NhữngđiểmmớitrongFirewallcủaWindows7Trong bài này chúng tôi sẽ giới thiệu về WindowsFirewalltrongWindows7 và cách cấu hình nó với nhiều chính sách tường lửa tích cực. Giới thiệu Từ lần đầu tiên được giới thiệu trong hệ điều hành Windows XP, Internet Connection Firewall, Microsoft đã liên tục cải thiện tính năng tường lửa trongmỗi phát hành Windows. WindowsFirewall được tích hợp trong hệ điều hành máy khách mới nhất, Windows 7, chính là một cuộc cách mạng thực sự, nó cung cấp một số điều chỉnh quan trọng, thân thiện hơn với người dùng và có một khác biệt lớn đối với những người dùng di động. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn về WindowsFirewalltrongWindows7 và cách cấu hình nó với các chính sách tường lửa tích cực. “Sự tiến hóa” của tường lửa Phần mềm tường lửa trongWindows XP rất đơn giản và mới chỉ ở giai đoạn phôi thai, khi đó nó chỉ bảo vệ l ưu lượng đến, khóa chặn các kết nối gửi đến không được khởi tạo từ máy tính của bạn – và bị tắt mặc định. Trong gói dịch vụ 2 (SP2) nó được bật mặc định và quản trị viên có thể kích hoạt thông qua Group Policy. Tường lửa trong Vista được xây dựng trên một nền tảng Windows Filtering Platform (WFP) mới và được bổ sung thêm khả năng lọc lưu lượng gửi đi thông qua Advanced Security MMC snap-in. trongWindows 7, Microsoft đã có nhiều cải ti ến về tường lửa, làm cho nso trở nên hữu dụng hơn nhiều, đặc biệt trên các máy tính di động, bằng cách thêm vào sự hỗ trợ cho nhiều chính sách tường lửa tích cực. Tường lửa củaWindows7 Như Vista, các thiết lập cơ bản cho tường lửa củaWindows7 cũng được truy cập thông qua Control Panel applet. Tuy nhiên không giống như Vista, bạn cũng có thể truy cập vào các thiết lập nâng cao (gồm có cấu hình cho việc lọc các kế t nối gửi đi) thông qua Control Panel thay vì phải tạo một MMC trống, sau đó bổ sung thêm một snap-in. Chỉ cần kích vào liên kết Advanced Settings trong phần panel bên trái, xem thể hiện trong hình 1. Hình 1: TrongWindows 7, bạn có thể vào các thiết lập tường lửa nâng cao thông qua Control Panel applet Các tùy chọn mạng khác Tường lửa trong Vista cho phép bạn chọn mạng riêng hoặc mạng công. Tuy nhiên với Windows 7, bạn có đến ba tùy chọn – mạng công, mạng gia đình hoặc mạng cho công việc (tương ứng public network, home network hoặc work network). Hai tùy chọn sau được coi như những mạng riêng. Nếu chọn tùy chọn mạng gia đình "home network", bạn có thể thiết lập một Homegroup. Trong trường hợp này, bộ phát hiện mạng sẽ tự động được bật để bạn có thể thấy các máy tính khác và các thiết bị trên mạng, chúng cũng sẽ có thể thấy được máy tính của bạn. Các máy tính nằm trong cùng một Homegroup có thể chia sẻ ảnh, nhạc, video và các thư viện tài liệu, có thể chia sẻ các thiết bị phần cứng như các máy in. Nếu bạn không muốn chia sẻ các thư mục trong các thư viện nào đó, chỉ cần loại trừ chúng. Nếu chọn tùy chọn "work network," bộ phát hiện mạng cũng được bật mặc định nhưng bạn không thể tạo hoặc gia nhập vào một mạng Homegroup. Nếu bạn “join” máy tính của mình vào một miền Windows (thông qua Control Panel | System | Advanced System Settings | Computer Name) và được thẩm định đối với domain controller thì tường lửa sẽ nhận mạng một cách tự động như một mạng miền. "Public network" là lựa chọn thích hợp khi bạn được kết nối với một mạng wi-fi công cộng tại một sân bay, khách sạn hay một quán cà phê nào đó hoặc sử dụng mạng quảng bá di động. Bộ phát hiện mạng sẽ được tắt mặc định để các máy tính khác trên mạng không thấy bạn và bạn cũng không thể tạo hoặc join vào một Homegroup. Với tất cả các kiểu mạng, mặc định tường lửa trongWindows7 sẽ khóa các kết nối đến chương trình không nằm trong danh sách các các chương trình được phép. Windows7 cho phép bạn cấu hình riêng các thiết lập cho mỗi một kiểu mạng, xem thể hiện trong hình 2. Hình 2: Windows7 cho phép bạn cấu hình các thiết lập riêng biệt cho mỗi kiểu mạng Nhiều profile tích cực Với Vista, dù bạn cũng có profile cho cả mạng public và private nhưng chỉ một trong chúng được phép active ở một thời điểm nhất định. Nếu máy tính của bạn được kết nối với hai mạng khác nhau, khi đó bạn sẽ gặp phải vấn đề. Hầu hết Profile hạn chế đều đượ c áp dụng cho tất cả