|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
27-06-2009, 02:54 PM | #1 |
Guest
Trả Lời: n/a
|
Cấu hình Windows Server 2008 advanced firewall bằng MMC snap-in
Cấu hình Windows Server 2008 advanced firewall bằng MMC snap-in ITlab
Bài này sẽ đề cập đến những thay đổi trong Windows Server 2008 Advanced Firewall và cách cấu hình cho tường lửa này bằng MMC snap-in Ngay từ ban đầu,Windows Server 2003 SP1 firewall đã là 1 tường lửa cơ bản,chạy trên nền host.Trong Windows Server 2008,nó đã được cải tiến khá nhiều.Sau đây ta sẽ tìm hiểu những tính năng mới trong phiên bản này và cách thức cấu hình chúng bằng MMC snap-in. Tại sao nên dùng loại tường lửa chạy trên nền host (Host-base firewall) ? Ngày nay rất nhiều công ty bảo vệ an toàn mạng nội bộ bằng phương thức "hard outer shell / gooey center" (Tạo 1 hàng rào vững chắc bao quanh mạng nội bộ bằng firewall và hệ thống IPS,bảo vệ họ khỏi những tấn công từ Internet).Tuy nhiên nếu attacker vượt qua được hàng rào bảo vệ bên ngoài và chiếm quyền điều khiển của máy bên trong mạng,sẽ chỉ còn cơ chế chứng thực bảo mật của Windows ngăn chặn attacker tiếp xúc những thông tin quan trọng của công ty. Lý do là vì phần lớn các chuyên gia CNTT không bảo vệ Server của họ bằng Host-base firewall.Nguyên nhân?Vì họ cho rằng Host-base firewall gây nhiều phiền phức hơn là ích lợi. Hy vọng sau khi đọc xong bài viết này,bạn sẽ quan tâm hơn tới việc sử dụng Host-base firewall.Trong Microsoft Windows Server 2008,Host-base firewall là thành phần dựng sẵn (built-in) của Windows với rất nhiều tính năng cải tiến và dễ sử dụng.Thêm vào đó,đây là cách hữu hiệu nhất để bảo vệ những thành phần quan trọng của hệ thống mạng.Vậy tại sao ta không bắt đầu đi vào tìm hiểu Windows Server Advanced firewall: Những tính năng mới và giá trị của chúng • Giao diện mới: Bạn có thể cấu hình cho Windows Server Advanced firewall bằng giao diện MMC snap-in. • Lọc 2 chiều: lọc các gói tin đi qua theo cả 2 chiều inbound và outbound • Thuận tiện khi cấu hình với IPSEC: Các rules của Firewall và cấu hình mã hoá IPsec đã được tích hợp trong 1 giao diện duy nhất. • Cấu hình các Rules nâng cao: Có thể cấu hình rules cho các dịch vụ người dùng & nhóm (Windows Active Directory (AD) service accounts & groups), địa chỉ IP nguồn/đích (source/destination IP addresses),các loại giao thức (protocol numbers),các cổng (source and destination TCP/UDP ports, ICMP, IPv6 traffic, và các giao diện trong Windows Server. Với những tính năng mới trên,Windows Server Advanced firewall hoàn toàn có thể thay thế các loại Host-base firewall truyền thống (VD như Zonealarm Pro) Điều mà những người quản trị hay nghi ngại khi sử dụng Host-base firewall,đó là liệu chúng có cản trở sự hoạt động của các phần mềm quan trọng trên Server?Bởi lẽ đó,Windows Firewall with Advanced Security (WFAS) tự động tạo ra các rules mới mỗi khi ta thêm 1 chức năng mới cho Server (New server role).Tuy nhiên nếu bạn chạy 1 ứng dụng non-Microsoft trên Server,bạn sẽ phải tự cấu hình rule mới cho ứng dụng đó. Với việc sử dụng Windows Server Advanced firewall,Server sẽ được bảo vệ an toàn hơn khỏi sự tấn công,kiểm soát được dữ liệu lưu thông qua Server. Những lựa chọn để cấu hình WFAS? Trước đây,với Windows Server,bạn có thể cấu hình Windows Firewall khi cấu hình card mạng