CấuhìnhtườnglửanângcaotrongWindows2008bằngNETSHCLITrong bài trước, tôi đã giới thiệu cách cấuhìnhtườnglửa nâng caotrongWindows Server 2008bằng snap-in MMC. Trong bài này, tôi sẽ giới thiệu cách cấuhìnhtương tự Windows2008 Server Advanced Firewall nhưng bằng giao diện dòng lệnh (CLI) sử dụng tiện ích netsh. Có rất nhiều lý do bạn muốn thực hiện điều này, hãy cùng tìm hiểu Định nghĩa tiện ích netsh cho tườnglửaTrongWindows2008 Server, bạn thấy có một tườnglửacao cấp cho máy chủ cơ sở . Đây là một số đặc tính mới mà tôi đã đề cập trong bài CấuhìnhtườnglửanângcaotrongWindows Server 2008bằng snap-in MMC: New GUI interface – Snap-in MMC sẵn có để cấuhìnhtường lửa. Bi-directional – Các bộ lọc lưu lượng ra vào. Works better with IPSEC – Các quy luật của tườnglửa và các cấuhình mã hóa IPSec đã được tích hợp với nhau. Advanced Rules configuration – Bạn có thể thiết lập các quy luật cho các tài khoản và nhóm Windows Active Directory (AD), nguồn và đích đến cho các địa chỉ IP động, các số giao thức, nguồn và đích đến cho các cổng TCP/UDP , ICMP, IPv6, và các giao diện của Windows Server. Netsh advfirewall là một dòng lệnh sử dụng cho cấuhìnhWindows2008 Server Advanced Firewall.Lý do CLI được sử dụng cho cấuhìnhtườnglửa Windows? Trong khi một số người thích dùng giao diện snap-in MMC để cấuhìnhtườnglửa thì một số người khác lại thích dùng CLI bởi những lý do sau: Nhanh hơn – Khi biết cách sử dụng các lệnh netsh advfirewall, sẽ khiến cho việc truy cập vào giao diện màn hình nhanh hơn. Khả năng biên tập – Bạn có thể biên tập lại các lệnh chính bằng công cụ này. Làm việc khi giao diện màn hình không hiển thị - Cũng như công cụ CLI, bạn có thể sử dụng netsh advfirewall khi màn hình không hiển thị, ví dụ: Window Server 2008 Core. Lệnh nào được sử dụng với netsh advfirewall? Dưới đây là 9 lệnh quan trọng nhất mà bạn cần biết khi dùng lệnh netsh advfirewall. Lệnh help (?) Đây là câu lệnh được dùng nhiều nhất. Bất cứ khi nào bạn gõ lệnh ?, lệnh này sẽ cho phép bạn nhìn thấy toàn bộ tất cả các tùy chọn có trong lệnh tương ứng (xem hình 1) Hình 1: Tùy chọn help trongnetsh advfirewall Lệnh consec (kết nối an toàn tới profile cần thiết) Các thông tin kết nối sẽ cho phép bạn tạo ra IPSEC VPNs giữa hai hệ thống. Nói cách khác, câu lệnh consec cho phép bảo đảm các lưu lượng thông tin đi qua tườnglửa được giới hạn hay được lọc. Tùy chọn lệnh này sẽ tạo ra cách cấu hình kết nối an toàn như sau: netsh advfirewall> consec netsh advfirewall consec> Tại đây, nếu gõ lệnh ? bạn sẽ thấy có 6 tình huống khác nhau trongnetsh advfirewall consec (xem hình 2). Nếu gõ lệnh? ở đây, bạn có thể thay đổi thông tin bảo mật bằng các lệnh sau: Add: Thêm vào quy tắc bảo mật các kết nối mới Delete: Xóa đi một quy tắc bảo mật kết nối . Dump: Lệnh này không làm việc trong ngữ cảnh này. Help: Hiển thị tất cả các lệnh . Set: Thiết lập giá trị mới cho một quy tắc đã có. Hình 2: Tùy chọn netsh advfirewall consec Lệnh Show Bạn dùng lệnh Show để liệt kê ra tườnglửa sẽ làm gì tiếp theo. Có 3 tùy chọn đối với