Windows Firewall with Advanced Security trên Windows Server 2008 là một sự kết hợp giữa personal firewall (host firewall) và Ipsec,cho phép bạn cấu hình để lọc các kết nối vào và ra trên hệ thống. Không giống như những firewall ở các phiên bản Windows trước chỉ sử dụng Windows Firewall trong Control Panel để thực hiện các thao tác cấu hình ở mức độ giới hạn.
MỤC LỤC DANH MỤC HÌNH ẢNH CHƯƠNG TỔNG QUAN VỀ FIREWALL VÀ NAP 1.1 Giới thiệu “Windows Firewall With Advance Security on Windows Server 2008” 1.1.1 Tổng quan Windows Firewall with Advanced Security Windows Server 2008 kết hợp personal firewall (host firewall) Ipsec,cho phép bạn cấu hình để lọc kết nối vào hệ thống Không giống firewall phiên Windows trước sử dụng Windows Firewall Control Panel để thực thao tác cấu hình mức độ giới hạn Trong Windows Server 2008 bổ sung thành phần có tên gọi Windows Firewall with Advance Security Công cụ cho phép bạn dễ dàng thực thao tác cấu hình đa dạng cao cấp firewall, điểm đáng ý là: - Điều khiển kết nối vào hệ thống (inbound outbound) - Tích hợp chặt chẽ với Server Manager.Khi bạn sử dụng Serve Manager để cài đặt dịch vụ, firewall cấu hình cách tự động để phù hợp với dịch vụ vừa cài đặt - Những cải tiến quản lý cấu hình sách IPsec.Đồng thời, IPsec thay khái niệm mới, Connection Security Rules - Những cải tiến hoạt động giám sát sách firewall IPsec (Connection Security Rules) Windows Firewall with Advance Security sử dụng hai loại rule để cấu hình - Firewall rules: dùng để xác định kết nối cho phép bị cấm - Connection Security rules: phục vụ cho mục đích bảo mật đường truyền máy tính với máy tính khác Sau hoàn thành việc xây dựng rule,bạn dựa vào firewall profile để áp dụng rule cho máy tính.Firewall profile khái niệm dùng để vị trí mà máy tính kết nối.Trên Windows Server 2008 có ba loại firewall profile sau: - Domain: áp dụng máy tính kết nối vào domain - Private: áp dụng máy tính trở thành thành viên mạng nội chưa kết nối vào domain - Public: áp dụng máy tính kết nối vào hệ thống mạng công cộng, chẳng hạn Internet 1.1.2 Làm quen với giao diện Để mở Windows Firewall with Advance Security vào Start -> Administrative Tools -> Windows Firewall with Advance Security Hình 1.1.2.1 Giao diện Windows Firewall with Advance Security Ở bảng Windows Firewall with Advance Security on Local Computer cung cấp thông tin firewall profile Domain, Private Public Đây thiết lập mặc định Ở khung bên trái có chức Inbound Rules,Outbound Rules,Connection Security Rules Monitoring Ở khung Action bên phải Import Policy, Export Policy để đưa sách vào đưa Chúng ta khảo sát số thuộc tính mặc định Windows Firewall with Advance Security.ở khung Actions bên phải chọn Properties Hình 1.1.2.2 Giao diện Properties Ở tab Profile: Domain State: cho đổi firewall Off Firewall phép thay trạng thái On - lnbound connections: điều khiển kết nối đến máy tính -Giá trị mặc định Block (default) khóa tất kết nối không thỏa mãn rule định nghĩa firewall.Ngoài có tùy chọn khác Allow Block all connections.Allow cho phép tất kết nối đến Block ail connections chặn kết nối đến - Outbound connections: điều khiển máy tính từ máy tính này.Giá trị mặc định Allow (default), cho phép thực kết nối đến hệ thống khác.Nốu sử dụng tùy chọn Block, bạn cấm máy tính thiết lập kết nối mạng.Do đó,bạn nên giữ nguyên giá trị mặc định để đảm bảo máy tính làm việc tốt - Settings: chọn Customize để thực số thiết lập bổ sung cho firewall - Logging: chọn Customize để thay đổi thiết lập mặc định hệ thống file log Ở tab Private Profile tab Public Profile tương tự Domain Proíĩle.