Phần 2 - Tổng quan về Firewall của Windows Server 2008 với tính năng bảo mật nâng cao
Tổng quan về Firewall của Windows Server 2008 với tính năng bảo mật nâng cao - Phần 2
Thomas Shinder Phần 2: Inbound Rules và Outbound Rules Trong phần đầu của loạt bài gồm ba phần này, chúng tôi đã giới thiệu về một số thiết lập cấu hình toàn cục để sử dụng tường lửa. Trong phần này chúng tôi sẽ giới thiệu về các rule gửi đến/gửi đi để bạn có thể kiểm soát được các kết nối vào và ra đối với máy tính có cài đặt Windows Server 2008. Inbound Rules và Outbound Rules Để bắt đầu, bạn hãy mở giao diện điều khiển Windows Firewall with Advanced Security từ menu Administrative Tools. Trong phần bên trái của giao diện điều khiển sẽ xuất hiện hai nút, Inbound Rules và Outbound Rules. Nút Inbound Rules sẽ liệt kê những điều khiển các kết nối gửi đến máy chủ. Còn nút Outbound Rules điều khiển các kết nối gửi đi được tạo bởi máy chủ. Kích vào nút Inbound Rules. Các rule mà bạn thấy ở đây sẽ thay đổi phụ thuộc vào máy chủ gì và dịch vụ gì được cài đặt và được kích hoạt trên máy chủ. Trong hình bên dưới, bạn có thể thấy máy tính là một Active Directory domain controller, và một số rule được kích hoạt để cho phép các hoạt động của Active Directory. Mặc định, nếu không có rule nào cho phép kết nối gửi đến đối với máy chủ thì kết nối sẽ bị chặn lại. Nếu có một rule cho phép thì kết nối này sẽ được cho phép nếu các đặc điểm của kết nối phù hợp với các thiết lập trong rule. Chúng ta sẽ xem xét một chút đến các đặc tính này. Khi kích vào nút Outbound Rules, bạn sẽ thấy các rule đã được tạo để cho phép các kết nối gửi đi từ máy chủ đến các máy khác trong mạng. Lúc này, cấu hình mặc định cho các kết nối gửi đi đang được thiết lập để cho phép tất cả lưu lượng, nghĩ là không có rule Deny. Chính vì vậy nếu chúng ta vẫn chọn các thiết lập mặc định của Windows Firewall with Advanced Security thì tại sao lại cần tất cả các rule Allow? Điều này là vì cách làm việc của nó. Trong thực tế khi thiết lập Allow (default) được kích hoạt cho các kết nối gửi đi thì máy tính sẽ chỉ ra hành vi cho các kết nối gửi đi không phù hợp với rule gửi đi của tường lửa. Chính vì vậy, lý do cho tất cả các rule là nếu bạn chọn hành vi khác, hành vi bị khóa và nếu không có rule cho phép thì kết nối này sẽ bị khóa. Đây chính là lý do cho tất cả các rule Allow. Nhớ rằng với cả hai Inbound Rules và Outbound Rules, bản tính và số rule được quyết định bởi các dịch vụ và máy chủ được cài đặt trên máy tính. Khi bạn cài đặt dịch vụ bằng Server Manager thì tiện ích này sẽ tự động làm việc với Windows Firewall with Advanced Security để tạo các rule tường lửa thích hợp và an toàn nhất. Bạn có thể thấy rằng các rule không được đánh số, có vẻ như không có thứ tự ưu tiên. Điều này không hoàn toàn đúng, các rule được đánh giá bằng thứ tự ưu tiên dưới đây:
Trong phần bên trái của giao diện điều khiển Windows Firewall with Advanced Security, bạn có thể kích chuột phải vào nút Inbound Rules hoặc Outbound Rules và thấy được rằng có thể thực hiện việc lọc bằng Profile, State hoặc Group. Các rule tường lửa của Windows kèm theo sẽ tự động nhóm vào cho bạn, nó sẽ dựa trên chức năng mà các rule này cung cấp. Bạn có thể thấy trong hình dưới đây, có một số nhóm trong đó bạn có thể lọc. Để xem các thông tin chi tiết về cấu hình rule của tường lửa, bạn hãy kích đúp vào bất kỳ các rule nào trong danh sách. Khi bạn kích đúp, một hộp thoại Properties sẽ xuất hiện cho rule đó. Trong tab General bạn sẽ thấy tên của rule và một số mô tả về rule cũng như các thông tin về rule đó là một trong tập các rule đã được định nghĩa trước bởi Windows hay không. Với các rule nằm trong phần đã được thiết lập trước thì bạn sẽ thấy không phải tất cả các thành phần của rule đều có thể cấu hình. Rule được kích hoạt khi hộp kiểm Enabled đã được tích Trong khung Actions, bạn có ba tùy chọn:
Kích vào tab Users and Computers. Ở đây bạn có thể cấu hình rule để áp dụng cho người dùng nào đó hoặc máy tính cụ thể. Để hỗ trợ thẩm định máy tính và người dùng, người dùng và máy tính cần phải là thành viên của miền Active Directory của bạn, và một chính sách Ipsec được cấu hình để hỗ trợ bảo mật Ipsec giữa hai điểm kết cuối. Chúng ta sẽ xem xét đến phần này sau khi tạo rule tường lửa. Trong tab Protocols and Ports bạn chọn những giao thức mà rule sẽ áp dụng. Các tùy chọn ở đây là:
