), что свидетельствует о неисправности на уровне 2. Кроме того, некоторые беспроводные точки доступа (Access Point, AP) обеспечивают фильтрацию адресов MAC, разрешающую соединение с беспроводной AP только сетевым адаптерам с конкретным MAC-адресом.

Уровень 3 — сетевой, поддерживает маршрутизацию. В TCP/IP маршрутизация реализована в IP. IP-адрес пакета принадлежат уровню 3. Сетевые маршрутизаторы — устройства уровня 3, которые анализируют IP-адреса пакетов и пересылают пакеты другому маршрутизатору или доставляют пакеты в локальные компьютеры. Если в сети обнаружен подозрительный пакет, то в первую очередь следует проверить IP-адрес пакета, чтобы установить место происхождения пакета.

Уровень 4транспортный, содержит протоколы TCP и UDP и информацию о сетевом порте, который связывает пакет с конкретным приложением. Сетевой стек компьютера использует связь сетевого порта TCP или UDP с приложением, чтобы направить сетевой трафик в это приложение. Например, TCP-порт 80 связан с приложением Web-сервера. Такое соответствие портов с приложениями известно как служба.

TCP и UDP различаются. В сущности, TCP обеспечивает надежное соединение для обмена данными между двумя приложениями. Прежде чем начать обмен данными, два приложения должны установить связь, выполнив трехшаговый процесс установления связи TCP. Для протокола UDP в большей степени характерен подход «активизировать и забыть». Надежность связи для приложений TCP обеспечивается протоколом, а приложению UDP приходится самостоятельно проверять надежность соединения.

Номера портов.

Значение сетевых портов не уступает IP-адресам; это важнейшие критерии для отделения полезного трафика от фальшивых и вредных посылок, поступающих в сеть и исходящих из нее.

Номер порта для «привязки» службы выбирается в зависимости от его функционального назначения. Все номера портов, находящиеся в диапазоне 0 — 65535 разделены на 3 категории

 

Номера портов

Категория

Описание

0 — 1023 Общеизвестные порты Номера портов назначены IANA и на большинстве систем могут быть использованы исключительно процессами системы (или пользователя root) или прикладными программами, запущенными привилегированными пользователями.

Не должны использоваться без регистрации IANA. Процедура регистрации определена в разделе 19.9 RFC 4340 (http://tools.ietf.org/html/rfc4340).

1024 — 49151 Зарегистрированные порты Номера портов включены в каталог IANA и на большинстве систем могут быть использованы процессами обычных пользователей или программами, запущенными обычными пользователями.

Не должны использоваться без регистрации IANA. Процедура регистрации определена в разделе 19.9 RFC 4340 (http://tools.ietf.org/html/rfc4340).

49152 — 65535 Динамически используемые порты и/или порты, используемые внутри закрытых (private) сетей Предназначены для временного использования — в качестве клиентских портов, портов, используемых по согласованию для частных служб, а также для тестирования приложений до регистрации выделенных портов. Эти порты не могут быть зарегистрированы.

 

За присвоение номеров портов определённым сетевым службам отвечает Internet Assigned Numbers Authority (IANAhttp://www.iana.org/) — «Администрация адресного пространства Интернет» — американская некоммерческая организация, управляющая пространствами IP-адресов, доменов верхнего уровня, а также регистрирующая типы данных MIME и параметры прочих протоколовИнтернета.

Термин не должны, в данном контексте используется в значении определения SHOULD NOT, данного в RFC 2119 (http://tools.ietf.org/html/rfc2119). «НЕ ДОЛЖЕН» или «НЕ РЕКОМЕНДУЕТСЯ» означает, что при определённых обстоятельствах возможны отдельные случаи, обусловленные вескими причинами, когда нарушение указанных рекомендаций приемлемо или даже предпочтительно, но такие причины и обстоятельства должны быть понятны и тщательно взвешены, прежде чем нарушить рекомендации, помеченные данной фразой.

Термин не могут, в данном контексте используется в значении определения MUST NOT, данного в RFC 2119 (http://tools.ietf.org/html/rfc2119). «НЕ МОЖЕТ» обозначает, что установлен абсолютный запрет.

Исторически все номера портов от 0 до 1024 получили название «известных номеров портов». В некоторых операционных системах только системные процессы могут использовать порты этого диапазона. При блокировании сетевых приложений компьютера или устранении изъянов в брандмауэре основная часть работы приходится на классификацию и фильтрацию IP-адресов уровня 3, а также протоколов и сетевых портов уровня 4. Чтобы быстро отличать легальный и подозрительный трафик, следует научиться распознавать наиболее широко используемый на предприятии набор портов TCP и UDP.

 

Служба шлюза уровня приложения. Имя системной службы: ALG. Этот подкомпонент службы общего доступа к подключению Интернета и брандмауэра подключения к Интернету предназначен для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета. Подключаемые модули шлюза уровня приложения (Application Layer Gateway, ALG) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. FTP (File Transfer Protocol) – это единственный сетевой протокол с подключаемым модулем, который входит в состав Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Подключаемый модуль ALG FTP предназначен для поддержки активных сеансов по протоколу FTP через механизм преобразования сетевых адресов (NAT) путем перенаправления всего трафика, который проходит через механизм NAT на порт 21, на частный прослушиваемый порт с номером в диапазоне от 3000 до 5000 на адаптере замыкания на себя. Подключаемый модуль контролирует и обновляет трафик управляющего канала FTP так, чтобы подключаемый модуль FTP мог пересылать сопоставление портов через механизм NAT для каналов данных FTP, а также обновляет порты в потоке управляющего канала FTP.