Đây thiết lập dành cho máy tính không thuộc domain Ở tab IPsec Settings : Hình 1.1.2.3 Giao diện tab IPsec Settings - IPsec defaults bao gồm thiết lập mặc định áp dụng bạn tạo Connection Security Rule mói.Đe thay đổi bạn chọn Customize.Lưu ý bạn hiệu chỉnh thiết lập trình tạo Connection Security Rule - IPsec exemptions giúp bạn dễ dàng tìm kiếm khắc phục cố hệ thống mạng sử dụng IPsec.Neu thay đổi giá trị mặc định thành Yes, bạn dễ dàng sử dụng công cụ Ping, Tracert để dò tìm nguyên nhân xử lý cố Firewall Rule - Windows Firewall with Advance Security bao gom loại firewall rule Inbound Rules Outbound Rules.Các firewall rule cho phép bạn tạo rule nhằm điều khiến kết nối đến từ máy tính chạy hệ điều hành Windows Server 2008 - Trong hình làm việc Windows Firewall with Advance Security, click chọn Inbound Rules.Bạn thấy xuất danh sách firewall rule hệ thống, khung Hình 1.1.2.4 Danh sách Inbound Rules - Các firewall rule tạo cách tự động bạn cài đặt dịch vụ bổ sung thành phần vào server Lưu ý: danh sách chưa có firewall rule có khả cho phép kết nối từ máy tính khác đến máy tính - Với Outbound Rules tương tự Hình 1.1.2.5 Danh sách Outbound Rules - Bạn xếp xem loại firewall rule áp dụng cho firewall profile cách nhấp chuột phải vào Inbound Rules Outbound Rules ,lọc theo điều kiện Profile ,State,Group Sau chọn Filter by - Nếu muốn xem chi tiết firewall rule, click đúp vào rule Hình 1.1.2.6 Chi tiết firewall rule - Trên tab General, bạn xem thay đổi trạng thái firewall rule cách đánh dấu bỏ chọn mục Enabled.Đồng thời mục Action, chọn chế độ Allow the connections, Allow only secure connections Block the connections phép chặn kết nối tương ứng - Trên tab Programs and Services, bạn thực thao tác nhằm cho phép cấm truy cập đến dịch vụ ứng dụng cài đặt hệ thống Để thiết lập ứng dụng dịch vụ cụ thế, sử dụng chức Browse Settings Hình 1.1.2.7 tab Programs and Services - Ở tab Users and Computers, bạn thiết lập nhóm user computer mà firewall rule áp dụng.việc thực cách đánh dấu chọn vào hai mục Only allow connection from these computers Only allow connections from these users.Sau sử dụng chức Add để bổ sung user compute tương ứng Hình 1.1.2.8 tab Users and Computers - Lưu ý: để xác thực user computer, bạn cần thiết lập Allow only secure connections mục Action tab General.Đồng thời user computer phải thuộc domain IPsec phải cấu hình hệ thống tham gia vào trình xác thực Trên tab Protocols and Ports, thiết lập giao thức port mà firewall rule áp dụng 10 Hình 3.2.1.11 Màn hình Select Server Roles tick Trên hình Network Policy and Access Services click Next Tick chọn Network Policy Server hình Select Role Services sau chọn Next 52 Hình 3.2.1.12 Màn hình Select Role Services Trên hình Confirm Installation Selections click Install Click Close sau cài đặt xong Network Policy Server Cấu hình Network Access Protection Vào Administrative tool -> Network Policy Server -> Network Access Policy -> System Health Validators Click chuột phải vào Windows Security Health Validator chọn Properties Trên hình Windows Security Health Validator Properties, click Configure… Tick chọn thành phần mà NAP áp dụng Client Ở tick chọn A Firewall