CẤU HÌNH WINDOWS FIREWALL Windows Firewall lọc các kết nối đến máy tính nhằm mục đích ngăn chặn những vấn đề không mong muốn trong hệ thống mạng.. Đối với một server đã kết nối Interne
Trang 1WINDOWS FIREWALL TRONG
WINDOWS SERVER 2008
ICT VIETNAM COMMUNITY
September 6, 2010 Authored by: ICT24H Team
Trang 2CẤU HÌNH WINDOWS FIREWALL
Windows Firewall lọc các kết nối đến máy tính nhằm mục đích ngăn chặn những vấn đề không mong muốn trong hệ thống mạng Thêm vào đó, Windows Firewall cũng có thể lọc các kết nối từ máy tính đi ra nhằm hạn chế rủi ro malware Windows Firewall trong Windows Server 2008 cải thiện đáng kể về khả năng bảo mật, thậm chí có thể bảo vệ tốt hơn bằng các yêu cầu chứng thực hoặc giới hạn các phạm vi kết nối cho phép
Sau bài học này, bạn có thể:
Tìm hiểu mục đích của firewall
Liệt kê các profile và cách sử dụng
Tạo một rule cho phép các kết nối đến máy tính
Tạo một rule cho phép các kết nối đi ra từ máy tính và bật chế độ lọc kết nối đó
Cấu hình các phạm vi cho một rule để giới hạn việc truyền dữ liệu, thông tin đối với các subnet
Cấu hình IPsec để nâng cao tính bảo mật, hạn chế truy đối với người dùng hoặc máy tính cụ thể
Sử dụng Group Policy để cấu hình rule trong Active Directory domain
Kích hoạt chế độ Firewall log để xử lí sự cố
Tạo rule cho một ứng dụng
Thời lượng bài học: 45 phút
Tại sao Firewall trở nên quan trọng ?
Trong hệ thống mạng, firewall phân tích các kết nối, giao tiếp, truyền dữ liệu và loại bỏ các gói thông tin chưa được cho phép Đây là công việc quan trọng vì một khi bạn đã kết nối Internet thì bạn có thể bị hàng tỉ máy tính khác tấn công Có thể là tấn công một dịch vụ trong máy tính, dữ liệu quan trọng hoặc thậm chí kẻ tấn công kiểm soát và truy cập vào máy tính của bạn Trong trường hợp gặp phải virus, ứng dụng sẽ tự động tấn công máy tính của bạn, thu thâp thông tin, sao chép đến các máy tính khác và sau
đó kẻ tấn công sẽ tiếp tục tấn công các máy tính khác trong cùng mạng với máy tính đã bị tấn công Mục đích của firewall là ngăn chặn, loại bỏ những dữ liệu truyền tải không cần thiết, chẳng hạn từ virus, trong khi cho phép các lưu lượng truyền tải hợp pháp, chẳng hạn chia sẻ tập tin đã được chứng thực
Tìm hiểu các profile trong Firewall
Khi bạn tạo rule để cho phép hoặc ngăn chặn truyền tải dữ liệu, bạn có thể áp dụng chúng cho các profile trong Firewall là Domain, Private và Public Những profile này cho phép các kết nối đến máy tính
đã thuộc một domain (ví dụ, cho phép kết nối Remote Desktop Connection) nhưng ngăn chặn kết nối không đảm bảo độ an toàn (chẳng hạn các mạng wireless công cộng)
Domain: áp dụng đối với tất cả các máy tính thuộc Active Directory domain
Private: áp dụng đối với các máy tính nằm trong mạng nội bộ
Public: mặc định profile này được áp dụng cho tất cả các mạng Mặc định, Public cho phép các
kết nối đi ra từ máy tính nhưng ngăn chặn các kết nối đến máy tính Chẳng hạn, khi người dùng
Trang 3Hầu hết server luôn luôn được kết nối đến môi trường domain Để đảm bảo tính nhất quán trong việc điều hành thậm chí nếu domain controller không hoạt động, bạn cần cấu hình các rule cho cả 3 profile trên
Inbound rule
Mặc định, Windows Firewall ngăn chặn bất cứ kết nối nào đến nếu chưa được cho phép Với profile Public tuyệt đối ngăn chặn các kết nối đến – hữu ích khi kết nối đến các mạng wireless công cộng hoặc các mạng không tin cậy Với Domain và Private cho phép một số kết nối đến, ví dụ kết nối để chia sẻ tập tin
và in ấn
Các rule được áp dụng để thiết lập cho các nối đến gọi là inbound rule
Nếu bạn cài đặt hoặc bật tính năng yêu cầu kết nối đến, Windows sẽ tự động kích hoạt các rule yêu cầu
Vì thế, bạn không cần phải thiết lập rule bằng tay Hình dưới hiển thị các inbound rule mặc định trong Windows Server 2008 đóng vai trò domain controller