lệnh này: Show alias sẽ liệt kê các bí danh. Show helper liệt kê những người trợ giúp cấp cao. Show mode thông báo tườnglửa đang hoạt động hay không hoạt động. Export Bạn nên xuất tất cả các cấuhình hiện tại của tườnglửa vào một file. Lệnh này sẽ rất hữu dụng bởi vì bạn có thể sao lưu tất cả các thiết lập file và khôi phục lại chúng khi không thích các cấuhình mới mình đã tạo ra. Lệnh Firewall Với lệnh này bạn có thể thêm các quy tắc trong và ngoài mới cho tường lửa. Lệnh này cũng cho phép thay đổi các quy tắc trên tường lửa. Hình 3: Lệnh netsh advfirewall firewall Trong lệnh firewall có 4 lệnh quan trọng sau: Add: Thêm các quy tắc tườnglửatrong và ngoài. Delete: Xóa một quy tắc. Set: Thiết lập một giá trị mới cho các quy tắc đã được thiết lập. Show: Hiển thị một quy tắc tườnglửa được chỉ định. Sau đây là một ví dụ lệnh Add và Delete: Thêm một quy tắc cho messenger.exe netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:\programfiles\messenger\msmsgs.exe” action=allow Xóa tất cả các quy tắc trong ở cổng 21 netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21 Import Lệnh import cho phép nhập vào các cấuhình cho tườnglửa từ một file. Với lệnh này bạn có thể nạp vào một file mà bạn đã xuất. Ví dụ: netsh advfirewall import “c:\advfirewall.wfw” Reset Lệnh này sẽ xác lập lại điều khoản tườnglửa trở về mặc định. Hãy cần thận với lệnh này bởi vì ngay khi bạn gõ lệnh này thì nó sẽ xác lập lại điều khoản mà không hỏi xem bạn có đồng ý hay không. Đây là một ví dụ: netsh advfirewall reset Set Lệnh Set sẽ thay đổi trạng thái tườnglửa thành các thông tin khác nhau. Có 6 loại nội dung cho lệnh này: Hình 4: netsh advfirewall set Set allprofiles: Thay đổi xác lập của tất cả profile. Set currentprofile: Thay đổi xác lập cho profilehiện tại. Set domainprofile: Thay đổi xác lập cho profiledomain Set global: Thiết lập chung của tường lửa. Set privateprofile: Thay đổi xác lập thông tin cá nhân. Set publicprofile: Thay đổi xác lập thông tin chung. Ví dụ lệnh set: Tắt tườnglửa cho tất cả các profile: netsh advfirewall set allprofiles state off Thiết lập mặc định để khóa kết nối vào và cho phép kết nối ra trên tất cả các profile: netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound Bật chế độ quản lý từ xa trên tất cả các profile: netsh advfirewall set allprofiles settings remotemanagement enable Đăng nhập các kết nối trên tất cả các profile: netsh advfirewall set allprofiles logging droppedconnections en . Cấu hình tường lửa nâng cao trong Windows 2008 bằng NETSH CLI Trong bài trước, tôi đã giới thiệu cách cấu hình tường lửa nâng cao trong Windows Server 2008 bằng snap-in MMC. Trong. ích netsh cho tường lửa Trong Windows 2008 Server, bạn thấy có một tường lửa cao cấp cho máy chủ cơ sở . Đây là một số đặc tính mới mà tôi đã đề cập trong bài Cấu hình tường lửa nâng cao trong. diện của Windows Server. Netsh advfirewall là một dòng lệnh sử dụng cho cấu hình Windows 2008 Server Advanced Firewall.Lý do CLI được sử dụng cho cấu hình tường lửa Windows? Trong khi