is enable for all network connections Click OK 53 Hình 3.2.1.13 Màn hình windows security heath validator Chọn NPS (Local), click Configure NAP Tại Network connection method chọn Dynamic Host Configuration Protocal (DHCP), click Next 54 Hình 3.2.1.14 Network connection method Do không áp dụng cho RADIUS Clients nên để mặc định click Next hình Speacify NAP Enforecement Servers Running DHCP Server 55 Hình 3.2.1.15 Màn hình Speacify NAP Enforecement Servers Running DHCP Server Trên hình Configure User Group and Machine Group click Next 56 Hình 3.2.1.16 Màn hình Configure User Group and Machine Group Click New Group hình Speacify a NAP Remediation Server Group and URL Gán tên sau click Add 57 Hình 3.2.1.17 Gán địa IP Clik Next để tiếp tục Nếu muốn client tự động áp dụng sách NAP đưa tick chọn Enable out-remediation of client computers Click Next 58 Hình 3.2.1.18 Màn hình Define NAP health policy Trên hình Completing NAP Enforcement Policy and RADIUS Client Configuration click Finish Cấu hình điều hướng người dùng không thỏa mãn NAP Bật NAP cho Scope DHCP Server cách vào DHCP Server Click chuột phải vào Scope chọn Properties Vào tab Network Access Protection, tick chọn Enable for this scope Click OK Tạo số sách người dùng không thỏa mãn yêu cầu NAP áp dụng Vào Scope cần áp dụng -> Click chuột phải vào Scope Options chọn ConfigureOptions… Vào tab Advanced, chọn Default Network Access Protection Class User Class 59 Hình 3.2.1.19 Tab Advanced Bật NAP client Vào Services, click chuột phải vào Network Access Protection Agent chọn Start 60 Hình 3.2.1.20 Services Cấu hình NAP hỗ trợ cho DHCP client Vào Run gõ lệnh mmc sau OK Trên hình Console1, vào File chọn Add/Remove Snap-in Chọn NAP Client Configuration sau click Add 61 Hình 3.2.1.21 Màn hình Add or remove snap-ins Tick chọn Local computer (the computer on which this console is running) sau click OK Click OK Trên cửa sổ Console1 vào Enforcement Clients, click chuột phải vào DHCP Quarantine Enforcement Client chọn Enbale 62 Hình 3.2.1.22 Màn hình Consolel 3.2.2 Kiểm tra NAP áp dụng lên client Tắt firewall máy Client Hình 3.2.2.1 Tắt firewall máy Client Sau lúc, Firewall DHCP Client tự động bật lại 63 Hình 3.2.2.2 Firewall DHCP Client Để tắt chế độ tự động bật firewall DHCP Client vào Network Policy Server -> Policies -> Network Policies Click chuột phải vào NAP DHCP Noncompliant chọn Properties 64 Hình 3.2.2.3 Network Policy Server Vào tab Settings, chọn mục NAP Enforcement bỏ chọn Enable autoremediation of client computers 65 Hình 3.2.2.4 Tab Settings Lúc này, DHCP Client nhận IP từ DHCP Server bị hạn chế sách cấu hình DHCP Server Hình 3.2.2.5 DHCP Client nhận IP từ DHCP Server 66 [...]... CHƯƠNG 3 CẤU HÌNH VÀ KIỂM THỬ 3.1 Windows Firewall with Advance Security 3.1.1 Cấu hình Trên máy sever 1 bạn click start program Administrator tools Windows firewall with advanced security Hình 3.1.1.1 Windows firewall with advanced security Click chuột phải vào dòng Windows firewall with advanced security và chọn properties Chọn chế độ ‘off’ trên firewall state của tab private profile 34 Hình 3.1.1.2... sử dụng các bản vá bảo mật cho máy khác thực thi 2.2.2 Cơ chế làm việc của NAP NAP được thiết kế để administrator có thể định cấu hình của nó để đáp ứng các nhu cầu cá nhân trong mạng của họ Do đó cấu hình thật sự của NAP sẽ thay đổi tùy vào sở thích và yêu cầu của