các kết nối, điều đó có nghĩa rằng bạn không thể thực hiện mọi thứ cần thiết để làm việc trên mạng nội bộ (private) vì khi đó bạn đang hoạt động theo các nguyên tắc (rule) cho mạng public. Với Windows7 (và Server 2008 R2), một profile khác có thể “active” cho mỗi adapter mạng. Kết nối đến mạng riêng là đối tượng đối với các rule của mạng riêng còn lưu lượng đến và đi từ mạng public cũng được áp dụng các rule đó. Một số vấn đề khác Trong một số trường hợp, khả năng sử dụng vây quanh những thay đổi nhỏ, Microsoft đã lắng nghe người dùng và đã hợp nhất một số thứ vào firewallcủaWindows7. Cho ví dụ, khi tạo các rule cho tường lửa trong Vista, bạn phải liệt kê số cổng và địa chỉ IP riêng lẻ. Còn trongWindows 7, bạn có thể chỉ định cả một dải, cách thức này đã tiết kiệm được rất nhiều thời gian trong nhiệm vụ quản trị nói chung. Bạn cũng có thể tạo các rule bảo mật cho kết nối, chỉ định cổng nào hoặc giao thức nào trong giao diện điều khiển tường lửa, thay vì phải sử d ụng lệnh netsh. Với những người thích GUI, thì đây là một cải thiện tuyệt vời. Các rule bảo mật kết nối cũng hỗ trợ mã hóa động. Điều đó có nghĩa rằng nếu một máy chủ nhận một tin nhắn không mã hóa (nhưng đã được thẩm định) từ một máy khách, liên kết bảo mật có thể được điều đình “trực tuyến” để yêu c ầu mã hóa, làm cho quá trình truyền thông được an toàn hơn. Cấu hình profile với các thiết lập nâng cao Sử dụng giao diện điều khiển Advanced Settings bạn có thể cấu hình các tùy chọn cho mỗi một profile của kiểu mạng, như thể hiện trong hình 3. Hình 3: Bạn có thể cấu hình các tùy chọn cho mỗi profile bằng cách sử dụng giao diện Advanced Settings Cho mỗi profile, bạn có thể cấu hình: • Trạng thái On/off của tường lửa Windows • Các kết nối gửi đến (khóa, khóa tất cả các kết nối hoặc cho phép) • Các kết nối gửi đi (cho phép hoặc khóa) • Hiển thị các thông báo (muốn hay không để thông báo cho bạn khi một chương trình bị khóa) • Cho phép đáp trả unicast đến lưu lượng multicast hoặc broadcast • Áp dụng các rule tường lửa nội bộ bởi quản trị viên nội bộ cộng thêm vào các rule tường lửa chính sách nhóm (Group Policy). • Cho phép các rule bảo mật kết nối nội bộ được tạo bởi các quản trị viên cộng thêm các rule bảo mật kết nối của Group Policy. Ghi chép Tường lửa Vista có thể được cấu hình để ghi các sự kiện vào một file nào đó (mặc định đó là file Windows\System32\LogFiles\Firewall\pfirewall.log). Tuy nhiên trongWindows 7, các sự kiện cũng được ghi vào phần Applications and Services của Event Viewer bạn dễ dàng truy cập hơn nhiều. Để truy cập vào các bản ghi này, b ạn chỉ cần mở Event Viewer, trong phần panel bên trái, kích Applications and Services Log | Microsoft | Windows | WindowsFirewall with Advanced Security, xem thể hiện trong hình 4 bên dưới. Hình 4: Windows7 ghi các sự kiện của tường lửa trong Event Viewer cũng như file Trong Event Viewer, bạn có thể tạo một view mang tính tùy chỉnh, lọc các bản ghi, tìm kiếm bản ghi hoặc kích hoạt việc ghi chép chi tiết. Lệnh Netsh Windows7 gồm có cả ngữ cảnh netsh firewall cho việc đồng bộ ngược với các phiên bản trước, tuy nhiên nếu bạn chạy nó, bạn sẽ nhận được một thông báo nói r ằng "netsh firewall" đã không được tán thành, hãy sử dụng "netsh advfirewall firewall" thay vì. Bạn có thể tìm thêm về các lệnh mớitại đây . Kết luận FirewalltrongWindows7 có rất nhiều cải thiện so với các tường lửa trước đó có trongWindows Vista, đưa các tính năng nâng cao nhưng có thể nói là “ẩn” trong Vista về trạng thái mở. Nhiều người dùng, gồm có cả một số chuyên gia CNTT vẫn chưa biết rằng có thể lọc lưu lượng gửi đi, kiểm tra và thực hiện các nhiệm vụ cấu hình nâng cao cho tường lửa Vista, điều đó là vì không có thành phần nào trong đó thể hiện trongFirewall applet trong Control Panel. Với Windows 7, Microsoft đã tạo một tường lửa built-in có chức năng hơn hẳn kẻ tiền nhiệm và thể hiện thấy là một tường lửa khá hữu hiệu. . Những điểm mới trong Firewall của Windows 7 Trong bài này chúng tôi sẽ giới thiệu về Windows Firewall trong Windows 7 và cách cấu hình. trong hệ điều hành Windows XP, Internet Connection Firewall, Microsoft đã liên tục cải thiện tính năng tường lửa trong mỗi phát hành Windows. Windows Firewall