Nếu bạn cài đặt một ứng dụng, bạn cần tạo rule cho ứng dụng đó Bạn có thể tạo rule sử bằng cách sử dụng giao diện Windows Firewall with advance security hoặc có thể áp dụng rule với Group Policy
(Computer Configuration > Policies > Windows Settings > Security Settings > Windows
Firewall with Advanced Security > Windows Firewall with Advanced Security
Để tạo một inbound rule, thực hiện các bước sau:
1 Trong Windows Firewall with Advanced Security, r-click vào Inbound Rules và chọn
New Rule
2 Trên trang Rule Type, thiết lập các tùy chọn sau, sau đó click Next:
Program: cho phép hoặc ngăn chặn kết nối đối với một chương trình
Port: cho phép hoặc ngăn chặn kết nối dành đối với các cổng TCP hoặc UDP
Predefined: cho phép kiểm soát đối với thành phần trong Windows, chẳng hạn Active
Directory Domain Services, File and Printer Sharing và Remote Desktop
Custom: tùy chọn nào cho phép bạn thiết lập kết hợp cả Program và Port
3 Hoàn thành các trang sau đó với các thiết lập của bạn Click Next
4 Trên trang Action, lựa chọn các tùy chọn sau, sau đó click Next
Trang 4 Allow the connection: cho phép kết nối mà bạn đã chọn trước đó
Allow the connection if it secure: cho phép kết nối chứng thực qua Ipsec Bạn có thể đánh dấu vào Require the connection to be encrypted nếu muốn yêu cầu mã hóa và chứng thực các kết nối Đánh dấu chọn Override block rules nếu bạn muốn
chứng thực người dùng hoặc máy tính kết nối đến
Block the connection: ngăn chặn bất cứ kết nối nào mà bạn đã chọn trước đó
5 Trên trang Profile, chọn các profile mà bạn muốn áp dụng đối với rule này Đối với server, bạn
nên áp dụng rule cho cả ba loại profile vì server thường kết nối đến trực tiếp đến mạng Với các thiết bị máy tính di động, chẳng hạn như laptop, điện thoại smartphone, bạn cần áp dụng rule
đối với profile Domain Nếu bạn không có Active Directory domain hoặc người dùng cần sử dụng rule khi họ sử dụng kết nối ở nhà, bạn nên sử dụng rule Private Click Next
6 Trên trang Name, nhập tên rule, sau đó click Finish
Outbound rule
Mặc định, Windows Firewall cho phép tất cả kết nối đi ra từ máy tính Việc cho phép kết nối đi ra từ máy tính ít rủi ro hơn việc để các kết nối đến máy tính Tuy nhiên, các kết nối đi ra từ máy tính vẫn có một số rủi ro sau:
Nếu malware đã nhiễm vào một máy tính, nó có thể gửi các thông tin quan trọng ra ngoài( chẳng hạn nội dung từ một cơ sở dữ liệu Microsoft SQL Server, các tin nhắn e-mail từ Microsoft Exchange hoặc danh sách mật khẩu)
Virus và sâu máy tính tự động nhân bản Nếu chúng nhiễm vào một máy tính trong nội bộ, chúng sẽ cho phép các malware nhanh chóng nhiễm đến các máy tính khác trong nội bộ
Người dùng có thể sử dụng các ứng dụng để gửi dữ liệu ra Internet và họ không kiểm soát được
dữ liệu đưa ra
Các rule được áp dụng để thiết lập cho các nối đi ra gọi là outbound rule
Để tạo outbound rule, thực hiện các bước sau:
1 Tại Windows Firewall with Advanced Security, r-click Outbound Rules, chọn New Rule
2 Trên trang Rule Type, chọn kiểu rule (được giới thiểu ở phần tạo Inbound rule), sau đó click
Next
3 Trên trang Program, click This program path Chọn đường dẫn của chương trình Click Next
4 Trên trang Action, xem các tùy chọn (được giới thiệu ở phần tạo Inbound rule) Click Next
5 Trên trang Profile, đánh dấu chọn vào profile mà bạn muốn áp dụng rule Click Next
6 Trên trang Name, nhập tên rule và click Finish
Bạn có thể thiết lập mặc định ngăn chặn các kết nối đi ra, thực hiện các bước sau:
1 Tại Server Manager, r-cick Configuration > Windows Firewall with Advanced Security
> Properties
2 Click vào các tab Domain Profile, Private Profile hoặc Public Profile
3 Tại danh sách Outbound Connection, chọn Block
Trang 54 Click OK
Cấu hình scope để giới hạn phạm vi kết nối