những nhà quản trị Tuy nhiên thì cách hoạt động cơ bản của NAP thì vẫn giống nhau Khi có được 1 sự chứng nhận về sức khỏe, việc thực hiện... có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ 2.2 Cấu trúc, cơ chế làm việc, chức năng, hạn chế của NAP 2.2.1 Cấu trúc của NAP Hình 2.2.1.1 Toàn bộ cấu trúc của NAP Ở bên trái hình là các client cố đi vào mạng và các server sửa chữa vốn có thể cung cấp các cập nhật cho chúng để di chuyển tình trạng sức khoẻ của những client này từ... Add và thêm, có các mục cho bạn tùy chọn.Có thể là dãy 1P hoặc chỉ một IP hay subnet Ở tab Advance, bạn có thể thiết lập các profile và các loại kết nối (interface type) sẽ sử dụng trong firewall rule này.Bạn có thể thiết lập tất cả các profile hoặc một số profile phù hợp.Nếu muốn cấu hình các loại kết nối này chọn Customize ở mục Interface type và lựa chọn tương ứng 13 Hình 1.1.2.12 Giao diện tab Advance. .. bằng những phần mềm hoặc cài đặt cấu hình yêu cầu không giới hạn đường truyền 30 Hình 2.2.2.1 Thực thi NAP yêu cầu tới một vài máy chủ Việc thực thi cơ sở hạ tầng mạng yêu cầu đến một vài máy chủ, mỗi một máy chủ ở đây sẽ thực hiện một vai trò nào đó Như những gì các bạn thấy trong hình trên, chúng ta sẽ sử dụng một Routing và Remote Access Server, một domain controller và một Network Policy Server Sau... System Health Agent Chỉ Windows Vista và Windows XP SP3 mới có khả năng chạy System Health 28 Agent và chính vì vậy chỉ có các hệ điều hành máy trạm này tương thích với Network Access Protection 2.2.1.1.2 System Health Agent (SHA) System Health Agent là một tác nhân chạy như một dịch vụ trên máy trạm và kiểm tra Windows Security Center Tác nhân này chịu trách nhiệm cho việc báo cáo các thông tin về trạng... laptop của nhân viên thường được kết nối vào công ty nhưng chúng thường không được nhận sự update và những thay đổi về cấu hình, chúng có thể bị nhiễm virus, trojan,…khi kết nối vào các mạng ko được bảo vệ như internet Bằng cách sử dụng NAP, administrator có thể kiểm tra tình trạng của bất kì laptop bào kết nối vào mạng dù là kết nối bằng VPN hay là kết nối trực tiếp vào mạng - Kiểm tra tình trạng các máy... Policy khi người dùng đăng nhập Và không phải tất cả máy tính này đều chạy phiên bản mới nhất của Microsoft Windows Một số máy tính này sẽ có một Firewall cá nhân được mở và được cấu hình, đây có thể là Windows Firewall hoặc một nhóm sản phẩm thứ ba nào đó Những máy tính khác có thể không có Firewall, hầu hết sẽ được cài đặt phần mềm chống virus, nhưng những máy tính này đảm bảo đã download các file... tả đơn giản hoạt động của NAP khi một laptop không phục tùng chạy Windows Vista cố VPN vào corpnet bằng cách kết nối với một server VPN chạy Windows Server 2008 khi một hạ tầng NAP đã được triển khai: Windows Vista client đang được kết nối với máy chủ Windows Server 2008 (máy chủ đang chạy dịch vụ Remote Access (RRAS)) Máy chủ này đóng vai trò như một VPN server cho mạng Windows Vista client thiết... Symantec, các công ty quản lý bản patch như Altiris và PatchLink, những nhà cung cấp phần mềm an ninh như RSA Security, những nhà sản xuất các thiết bị an ninh bao gồm Citrix, những nhà sản xuất thiết bị mạng bao gồm Enterasys và F5 và những nhà tích hợp hệ thống trong ngành công nghiệp và một số nhà cung cấp hỗ trợ NAP tăng lên hàng ngày Thêm vào đó, NAP còn cung cấp bộ thư viện API (Application Programming