Kích vào tab Scope. Ở đây bạn có thể thiết lập địa chỉ IP nội bộ Local IP address và địa chỉ IP từ xa Remote IP address cho phạm vi rule nào sử dụng. Local IP address là địa chỉ trên máy chủ đang chấp nhận kết nối hoặc địa chỉ được sử dụng với tư cách là địa chỉ nguồn để gửi các kết nối gửi đi. Remote IP address là địa chỉ IP của máy chủ điều khiển xa mà máy chủ này đang muốn kết nối đến (trong kịch bản truy cập gửi đi), hoặc địa chỉ IP nguồn của máy tính đang muốn kết nối với máy chủ (trong trường hợp kịch bản truy cập gửi đến). Kích tab Advanced. Ở đây bạn có thể thiết lập profile gì sẽ sử dụng rule. Trong ví dụ hình bên dưới, bạn có thể thấy được rule được dùng để cung cấp cho tất cả profile. Trong khung Interface type, bạn có thể chọn giao diện để áp dụng cho rule này. Hình bên dưới thể hiện rằng rule được sử dụng cho tất các các giao diện, trong đó gồm có Local area network, remote access và wireless. Tùy chọn Edge traversal cũng là một tùy chọn hay, do nó không được giới thiệu trong tài liệu nhiều nên chúng tôi chỉ trích những gì trong file trợ giúp của nó đã giới thiệu. “Edge traversal chỉ thị xem edge traversal có được kích hoạt (Yes) hay vô hiệu hóa (No). Khi được kích hoạt, ứng dụng, dịch vụ, hoặc cổng mà rule sử dụng sẽ có thể định địa chỉ và truy cập từ bên ngoài NAT (network address translation) hoặc edge device.” Bạn nghĩ gì về vấn đề này? Chúng ta có thể tạo các dịch vụ có sẵn trên NAT bằng cách sử dụng chuyển tiếp port trên NAT phía trước máy chủ. Liệu có cần phải thực hiện gì với Ipsec? Với NAT-T?... những vấn đề này các bạn có thể tự sáng tạo theo các hoàn cảnh sử dụng riêng. Tạo rule cho tường lửa Bạn có thể tạo rule cho tường lửa để bổ sung thêm các rule được cấu hình tự động bởi Server Manager khi cài đặt máy chủ và các dịch vụ. Bắt đầu bằng các kích vào liên kết New Rule trong panel bên phải của giao diện điều khiển Windows Firewall with Advanced Security. New Inbound Rule Wizard sẽ xuất hiện. Trang đầu tiên của tiện ích này là Rule Type. Ở đây bạn có thể cấu hình rule để áp dụng cho:
Trang thứ hai của tiện ích sẽ có ba tùy chọn:
Các tùy chọn ở đây là:
Trong trang Scope bạn có thể thiết lập địa chỉ IP nội bộ và từ xa để rule áp dụng. Có thể chọn IP address hoặc These IP addresses. Tùy chọn này cho phép bạn có được một số thước đo về khả năng kiểm soát, điều khiển trên những máy tính nào kết nối với máy chủ và những máy tính nào máy chủ không kết nối khi cấu hình phù hợp với các yếu tố của rule. Bạn cũng có tùy chọn áp dụng phạm vi này cho một giao diện cụ thể, như trong hình bên dưới. Có thể xem hộp thoại Customize Interface Types khi kích nút Customize. Trong trang Action, bạn có thể chọn để những gì xảy ra khi kết nối phù hợp với các yếu tố của rule. Các tùy chọn ở đây là:
Tích vào hộp kiểm Only allow connections from these computers nếu bạn muốn cho phép các kết nối chỉ từ các máy tính cụ thể. Còn hãy tích Only allow connections from these users nếu muốn hạn chế sự truy cập cho một số người dùng hoặc nhóm người dùng. Trong trang Profile, bạn có thể thiết lập profile mà bạn muốn rule áp dụng cho. Trong hầu hết các trường hợp, chỉ có profile miền sẽ được áp dụng cho máy chủ, chính vì vậy các profile khác sẽ không được kích hoạt. Tuy vậy, hoàn toàn không có vấn đề gì cho việc kích hoạt tất cả trong số chúng. Trong trang cuối cùng của tiện ích, bạn cần phải đặt tên cho rule. Kích Finish để tạo một rule. Đó là tất cả những công việc cần thực hiện. Nút Monitoring sẽ kiểm tra các rule của tường lửa, tuy nhiên nó thực sự không mang đến cho bạn nhiều thông tin ngoại trừ thông tin rule nào được kích hoạt. Cũng không có thông tin nào liên quan đến rule nào có thể sẽ kích hoạt ở một thời điểm nào đó, có lẽ đây sẽ là một tính năng thú vị mà nhóm phát triển của Windows cần phải xem xét đến trong tương lai. Kết luận Trong phần hai của loạt bài này chúng tôi đã giới thiệu cho các bạn một số thông tin chi tiết về Inbound Rules và Outbound Rules, cùng với đó là cách tạo các rule mới. Trong phần tiếp theo chúng tôi sẽ giới thiệu về Connection Security Rules và xem chúng làm việc như thế nào, những yêu cầu gì cần thiết với nó và cách thiết lập cũng như kiểm tra các kết nối. Văn Linh (Theo Quantrimang - Windows Security) |
Bây giờ là 10:35 AM. Giờ GMT +7 |
Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.