WINDOWS FIREWALL TRONG WINDOWS SERVER 2008 ICT VIETNAM COMMUNITY September 6, 2010 Authored by: ICT24H Team ICT VIETNAM COMMUNITY – ICT24H.NET CẤU HÌNH WINDOWS FIREWALL Windows Firewall lọc kết nối đến máy tính nhằm mục đích ngăn chặn vấn đề không mong muốn hệ thống mạng Thêm vào đó, Windows Firewall lọc kết nối từ máy tính nhằm hạn chế rủi ro malware Windows Firewall Windows Server 2008 cải thiện đáng kể khả bảo mật, chí bảo vệ tốt yêu cầu chứng thực giới hạn phạm vi kết nối cho phép Sau học này, bạn có thể:  Tìm hiểu mục đích firewall  Liệt kê profile cách sử dụng  Tạo rule cho phép kết nối đến máy tính  Tạo rule cho phép kết nối từ máy tính bật chế độ lọc kết nối  Cấu hình phạm vi cho rule để giới hạn việc truyền liệu, thông tin subnet  Cấu hình IPsec để nâng cao tính bảo mật, hạn chế truy người dùng máy tính cụ thể  Sử dụng Group Policy để cấu hình rule Active Directory domain  Kích hoạt chế độ Firewall log để xử lí cố  Tạo rule cho ứng dụng Thời lượng học: 45 phút Tại Firewall trở nên quan trọng ? Trong hệ thống mạng, firewall phân tích kết nối, giao tiếp, truyền liệu loại bỏ gói thơng tin chưa cho phép Đây công việc quan trọng bạn kết nối Internet bạn bị hàng tỉ máy tính khác cơng Có thể cơng dịch vụ máy tính, liệu quan trọng chí kẻ cơng kiểm sốt truy cập vào máy tính bạn Trong trường hợp gặp phải virus, ứng dụng tự động cơng máy tính bạn, thu thâp thơng tin, chép đến máy tính khác sau kẻ cơng tiếp tục cơng máy tính khác mạng với máy tính bị cơng Mục đích firewall ngăn chặn, loại bỏ liệu truyền tải không cần thiết, chẳng hạn từ virus, cho phép lưu lượng truyền tải hợp pháp, chẳng hạn chia sẻ tập tin chứng thực Tìm hiểu profile Firewall Khi bạn tạo rule phép ngăn chặn truyền tải liệu, bạn áp dụng chúng cho profile Firewall Domain, Private Public Những profile cho phép kết nối đến máy tính thuộc domain (ví dụ, cho phép kết nối Remote Desktop Connection) ngăn chặn kết nối khơng đảm bảo độ an tồn (chẳng hạn mạng wireless công cộng)    Domain: áp dụng tất máy tính thuộc Active Directory domain Private: áp dụng máy tính nằm mạng nội Public: mặc định profile áp dụng cho tất mạng Mặc định, Public cho phép kết nối từ máy tính ngăn chặn kết nối đến máy tính Chẳng hạn, người dùng kết nối mạng wireless công cộng quán café ICT24H.NET Page ICT VIETNAM COMMUNITY – ICT24H.NET Hầu hết server luôn kết nối đến môi trường domain Để đảm bảo tính quán việc điều hành chí domain controller khơng hoạt động, bạn cần cấu hình rule cho profile Inbound rule Mặc định, Windows Firewall ngăn chặn kết nối đến chưa cho phép Với profile Public tuyệt đối ngăn chặn kết nối đến – hữu ích kết nối đến mạng wireless công cộng mạng không tin cậy Với Domain Private cho phép số kết nối đến, ví dụ kết nối để chia sẻ tập tin in ấn Các rule áp dụng để thiết lập cho nối đến gọi inbound rule Nếu bạn cài đặt bật tính yêu cầu kết nối đến, Windows tự động kích hoạt rule u cầu Vì thế, bạn khơng cần phải thiết lập rule tay Hình hiển thị inbound rule mặc định Windows Server 2008 đóng vai trò domain controller Nếu bạn cài đặt ứng dụng, bạn cần tạo rule cho ứng dụng Bạn tạo rule sử cách sử dụng giao diện Windows Firewall with advance security áp dụng rule với Group Policy (Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Windows Firewall with Advanced Security Để tạo inbound rule, thực bước sau: Trong Windows Firewall with Advanced Security, r-click vào Inbound Rules chọn New Rule Trên trang Rule Type, thiết lập tùy chọn sau, sau click Next:  Program: cho phép ngăn chặn kết nối chương trình  Port: cho phép