 

Прикладной протокол Протокол Порты
Управление FTP TCP 21

 

Служба кластеров. Имя системной службы: ClusSvc. Служба кластеров контролирует операции кластера серверов и управляет базой данных кластера. Кластер представляет собой набор отдельных компьютеров, которые действуют как одна система. Руководителям, программистам и пользователям кластер виден в качестве единой системы. Программное обеспечение распределяет данные между узлами кластера. В случае сбоя одного из таких узлов находящиеся в его ведении службы и данные предоставляются другими узлами. Когда восстанавливается или добавляется новый узел, программное обеспечение кластера перемещает на него часть данных.

 

Прикладной протокол Протокол Порты
Служба кластера UDP 3343
RPC TCP 135

 

Браузер компьютеров. Имя системной службы: Обозреватель. Системная служба браузера компьютеров составляет актуальный список компьютеров в сети и предоставляет его программам, которые его запрашивают. Обозреватель компьютеров используется на компьютерах под управлением операционных систем Windows для просмотра сетевых доменов и ресурсов. Компьютеры, которые выступают в роли обозревателей, составляют списки просмотра, содержащие все общие ресурсы сети. Функции просмотра необходимы таким средствам ОС Windows более ранних версий, как «Сетевое окружение», команда net view и проводник Windows. Так, если открыть «Сетевое окружение» на компьютере под управлением Windows 95, появится список доменов и компьютеров. Для его составления компьютер получает копию списка просмотра у компьютера, который исполняет роль обозревателя.

 

Прикладной протокол Протокол Порты
Служба датаграмм NetBIOS UDP 138
Разрешение имен NetBIOS UDP 137
Служба сеансов NetBIOS TCP 139

 

Служба сервера DHCP. Имя системной службы: DHCPServer. Служба сервера DHCP использует протокол DHCP (Dynamic Host Configuration Protocol) для автоматического распределения IP-адресов. С ее помощью можно настроить дополнительные сетевые параметры клиентов DHCP, например серверы служб DNS (Domain Name System) и WINS (Windows Internet Name Service). Для хранения и передачи на клиентские компьютеры сведений о конфигурации TCP/IP можно настроить один или несколько серверов DHCP.

 

Прикладной протокол Протокол Порты
Сервер DHCP UDP 67
MADCAP UDP 2535

 

Служба публикации FTP. Имя системной службы: MSFTPSVC. Служба публикации FTP используется для установки подключений к серверам FTP. Порт управления FTP по умолчанию – 21, однако эту службу можно настроить с помощью оснастки диспетчера служб IIS. Порт данных по умолчанию (используется для FTP активного режима) автоматически устанавливается на единицу меньшим, чем порт управления. Таким образом, если 4131 – это порт управления, то 4130 будет портом данных по умолчанию. Большинство клиентов FTP используют FTP пассивного режима. Это значит, что клиент подключается к серверу FTP через порт управления, сервер FTP назначает порт ТСР с большим номером в диапазоне от 1025 до 5000, а затем клиент открывает второе подключение к серверу FTP для передачи данных. Диапазон портов с большими номерами можно настроить с помощью метабазы IIS.

 

Прикладной протокол Протокол Порты
Управление FTP TCP 21
Данные по умолчанию FTP TCP 20
Произвольно назначенные порты TCP с большими номерами TCP произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 — 65535¹

¹ Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

 

Групповая политика. Имя системной службы: Групповая политика. Для успешного применения групповой политики клиент должен иметь возможность подключения к контроллеру домена по протоколам DCOM, ICMP, LDAP, SMB и RPC.

 

http://ru.wikibooks.org/wiki/TCP/IP

http://orbiter.ucoz.ru/publ/27-1-0-132

http://help.fregat.com/general/ports

http://help.fregat.com/general/firewall

http://linuxforum.ru/viewtopic.php?id=129

http://www.xnets.ru/plugins/content/content.php?content.207.5

http://www.russianproxy.ru/node/325

http://www.alexhost.ru/hosting_article_44.php

http://sysadminblog.ru/windows/2010/05/21/probros-portov-port-forwarding-v-windows-2003-server-1.html

http://www.alexhost.ru/hosting_article_53.php

http://sysadminblog.ru/cisco/2010/05/25/nastroyka-probrosa-portov-port-forwarding-v-cisco-2.html

http://sysadminblog.ru/blog/cisco/12.html

http://sysadminblog.ru/microsoft/2011/03/14/porty-ispolzuemye-microsoft-exchange-server-2010.html

http://www.alexhost.ru/hosting_article_46.php

http://technet.microsoft.com/ru-ru/library/bb331973.aspx

http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B

Пока нет комментариев.

Вы должны зайти чтобы оставить комментарийt.

Нет трэкбэков.
 

You need to log in to vote

The blog owner requires users to be logged in to be able to vote for this post.

Alternatively, if you do not have an account yet you can create one here.

Powered by Vote It Up