Một trong những phương pháp nhằm nâng cao tính bảo mật là cấu hình các scope thực thi firewall Với việc cấu hình này, bạn có thể cho phép kết nối từ mạng nội bộ và ngăn chặn các kết nối từ mạng bên ngoài
Đối với một server đã kết nối Internet, bạn có thể cho phép bất cứ ai đó có thể kết nối đến các dịch vụ công cộng (chẳng hạn như Web server) trong khi đó chỉ có người dùng trong mạng nội
bộ mới có thể truy cập đến server nội bộ (chẳng hạn sử dụng Remote Desktop)
Đối với server nội bộ, bạn có thể chỉ cho phép kết nối từ các subnet
Đối với các kết nối đi ra, bạn có thể cho phép một ứng dụng kết nối đến server bằng subnet cụ thể nào đó
Đối với các thiết bị máy tính di động, bạn có thể cho phép kết nối cụ thể ( chẳng hạn Remote Desktop) từ những subnet mà bạn sử dụng cho việc quản lý
Để cấu hình scope, thực hiện các bước sau:
1 Tại Windows Firewall with Advanced Security, chọn Inbound Rules hoặc Outbound
Rules
2 R-click vào rule mà bạn muốn cấu hình và chọn Properties
Trang 63 Click tab Scope Tại khung Remote IP address, chọn These IP addresses
4 Tại khung Remote IP address Click Add
5 Tại hộp thoại IP Address, lựa chọn một trong 3 tùy chọn sau, sau đó click OK
This IP address or subnet: nhập địa chỉ IP ( chẳng hạn là 192.168.1.22) hoặc subnet
(chẳng hạn 192.168.1.0/24) để cho phép sử dụng rule
This IP address range: nhập địa chỉ IP bắt đầu tại From và kết thúc tại To để cho
phép phạm vi IP được sử dụng rule
Predefined set of computer: chọn các địa chỉ đặc biệt trong danh sách: Default
Gateway, WINS Servers, DHCP Servers, DNS Servers và Local Subnet
6 Bạn có thể thực hiên lại các bước 4 và 5 nếu muốn thêm các địa chỉ IP sử dụng rule
7 Click OK
Chứng thực các kết nối
Nếu bạn sử dụng IPsec trong môi trường Active Directory, bạn có thể yêu cầu các máy tính hoặc người dùng kết nối phải được chứng thực trước khi thiết lập kết nối
Ví dụ, hãy tưởng tượng công ty bạn có một ứng dụng kế toán sử dụng TCP port 1073 nhưng ứng dụng này không thể kiểm soát truy cập – bất cứ người dùng nào kết nối vào mạng đều có thể truy cập đến các
dữ liệu kế toán tài chính này Bằng cách sử dụng chứng thực kết nối, bạn có thể giới hạn những người dùng trong nhóm kế toán được quyền kết nối đến – thêm kiểm soát truy cập đối với ứng dụng mà không cần viết bất cứ đoạn mã nào
Hầu hết các ứng dụng trong mạng đều cho phép bạn cấu hình kiểm soát truy cập Ví dụ, bạn có thể cấu hình IIS để chứng thực người dùng và cho phép họ kết nối đến các ứng dụng Web Tương tự, nếu bạn chia sẻ một thư mục trong mạng, bạn có thể sử dụng chức năng file permission và share permission để hạn chế những truy cập đến thư mục
Để cấu hình chứng thực kết nối cho một rule, thực hiện các bước sau:
1 Tại Server Manager, click Configuration > Windows Firewall with Advanced Security >
Inbound Rules hoặc Outbound Rules
2 R-click vào rule bạn muốn cấu hình và chọn Properties
3 Click vào tab General Đánh dấu chọn vào Allow the connection if it is secure
4 Click tab Users và tab Computer đối với inbound rule và tab Computers đối với outbound rule
Để cho phép kết nối đến từ những máy tính cụ thể nào đó: đánh dấu chọn vào Only
allow connections from these computers đối với inbound rule hoặc Only allow connections to these computers đối với outbound rule
Để cho phép kết nối đến từ những người dùng cụ thể: đánh dấu chọn Only allow
connections from these users
5 Click Add và chọn nhóm bao gồm người dùng hoặc các máy tính bạn muốn chứng thực
Trang 76 Click OK
Cấu hình thiết lập firewall bằng Group Policy
Bạn có thể sử dụng Group Policy để quản lý thiết lập Windows Firewall bằng 2 cách sau:
Computer Configuration > Policies > Windows Settings > Security Settings >
Windows Firewall with Advanced Security > Windows Firewall with Advanced Security
Computer Configuration > Policies > Administrative Templates > Network > Network
Connections > Windows Firewall
Trang 8Kích hoạt log cho Windows Firewall