ngăn chặn kết nối dành cổng TCP UDP  Predefined: cho phép kiểm soát thành phần Windows, chẳng hạn Active Directory Domain Services, File and Printer Sharing Remote Desktop  Custom: tùy chọn cho phép bạn thiết lập kết hợp Program Port Hồn thành trang sau với thiết lập bạn Click Next Trên trang Action, lựa chọn tùy chọn sau, sau click Next ICT24H.NET Page ICT VIETNAM COMMUNITY – ICT24H.NET   Allow the connection: cho phép kết nối mà bạn chọn trước Allow the connection if it secure: cho phép kết nối chứng thực qua Ipsec Bạn đánh dấu vào Require the connection to be encrypted muốn yêu cầu mã hóa chứng thực kết nối Đánh dấu chọn Override block rules bạn muốn chứng thực người dùng máy tính kết nối đến  Block the connection: ngăn chặn kết nối mà bạn chọn trước Trên trang Profile, chọn profile mà bạn muốn áp dụng rule Đối với server, bạn nên áp dụng rule cho ba loại profile server thường kết nối đến trực tiếp đến mạng Với thiết bị máy tính di động, chẳng hạn laptop, điện thoại smartphone, bạn cần áp dụng rule profile Domain Nếu bạn khơng có Active Directory domain người dùng cần sử dụng rule họ sử dụng kết nối nhà, bạn nên sử dụng rule Private Click Next Trên trang Name, nhập tên rule, sau click Finish Outbound rule Mặc định, Windows Firewall cho phép tất kết nối từ máy tính Việc cho phép kết nối từ máy tính rủi ro việc để kết nối đến máy tính Tuy nhiên, kết nối từ máy tính có số rủi ro sau:    Nếu malware nhiễm vào máy tính, gửi thơng tin quan trọng ngồi( chẳng hạn nội dung từ sở liệu Microsoft SQL Server, tin nhắn e-mail từ Microsoft Exchange danh sách mật khẩu) Virus sâu máy tính tự động nhân Nếu chúng nhiễm vào máy tính nội bộ, chúng cho phép malware nhanh chóng nhiễm đến máy tính khác nội Người dùng sử dụng ứng dụng để gửi liệu Internet họ khơng kiểm sốt liệu đưa Các rule áp dụng để thiết lập cho nối gọi outbound rule Để tạo outbound rule, thực bước sau: Tại Windows Firewall with Advanced Security, r-click Outbound Rules, chọn New Rule Trên trang Rule Type, chọn kiểu rule (được giới thiểu phần tạo Inbound rule), sau click Next Trên trang Program, click This program path Chọn đường dẫn chương trình Click Next Trên trang Action, xem tùy chọn (được giới thiệu phần tạo Inbound rule) Click Next Trên trang Profile, đánh dấu chọn vào profile mà bạn muốn áp dụng rule Click Next Trên trang Name, nhập tên rule click Finish Bạn thiết lập mặc định ngăn chặn kết nối ra, thực bước sau: Tại Server Manager, r-cick Configuration > Windows Firewall with Advanced Security > Properties Click vào tab Domain Profile, Private Profile Public Profile Tại danh sách Outbound Connection, chọn Block ICT24H.NET Page ICT VIETNAM COMMUNITY – ICT24H.NET Click OK Cấu hình scope để giới hạn phạm vi kết nối Một phương pháp nhằm nâng cao tính bảo mật cấu hình scope thực thi firewall Với việc cấu hình này, bạn cho phép kết nối từ mạng nội ngăn chặn kết nối từ mạng bên     Đối với server kết nối Internet, bạn cho phép kết nối đến dịch vụ công cộng (chẳng hạn Web server) có người dùng mạng nội truy cập đến server nội (chẳng hạn sử dụng Remote Desktop) Đối với server nội bộ, bạn cho phép kết nối từ subnet Đối với kết nối ra, bạn cho phép ứng dụng kết nối đến server subnet cụ thể Đối với thiết bị máy tính di động, bạn cho phép kết nối cụ thể ( chẳng hạn Remote Desktop) từ subnet mà bạn sử dụng cho việc quản lý Để cấu hình scope, thực bước sau: Tại Windows Firewall with Advanced Security, chọn Inbound Rules Outbound Rules R-click vào rule mà bạn muốn cấu hình chọn Properties ICT24H.NET Page ICT VIETNAM