【TechTarget中国原创】对于远程客户端,当隔离封包过滤器在适当的位置时,您需要创建确实能够访问的资源。这样的资源例子包括DNS服务器和DHCP服务器,使得能够找回IP地址和其他链接信息,如后缀地址、DNS服务器地址等等;文件服务器能够下载适当的软件更新出问题的机器;如果发生任何问题,Web服务器能够描述隔离过程,或者允许远程用户通过e-mail联系IT支持商。
您可以用两种方法指定和使用隔离资源。第一个是找出某些服务器,它可以像那些隔离资源一样,能够覆盖您的网络。这可以让你使用一个现有的机器来放置隔离资源,但是您也必须为每一个现有的机器的隔离资源,创建单独的封包过滤器。考虑到性能和开支原因,最好在某个时期限制单独封包过滤器的数量。
如果您决定采取这种方法,您需要启动下表中列出的封包过滤器:
| 通信类型 |
源端口 |
目的端口 |
替代品(而不是指定的端口信息) |
| 隔离Notifier |
无 |
TCP 7250 |
无 |
| DHCP |
UDP 68 |
UDP 67 |
无 |
| DNS |
无 |
UDP 53 |
您也可以指定任何DNS服务器的IP地址。 |
| WINS |
无 |
UDP 137 |
您也可以指定任何WINS服务器的IP地址。 |
| HTTP |
无 |
TCP 80 |
您也可以指定任何web服务器的IP地址。 |
| NetBIOS |
无 |
TCP 139 |
您也可以指定任何文件服务器的IP地址。 |
| Direct Hosting |
无 |
TCP 445 |
您也可以指定任何文件服务器的IP地址。 |
您也可以设定任何其他的,针对您机构的特别的封包过滤器。
另一种方法是把您的隔离资源限制在一定IP子网。这样,您只需要一个封包过滤器,用以对一个远程用户隔离通信,但是您可能需要重新给机器分配地址,在大多数情况下,要把他们从现有服务中拿出或者购买新的。
使用这种方法,封包过滤器的要求比较简单。您只需在目的端口TCP 7250上,为notifier流量打开一个;在远端口UDP 68和目的端口IDP 67上,为DHCP流量打开一个;在专用隔离资源子网的地址范围,为其余的流量打开一个。其次,您也可以专门针对您的机构设定任何其它的封包过滤器。