hoặc trong Control Panel 1 cách khá giản đơn.Với WFAS,người quản trị có thể cấu hình cho Firewall bằng Windows Server Manager hoặc bằng MMC thông qua WFAS snap-in: Hình 1: Hình 2: Tuy nhiên cách đơn giản nhất để khởi động WFAS MMC snap-in,đó là gõ firewall trong hộp thoại Search của menu Start: Hình 3: Có thể cấu hình những gì trong WFAS MMC snap-in Vì có rất nhiều tính năng có thể được cấu hình trong WFAS MMC snap-in,bài viết này không thể đề cập hết.Nếu đã từng dùng qua Windows 2003 built-in firewall,bạn sẽ dễ dàng nhận ra những điểm khác biệt trong WFAS.Ở đây xin được nhấn mạnh vào 1 vài tính năng thường dùng: Mặc định,lần đầu mở bạn sẽ thấy WFAS ở chế độ ON và chặn toàn bộ các kết nối vào nội bộ (inbound) không thoả mãn luật áp dụng cho ngoài mạng (outbound rules),outbound Firewall ở chế độ OFF. 1 vài điều nữa bạn sẽ chú ý,đó là những profiles khác nhau cho WFAS: Hình 4: Sự khác biệt giữa domain profile, private profile và public profile trong WFAS,đó là các rule nào sẽ được áp dụng cho máy của bạn khi nó kết nối vào mạng nội bộ(Rules áp dụng đối với mạng LAN của công ty sẽ khác với rules áp dụng cho quán café Internet) Điểm cải tiến đáng chú ý nhất trong WFAS,đó là cho phép tạo ra những rule phức tạp với nhiều điều kiện.Hãy xem ví dụ dưới đây: Trong Microsoft Windows Server 2003: Hình 5: Và trong Microsoft Windows Server 2008: Hình 6: Dễ dàng thấy rằng giờ đây tab Protocols & Ports chỉ là 1 trong rất nhiều tab bạn có thể cấu hình.Bạn hoàn toàn có thể cấu hình rules cho Users & Computers, Programs, Services, và IP address Scopes.Bạn có thể nhận thấy WFAS khá giống với Microsoft’s IAS server. WFAS cung cấp 1 lượng lớn các rules mặc định.Trong Microsoft Windows Server 2003,chỉ có 3 rules mặc định.Trong khi đó với Microsoft Windows Server 2008,bạn có tới khoảng 90 inbound rules và khoảng 40 outbound rules mặc định! Hình 7: Cách tự tạo 1 inbound Firewall rule Giả sử bạn cài đặt Apache web server for Windows trên Server dùng Windows 2008.Nếu bạn dùng IIS thì cổng dịch vụ sẽ tự động được mở cho bạn.Nhưng nếu dùng web server của hãng thứ 3,bạn cần tự cấu hình mở cổng trên firewall.Các bước làm như sau: • Định nghĩa giao thức bạn muốn lọc: Trong trường hợp này là TCP/IP (dùng cho web) • Định nghĩa cổng nguồn,IP nguồn,cổng đích,IP đích: Các gói tin sẽ đi từ bất kỳ IP hay cổng nào ở bên ngoài vào Server này thông qua cổng 80 • Mở WFAS MMC snap-in • Tạo Rule mới: Nhấn New rule để mở New Inbound Rule Wizard: Hình 8: • Chọn cấu hình rule mới cho port • Cấu hình giao thức vào số hiệu cổng: Chọn TCP và gõ địa chỉ cổng là 80.Nhấn Next • Giữ nguyên Allow this connnection.Nhấn Next • Giữ nguyên thiết lập rule này cho tất cả các profiles.Nhấn Next • Đặt tên cho rule.Nhấn Finish. Tới đây,rule mới được thiết lập sẽ hiện ra như sau: Hình 9: Trước khi cấu hình,ta không thể chạy Apache web server.Còn sau khi cấu hình xong thì việc chạy hoàn toàn bình thường. Kết luận Với các Firewall profiles,khả năng cấu hình các rule phức tạp,số rule mặc định nhiều gấp hơn 30 lần so với Microsoft Windows Server 2003,Windows 2008 Server firewall thực sự là 1 bước cải tiến vượt bậc,nâng cao khả năng bảo mật cho Server.Đây thực sự là 1 giải pháp hay mà người quản trị nên sử dụng cho hệ thống Server mình quản lý. Nguồn: Code: http://forum.itlab.com.vn/ |
|
|