COMMUNITY – ICT24H.NET Click tab Scope Tại khung Remote IP address, chọn These IP addresses Tại khung Remote IP address Click Add Tại hộp thoại IP Address, lựa chọn tùy chọn sau, sau click OK  This IP address or subnet: nhập địa IP ( chẳng hạn 192.168.1.22) subnet (chẳng hạn 192.168.1.0/24) phép sử dụng rule  This IP address range: nhập địa IP bắt đầu From kết thúc To phép phạm vi IP sử dụng rule  Predefined set of computer: chọn địa đặc biệt danh sách: Default Gateway, WINS Servers, DHCP Servers, DNS Servers Local Subnet Bạn thực hiên lại bước muốn thêm địa IP sử dụng rule Click OK Chứng thực kết nối Nếu bạn sử dụng IPsec môi trường Active Directory, bạn u cầu máy tính người dùng kết nối phải chứng thực trước thiết lập kết nối Ví dụ, tưởng tượng cơng ty bạn có ứng dụng kế tốn sử dụng TCP port 1073 ứng dụng kiểm soát truy cập – người dùng kết nối vào mạng truy cập đến liệu kế tốn tài Bằng cách sử dụng chứng thực kết nối, bạn giới hạn người dùng nhóm kế tốn quyền kết nối đến – thêm kiểm soát truy cập ứng dụng mà không cần viết đoạn mã Hầu hết ứng dụng mạng cho phép bạn cấu hình kiểm sốt truy cập Ví dụ, bạn cấu hình IIS để chứng thực người dùng cho phép họ kết nối đến ứng dụng Web Tương tự, bạn chia sẻ thư mục mạng, bạn sử dụng chức file permission share permission để hạn chế truy cập đến thư mục Để cấu hình chứng thực kết nối cho rule, thực bước sau: Tại Server Manager, click Configuration > Windows Firewall with Advanced Security > Inbound Rules Outbound Rules R-click vào rule bạn muốn cấu hình chọn Properties Click vào tab General Đánh dấu chọn vào Allow the connection if it is secure Click tab Users tab Computer inbound rule tab Computers outbound rule  Để cho phép kết nối đến từ máy tính cụ thể đó: đánh dấu chọn vào Only allow connections from these computers inbound rule Only allow connections to these computers outbound rule  Để cho phép kết nối đến từ người dùng cụ thể: đánh dấu chọn Only allow connections from these users Click Add chọn nhóm bao gồm người dùng máy tính bạn muốn chứng thực ICT24H.NET Page ICT VIETNAM COMMUNITY – ICT24H.NET Click OK Cấu hình thiết lập firewall Group Policy Bạn sử dụng Group Policy để quản lý thiết lập Windows Firewall cách sau:   Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Windows Firewall with Advanced Security Computer Configuration > Policies > Administrative Templates > Network > Network Connections > Windows Firewall ICT24H.NET Page ICT VIETNAM COMMUNITY – ICT24H.NET Kích hoạt log cho Windows Firewall Để bật ghi lại log, thực bước sau: Tại Server Manager, click Configuration R-click vào Windows Firewall with Advanced Security chọn Properties Chọn tab Domain Profile, Private Profile Public Profile Tại Logging, click Customize Tại mục Name, chọn đường dẫn bạn muốn lưu trữ tập tin log Mặc định đường dẫn %systemroot%\system32\logfiles\firewall\pfirewall.log Tại mục Size limit, nhập giá trị dung lượng giới hạn tập tin log Mặc định KB Tại Log dropped packet, chọn Yes bạn muốn ghi lại gói thông tin bị chặn firewall Tại Log successful connections, chọn Yes bạn muốn ghi lại kết nối thành công Click OK ICT24H.NET Page ICT VIETNAM COMMUNITY – ICT24H.NET Thực hành: Cấu hình Windows Firewall Trong thực hành này, bạn cấu hình inbound outbound rule Đây công việc thông thường cần làm cài đặt ứng dụng môi trường mạng, từ doanh nghiệp nhỏ doanh nghiệp lớn Bài thực hành 1: Cấu hình Inbound Trong thực hành này, bạn cài đặt tính Telnet Server cho phép kết nối đến TCP port 23 Sau đó, bạn khảo xác rule kết nối đến áp dụng cho Telnet