Download miễn phí Tổng quan về Firewall của Windows Server 2008 với chức năng bảo mật nâng cao
Trong tab IPsec Settings, có hai khung:
• IPsec defaults. Có các thiết lập IPsec mặc định được áp dụng khi bạn tạo
các rule bảo mật kết nối (tên mới cho các chính sách IPsec). Lưu ý rằng
khi tạo các Rule bạn sẽcó tùy chọn đểthay đổi các thiết lập trên mỗi rule
từcác thiết lập mặc định.
• IPsec exemptions. Mặc định, các IPsec exemptions được vô hiệu hóa.
Tuy vậy bạn có thểkhắc phục sựcốmạng bằng cách sửdụng Ping,
tracert và các công cụICMP khác dễdàng hơn rất nhiều nếu thay đổi nó
từchế độmặc định No (default)thành Yes
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
Tổng quan về Firewall của Windows Server 2008 với chức năng bảo mậtnâng cao
Thomas Shinder
Phần 1: Thiết lập tường lửa và các mặc định bảo mật kết nối IPsec
Windows Server 2003 đã có một tường lửa khá cơ bản cho phép bảo vệ máy
tính chống lại các kết nối bên ngoài mà bạn không muốn chúng kết nối với máy
chủ. Vấn đề này rất hữu dụng trong việc bảo vệ các máy Windows Server 2003,
tuy nhiên nó khá đơn giản và không cho phép điều khiển hạt nhân cho cả truy
cập đi vào và gửi đi đối với các máy Windows Server 2003. Thêm vào đó, tường
lửa trong Windows Server 2003 lại không được tích hợp chặt chẽ với các dịch vụ
đã được cài đặt, chính vì vậy bạn phải cấu hình tường lửa bất cứ khi nào thêm
vào một máy chủ mới hay dịch vụ mới.
Windows Server 2008 giới thiệu một tường lửa mới và có nhiều cải thiện đáng
kể; Windows Firewall với Advanced Security. Tường lửa mới này trong Windows
có nhiều cải thiện và cũng rất giống với tường lửa được giới thiệu trong
Windows Vista. Các chức năng mới có trong tường lửa mới này về vấn đề bảo
mật nâng cao gồm có:
• Nhiều điều khiển truy cập đi vào
• Nhiều điều khiển truy cập gửi đi
• Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu
hình tự động của tường lửa khi các dịch vụ được cài đặt bằng Server
Manager.
• Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bên
cạnh đó là còn có cả sự thay đổi tên. Các chính sách IPsec hiện được
khai báo như các rule bảo mật kết nối (Connection Security Rules).
• Kiểm tra chính sách tường lửa được cải thiện
• Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là các
Rule bảo mật kết nối)
• Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quick
được cải thiện
Có nhiều tùy chọn cấu hình có trong tường lửa mới này, chính vì vậy trong bài
này chúng tui sẽ chia làm ba phần, phần đầu là giới thiệu về các tùy chọn cấu
hình cơ bản cho tường lửa và cho các chính sách IPsec. Phần hai sẽ tập trung
đến cách tạo các rule đi vào và gửi đi, còn trong phần ba sẽ giới thiệu về cách
tạo các rule bảo mật kết nối.
Giao diện điều khiển Windows Firewall with Advanced Security có thể được mở
từ menu Administrative Tools. Khi mở giao diện điều khiển này, bạn sẽ thấy
được phần panel bên trái như những gì thể hiện trong hình dưới đây.
Hình 1
Panel ở giữa của giao diện điều khiển sẽ cung cấp cho bạn các thông tin về
profile Domain, Private và Public. Mặc định các giá trị này cho mỗi profile là:
• Windows Firewall là “on”
• Kết nối gửi vào không hợp lệ với rule sẽ bị khóa
• Kết nối gửi đi không hợp lệ với rule sẽ được cho phép
Với những người có quyền quản trị tường lửa thì thành phần cuối cùng dường
như có phần hơi lộn xộn vì trên các tường lửa của mạng, nếu không có rule nào
cho phép một kết nối thì mặc định rule “clean up” được kích hoạt và kết nối sẽ bị
khóa. Tuy vậy trong phần nội dung của Windows Firewall trên host với Advanced
Security, kết nối gửi đi không hợp lệ với rule sẽ được cho phép có nghĩa rằng
không có kiểm soát truy cập gửi đi được thiết lập mặc định.