Để bật chứ năng ghi lại các log, thực hiện các bước sau:
1 Tại Server Manager, click Configuration R-click vào Windows Firewall with Advanced
Security và chọn Properties
2 Chọn tab Domain Profile, Private Profile hoặc Public Profile
3 Tại Logging, click Customize
4 Tại mục Name, chọn đường dẫn bạn muốn lưu trữ tập tin log Mặc định đường dẫn
%systemroot%\system32\logfiles\firewall\pfirewall.log
5 Tại mục Size limit, nhập giá trị dung lượng giới hạn của tập tin log Mặc định là 4 KB
6 Tại Log dropped packet, chọn Yes nếu bạn muốn ghi lại các gói thông tin bị chặn bởi firewall
7 Tại Log successful connections, chọn Yes nếu bạn muốn ghi lại các kết nối thành công
8 Click OK
Trang 9Thực hành: Cấu hình Windows Firewall
Trong bài thực hành này, bạn cấu hình cả inbound và outbound rule Đây là những công việc thông thường cần làm mỗi khi cài đặt một ứng dụng mới trong môi trường mạng, từ doanh nghiệp nhỏ cho đến những doanh nghiệp lớn
Bài thực hành 1: Cấu hình Inbound
Trong bài thực hành này, bạn sẽ được cài đặt tính năng Telnet Server và cho phép các kết nối đến TCP port 23 Sau đó, bạn sẽ khảo xác các rule kết nối đến được áp dụng cho Telnet Server
1 Tại Server Manager, r-click vào Features và chọn Add Features
2 Tại trang Select featues, đánh dấu chọn Telnet Server Click Next
3 Trên trang Confirm installation selections, click Install
4 Trên trang Installation results, click Close
5 Trên Server Manager, click Configuration > Services Tại danh sách các dịch vụ, r-click
Telnet và chọn Properties Trong danh sách Startup type, chọn Manual Click Apply Sau
đó click Start để khởi động dịch vụ Telnet Server Click OK
Trang 106 Trên máy client, mở khung gõ lệnh và gõ lệnh sau:
telnet ip_address //ip_address là địa chỉ Ip của server bạn cần telnet đến
7 Gõ quit và nhấn Enter để đóng telnet
8 Trên Server Manager của server, click Configuration > Windows Firewall with Advanced
Security > Inbound Rules R-click vào Telnet Server và chọn Properties
9 Click vào tab Programs and Services Chú ý mặc định rule đã được cấu hình cho phép thực thi tập tin %systemroot%\system32\tlntsvr.exe Bạn có thể click Settings để xem lại Click Cancel
2 lần
10 Tại Server Manager, r-click vào Telnet Server chọn Disable Rule
11 Tại máy client, sử dụng lệnh telnet như trên Quá trình kết nối đến telnet thất bại
12 Sử dụng Server Manager để xóa bỏ tính năng Telnet sau đó khởi động lại máy tính nếu cần
thiết
Bài thực hành 2: Cấu hình Outbound rule
Trong bài thực hành này, bạn cấu hình Windows Server 2008 để ngăn chặn các kết nối đi ra Sau đó, kiểm tra bằng cách truy cập vào một Web site bằng Internet Explorer Tiếp theo, bạn sẽ tạo một outbound rule cho phép request từ Internet Explorer và xác nhận outbound rule đã thực thi
Trang 112 Tại Server Manager, click Configuration > Windows Firewall with Advanced Security và chọn Properties
3 Click tab Domain Profile Tại Outbound connections, chọn Block Thiết lập tương tự với các tab Private Profile và Public Profile
4 Click OK
5 Mở Internet Explorer, thử đăng nhập lại http://www.microsoft.com
6 Bạn sẽ không vào được Website vì outbound rule đã chặn Internet Explorer nhận truy vấn HTTP
7 Tại Server Manager, click Configuration > Windows Firewall with Advanced Security, r-click Outbound Rules và chọn New Rule
8 Trên trang Rule Type, chọn Program Sau đó click Next
9 Trên trang Program, đánh dấu chọn This program path, chọn đường dẫn Internet Explorer (
%ProgramFiles%\Internet Explorer\iexplorer.exe)
10 Trên trang Action, chọn Allow the connection Click Next
11 Trên trang Profile, để mặc định để áp dụng rule cho cả 3 profile Click Next
12 Trên trang Name, nhập tên cho Rule Click Finish
13 Mở Internet Explorer, đăng nhập lại trang http://www.microsoft.com một lần nữa Lần này kết nối đến website của Microsoft thành công