Ngoài ra, khi host đó là một phần của Domain, ta có thể áp dụng các Group Policy của Domain để thiết lập các luật (rules), quản lý kết nối vào ra của các máy tính một cách tập trung, q[r]
(1)WINDOW FIREWALL WITH ADVANCED SECURITY
1.
Giới thiệu
Từ Window Vista Window Server 2008, Microsoft tích hợp cơng cụ giúp người dùng người quản trị tùy chỉnh quản lý kết nối mạng vào
host chạy hệ điều hành Window – Window Firewall with Advanced Security
(WFAS)
Công cụ cung cấp lớp bảo vệ mức máy tính người dùng (host-based), giống lọc máy tính cá nhân hệ thống mạng bên ngoài, WFAS chặn tất lưu lượng mạng không hợp lệ theo cấu hình cho trước vào host Cơng cụ cịn cung cấp nhiều tùy chỉnh dựa trên: tên ứng dụng, dịch vụ chạy, port mở, giao thức sử dụng…
Ngoài ra, host phần Domain, ta áp dụng Group Policy Domain để thiết lập luật (rules), quản lý kết nối vào máy tính cách tập trung, quản lý trình truy cập mạng ứng dụng host…
2.
Cấu hình
Để cấu hình Window Firewall with Advanced Security (từ Window Vista Window Server 2008 trở sau), công cụ search Window, gõ Window Firewall With Advanced Security, cửa sổ quản lý WFAS sau:
WFAS có bốn phần chính:
(2)- Outbount Rules: cho phép thiết lập, chỉnh sửa, quản lý kết nối từ bên bên ngoài, hỗ trợ quản lý việc truy cập mạng người dùng hay tiến trình bên máy tính
- Connection Security Rules: cho phép quản lý kết nối dạng Security (IPSec) hai host, cho phép chứng thực hai host trước kết nối, trao đổi thông số để thiết lập đường truyền an toàn…
- Monitoring: cho phép theo dõi, quản lý rules thiết lập, trạng thái Rules, trạng thái hệ thống, kiện diễn ra…
Thơng thường, máy tính cá nhân, ta quan tâm đến việc thiết lập Rules thích hợp với nhu cầu truy cập mạng người Tùy vào yêu cầu cụ
thể mà ta tạo Rules thích hợp Ví dụ, để cấm thiết bị bên mạng ping
đến máy tính cá nhân, ta làm sau:
- Nhận xét: từ bên ping đến máy cục cần phải thiết lập Inbound
Rules Thực chức ping giao thức ICMP
- Trong phần quản lý Inbound Rules, tạo New Rules
- Trong phần rules Types có tùy chọn:
o Program: thiết lập Rules ứng dụng cụ thể, ta
(3)o Port: thiết lập Rules dựa Port, thiết lập TCP UDP, định lúc nhiều port tất port
o Predefined: thiết lập Rules giao thức chuẩn, dịch
vụ hệ điều hành: HTTP, HTTPS, Remote Desktop, Network Discovery, Window Media Player,…
o Custom: cho phép tùy chọn kết hợp lại tất chức kể
trên
- Trong trường hợp ta chọn Custom, giữ nguyên cấu hình mặc định phần
Program, phần Protocol and Port:
o Protocol type: ICMPv4
o Có thể tùy chỉnh thêm thông số ICMP cách vào Customize
- Phần scope cho phép ta xác định dãy địa IP bên IP bên
mà luật áp dụng
- Trong phần Actions, ta định thao tác thực với kết nối thỏa
điều kiện thiết lập trên, có tùy chọn:
o Allow the connection: cho phép kết nối
o Allow the connection if it is secure: cho phép thiết lập kết nối kết nối chứng thực với IPSec
o Block the connection: chặn kết nối, không cho thiết lập
(4)- Trong phần profile cho phép ta điều kiện cụ thể máy tính đó:
o Trong domain
o Kết nối với mạng công cộng với nhiều nguy
o Kết nối với mạng private
(5)- Sau định thông số cần thiết, ta chọn Finish để hoàn thành - Xem lại rules vừa thiết lập
- Ta chỉnh sửa lại thiết lập rules cách vào Properties
rules
- Ta tiến hành kiểm tra cách vào máy mạng ping đến máy
cục
(6)- Kiểm tra lại lệnh Ping
Chú ý: kết nối thỏa định nghĩa Rules định nghĩa việc Allow hay Block áp dụng theo Rules, ngược lại kết nối khơng khớp với rules hệ thống thì:
- Block tất kết nối từ bên vào (Inbound)
- Cho phép tất kết nối từ bên (Outbound)
3.
Bài tập
Sử dụng Window Firewall with Advanced Security để thiết lập yêu cầu sau:
- Cấm người dùng truy cập dịch vụ web (HTTP)
- Cấm người dùng dò quét hệ thống cách block gói tin ICMP từ bên
trong bên