Hình 2
Trong phần panel phái bên trái của giao diện điều khiển Windows Firewall with
Advanced Security, kích chuột phải vào nút Windows Firewall with Advanced
Security ở phần trên của panel trái của giao diện điều khiển và kích vào
Properties. Thao tác này sẽ mở ra hộp thoại Windows Firewall with Advanced
Security Properties
Domain Profile là tab đầu tiên xuất hiện trong hộp thoại Windows Firewall with
Advanced Security Properties. Domain Profile áp dụng khi máy tính được kết
nối với mạng công ty và có thể liên lạc với miền. Vì các máy chủ không chuyển
từ mạng này sang mạng khác nên chỉ có Domain Profile có thể áp dụng trong đại
đa số các trường hợp. Ngoại từ khi máy chủ không phải là thành viên miền,
trong trường hợp đó thì Private Profile sẽ áp dụng nó.
Khung State bạn cấu hình như sau:
• Firewall state. Trạng thái này có thể off hay on. Nó được mặc định và
nên để như vậy.
• Inbound connections. Các thiết lập mặc định để khóa. Điều này có nghĩa
rằng các kết nối không có một rule cho phép sẽ bị khóa. Có hai tùy chọn
khác ở đây: Allow, tùy chọn này sẽ cho phép tất cả các kết nối gửi đến và
Block all connections, sẽ khóa tất cả các kết nối gửi đi. Bạn nên cẩn
thận với cả hai thiết lập có thể thay đổi này, vì tùy chọn Block all
connections có thể khóa tất cả các kết nối gửi đến, điều đó sẽ làm khó
khăn hơn trong việc quản lý máy tính từ mạng.
• Outbound connections. Thiết lập mặc định là Allow (default), cho phép
kết nối gửi đi. Một tùy chọn khác ở đây là khóa các kết nối gửi đi. Chúng
tui khuyên bạn nên chọn mặc định bằng không máy tính sẽ không thể kết
nối với các máy tính khác. Có một số ngoại lệ như các thiết bị được kết
nối Internet đang chỉ nên xử lý các kết nối gửi đến và không nên thiết lập
các kết nối gửi đi mới.
Trong khung Settings bạn có thể cấu hình các thiết lập để điều khiển một số
hành vi của tường lửa. Kích nút Customize.
Hình 3
Khi đó hộp thoại Customize Settings for the Domain Profile sẽ xuất hiện.
Trong khung Firewall settings, bạn cấu hình muốn hay không muốn có thông
báo được hiển thị khi kết nối gửi đến bị khóa. Thiết lập này được mặc định là No
và bạn nên để lại lựa chọn mặc định đó. Vì nếu chọn yes thì sẽ gặp phải rất
nhiều thông báo cho các kết nối được gửi đi đến máy chủ.
Trong khung Unicast response, bạn cấu hình cách máy tính đáp trả đối với lưu
lượng mạng multicast và broadcast. Giá trị mặc định là Yes (default), giá trị này
cho phép máy chủ cung cấp các đáp trả unicast (đơn) với các yêu cầu multicast
(đa). Nếu bạn ở trong môi trường không phụ thuộc vào các thư tín multicast
hay broadcast (bạn không có các ứng dụng multicast trên máy chủ và máy chủ
không phụ thuộc vào các giao thức dựa trên broadcast như NetBIOS trên
TCP/IP), sau đó bạn có thể điều chỉnh về No.
Khung cuối cùng không thể cấu hình thông qua giao diện và phải được cấu hình
thông qua Group Policy. Khung Merging thể hiện cho bạn cách các client sẽ xử
lý như thế nào với các rule đến từ tập rule tường lửa nội bộ và rule tường lửa đã
được cấu hình thông qua Group Policy ra sao. Các thiết lập mặc định trong
Group Policy đều áp dụng cả hai rule tường lửa nội bộ và rule bảo mật kết nối
nội bộ. Như với các thiết lập Group Policy khác, thứ tự ưu tiên được xác định bởi
LSDOU.
Hình 4
Trên hộp thoại Windows Firewall with Advanced Security Properties, trong
khung Logging bạn có thể cấu hình một số tùy chọn cho việc Logging cho
Windows Firewall. Kích Customize.
Hình 5
Khi đó hộp thoại Customize Logging Settings for the Domain Profile sẽ xuất
hiện. Tên của file bản ghi mặc định sẽ là pfireall.log và được lưu trong vị trí mặc
định trên đĩa cứng nội bộ. Bạn có thể thay đổi vị trí này nếu thích bằng cách
đánh vào đó một đường dẫn mới vào hộp Name hay kích vào nút Browse.
Giá trị Size limit (K...