Server Tại Server Manager, r-click vào Features chọn Add Features Tại trang Select featues, đánh dấu chọn Telnet Server Click Next Trên trang Confirm installation selections, click Install Trên trang Installation results, click Close Trên Server Manager, click Configuration > Services Tại danh sách dịch vụ, r-click Telnet chọn Properties Trong danh sách Startup type, chọn Manual Click Apply Sau click Start để khởi động dịch vụ Telnet Server Click OK ICT24H.NET Page ICT VIETNAM COMMUNITY – ICT24H.NET Trên máy client, mở khung gõ lệnh gõ lệnh sau: telnet ip_address //ip_address địa Ip server bạn cần telnet đến Gõ quit nhấn Enter để đóng telnet Trên Server Manager server, click Configuration > Windows Firewall with Advanced Security > Inbound Rules R-click vào Telnet Server chọn Properties Click vào tab Programs and Services Chú ý mặc định rule cấu hình cho phép thực thi tập tin %systemroot%\system32\tlntsvr.exe Bạn click Settings để xem lại Click Cancel lần 10 Tại Server Manager, r-click vào Telnet Server chọn Disable Rule 11 Tại máy client, sử dụng lệnh telnet Quá trình kết nối đến telnet thất bại 12 Sử dụng Server Manager để xóa bỏ tính Telnet sau khởi động lại máy tính cần thiết Bài thực hành 2: Cấu hình Outbound rule Trong thực hành này, bạn cấu hình Windows Server 2008 để ngăn chặn kết nối Sau đó, kiểm tra cách truy cập vào Web site Internet Explorer Tiếp theo, bạn tạo outbound rule cho phép request từ Internet Explorer xác nhận outbound rule thực thi Mở Internet Explorer đăng nhập vào http://www.microsoft.com ICT24H.NET Page ICT VIETNAM COMMUNITY – ICT24H.NET Tại Server Manager, click Configuration > Windows Firewall with Advanced Security chọn Properties Click tab Domain Profile Tại Outbound connections, chọn Block Thiết lập tương tự với tab Private Profile Public Profile Click OK Mở Internet Explorer, thử đăng nhập lại http://www.microsoft.com Bạn khơng vào Website outbound rule chặn Internet Explorer nhận truy vấn HTTP Tại Server Manager, click Configuration > Windows Firewall with Advanced Security, rclick Outbound Rules chọn New Rule Trên trang Rule Type, chọn Program Sau click Next Trên trang Program, đánh dấu chọn This program path, chọn đường dẫn Internet Explorer ( %ProgramFiles%\Internet Explorer\iexplorer.exe) 10 Trên trang Action, chọn Allow the connection Click Next 11 Trên trang Profile, để mặc định để áp dụng rule cho profile Click Next 12 Trên trang Name, nhập tên cho Rule Click Finish 13 Mở Internet Explorer, đăng nhập lại trang http://www.microsoft.com lần Lần kết nối đến website Microsoft thành công ICT24H.NET Page 10 ICT VIETNAM COMMUNITY – ICT24H.NET 14 Tại Server Manager, click Configuration > Windows Firewall with Advanced Security chọn Properties Tại tab Domain Profile, Outbound connections, chọn Allow (Default) Thực tương tự với tab Private Profile Public Profile Click OK Tổng quan học         Firewall thiết kế nhằm ngăn chặn các vấn đề truyền thông tin không cần thiết (chẳng hạn gói thơng tin tạo virus) cho phép kết nối tin cậy hệ thống mạng (chẳng hạn gói thơng tin tạo công cụ quản trị mạng) Windows Server 2008 hỗ trợ sách firewall: Domain, Private, Public Sử dụng Windows Firewall with Advanced Security để tạo inbound rule cho phép ứng dụng nhận kết nối đến Sử dụng Windows Firewall with Advanced Security để tạo outbound rule, cho phép ứng dụng client thiết lập kết nối Bạn cần tạo outbound rule trường hợp kết nối bị ngăn chặn Bạn cấu hình scope để giới hạn phạm vi sử dụng rule theo địa IP người dùng, máy tính cụ thể Việc cấu hình scope giúp bạn giảm thiểu rủi ro cơng từ mạng không tin cậy Nếu bạn sử dụng IPsec, bạn cấu hình rule cho phép kết nối người dùng máy tính chứng thực Cấu hình rule Group Policy cách hiệu tất máy tính domain Sử dụng Group Policy, bạn nhanh chóng cải thiện tính bảo mật số lượng lớn máy tính kiểm sốt ứng dụng mạng Bạn nên bật chế độ ghi lại kết nối nhằm kiểm tra, phân tích xử lí cố xảy kết nối Trắc nghiệm Bạn quản trị viên cho hệ thống mạng công ty ICT24H Bạn cần cài đặt ứng dụng máy tính chạy Windows Server 2008 Ứng dụng cần kết nối đến server nội sử dụng TCP port 88 kết nối đến server thông qua Internet TCP port 290 Thêm vào đó, máy tính client chạy Windows Vista kết nối đến máy tính chạy Windows Server 2008 thông qua TCP port 39 Windows Firewall cấu hình với thiết lập mặc định cho server Bạn cần thay đổi phép ứng dụng hoạt động? A Trên máy tính chạy Windows Server 2008, tạo outbound rule cho TCP port 290 B Trên máy tính chạy Windows Server 2008, tạo inbound rule cho TCP port 39 C Trên máy tính chạy Windows Server 2008, tạo inbound rule cho TCP port 290 D Trên máy tính chạy Windows Server 2008, tạo outbound rule cho TCP port 39 Bạn quản trị viên hệ thống mạng công ty ICT24H Bạn vừa cài đặt ứng dụng lên server chạy Windows Server 2008 cho phép kết nối đến TCP port 1036 Ứng dụng khơng có kiểm sốt truy cập Bạn cấu hình inbound rule phép kết nối đến từ người dùng chứng thực domain (chọn tất đáp án mà bạn cho đúng) A Trên tab General, click Allow the connection if it is secure B Trên tab Advanced, click These profile chọn Domain ICT24H.NET Page 11 ICT VIETNAM COMMUNITY – ICT24H.NET C Trên tab Users and Computers, chọn Only allow connections from these users, sau thêm nhóm Domain Users D Trên tab Scope, Local IP addresses, chọn These IP addresses Sau thêm địa IP cụ thể mạng nội Bạn có server chạy Windows Server 2008 Bạn cần ngăn chặn từ thiết lập kết nối server đến máy tính TCP port 25 Bạn nên làm gì? A Từ Windows Firewall, thêm điều kiện loại trừ B Từ Windows Firewall, bật chế độ ngăn chặn tất kết nối đến C Từ Windows Firewall with Advanced Security, tạo inbound rule D Từ Windows Firewall with Advanced Security, tạo outbound rule Ngữ cảnh Bạn quản trị viên hệ thống ICT24H, phòng phát triển ứng dụng vừa tạo ứng dụng client – server để sử dụng dịch vụ Web Giám đốc yêu cầu bạn nói chuyện với người phòng phát triển ứng dụng, sau quay lại phòng giám đốc trả lời cho nghe việc cấu hình Windows Firewall Nội dung nói chuyện   Lập trình viên: “Đây ứng dụng Web khơng sử dụng IIS Thay vào kết nối thông qua TCP port 81 Chúng cần cài ứng dụng lên Server1 tất máy tính client phòng Kế tốn nhận ứng dụng Các máy tính client chạy ứng dụng kết nối TCP port 81” Trưởng kĩ sư hệ thống: “Chúng tối sử dụng mặc định Windows Firewall, cho tơi biết tơi cần phải thay đổi gì?” Câu hỏi: Bạn cần tạo rule (Inbound hay Outbound) Server1? Bạn cần tạo rule máy tính Vista cho phòng Kế toán? - Hết - ICT24H.NET Page 12 ... chạy Windows Server 2008 thơng qua TCP port 39 Windows Firewall cấu hình với thiết lập mặc định cho server Bạn cần thay đổi phép ứng dụng hoạt động? A Trên máy tính chạy Windows Server 2008, ... máy tính chạy Windows Server 2008, tạo inbound rule cho TCP port 39 C Trên máy tính chạy Windows Server 2008, tạo inbound rule cho TCP port 290 D Trên máy tính chạy Windows Server 2008, tạo outbound... Bạn có server chạy Windows Server 2008 Bạn cần ngăn chặn từ thiết lập kết nối server đến máy tính TCP port 25 Bạn nên làm gì? A Từ Windows Firewall, thêm điều kiện loại trừ B Từ Windows Firewall,