Полное руководство по Citrix MetaFrame XP


Безопасность сети


Другой аспект обеспечения безопасности сети состоит в защите сервера от атак типа отказа в обслуживании (DoS). Атаки DoS делают серверы недоступными, насыщая порты сервера мусорными пакетами и препятствуя прохождению пользовательских пакетов или приводя к отказу сервера. Один из очевидных способов уменьшить уязвимость для атак DoS состоит в том, чтобы блокировать порты для служб, которые вы не используете - например, сервер MetaFrame, не выполняющий IIS, не должен иметь открытым порт 80. Помимо блокирования неиспользуемых портов, Microsoft рекомендует, чтобы вы редактировали параметры настройки системного реестра для стека TCP/IP, которые перечислены в таблице, чтобы сделать сервер менее уязвимым. Эти ключи главным образом расположены в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters (NoNameReleaseOnDemand запрещает сообщать серверу MetaFrame свое имя NetBIOS кому попало и находится в подключе Services\NetBT\Parameters).

Параметр реестра

Значение по умолчанию

Рекомендованное Значение

SynAttackProtect

0

2

TcpMaxHalfOpen

100 для Win2KPro и Win2K Server, 500 для Advanced Server

Default

TcpMaxHalfOpenRetried

80 для Win2KPro и Win2K Server, 400 для Advanced Server

Default

Enable PMTU Discovery

1 (True)

0 (False)

NoNameReleaseOnDemand

0 (False)

1 (True)

EnableDeadGWDetect

1 (True)

0 (False)

KeepAliveTime

7,200,000 (2 часа)

300,000

PerformRouterDiscovery

2 (управляется DHCP, но по умолчанию выключено)

0 (disabled)

EnablelCMPRedirects

1 (True)

0 (False)

В дополнение к редактированию реестра сервера MetaFrame, вы также можете найти полезным поместить серверы MetaFrame за межсетевым экраном (firewall). Чтобы использовать межсетевой экран, но разрешать пользователям из внешнего мира использовать сервер MetaFrame, вы должны использовать трансляцию сетевых адресов (NAT), метод представления публичного адреса IP для внешнего мира и приватного (немаршрутизируемого) адреса IP - для внутреннего мира. Внутренние адреса имеют префиксы 192, 172 или 10 в следующих диапазонах: