Cấu hình trong cửa sổ Customizing settings
Cửa sổ Customizing settings gồm ba chế độ thiết lập. Cụ thể gồm:
- Public: thiết lập dùng cho các server có tính công cộng, người dùng thường là tạm thời hoặc không yêu cầu chứng thực. Ví dụ các server tại phòng thực hành mở.
- Public: thiết lập dùng cho các server có tính công cộng, người dùng thường là tạm thời hoặc không yêu cầu chứng thực. Ví dụ các server tại phòng thực hành mở.
- Private: thiết lập dùng cho các server trong hệ thống mạng nội bộ, trong hệ thống này chỉ có người dùng đã được cấp quyền mới được truy cập vào hệ thống.
- Private: thiết lập dùng cho các server trong hệ thống mạng nội bộ, trong hệ thống này chỉ có người dùng đã được cấp quyền mới được truy cập vào hệ thống.
- Domain: thiết lập dùng cho các server là thành viên của một AD DS domain, trong hệ thống mạng này mọi người dùng đều được xác minh và chứng thực.
- Domain: thiết lập dùng cho các server là thành viên của một AD DS domain, trong hệ thống mạng này mọi người dùng đều được xác minh và chứng thực.
Trong Windows Firewall, mỗi chế độ thiết lập ở trên sẽ chứa một tập các luật, các luật này sẽ áp dụng trên máy tính kết nối vào mạng tương ứng (private, public, domain). Người quản trị có thể tạo thêm các luật để áp dụng cho từng chế độ.
Trong cửa sổ Customizing settings, mỗi chế độ gồm các tùy chọn sau:
- Turn On/Off Windows Firewall: bật hoặc tắt tường lửa ở chế độ tương ứng.
- Turn On/Off Windows Firewall: bật hoặc tắt tường lửa ở chế độ tương ứng.
- Block All Incoming Connections, Including Those In The List Of Allowed Apps: tăng độ an toàn cho hệ thống bằng cách cấm mọi kết nối từ bên ngoài vào máy tính.
- Block All Incoming Connections, Including Those In The List Of Allowed Apps: tăng độ an toàn cho hệ thống bằng cách cấm mọi kết nối từ bên ngoài vào máy tính.
- Notify Me When Windows Firewall Blocks A New App: nếu chọn mục này, hệ thống sẽ thông báo cho người dùng biết khi ứng dụng bị thất bại trong việc gửi gói tin ra ngoài.
- Notify Me When Windows Firewall Blocks A New App: nếu chọn mục này, hệ thống sẽ thông báo cho người dùng biết khi ứng dụng bị thất bại trong việc gửi gói tin ra ngoài.
Cửa sổ cấu hình Allowed Apps
Trong một số trường hợp, khi người quản trị muốn thay đổi thiết lập tường lửa liên quan đến một ứng dụng mà nó không có sẵn trong các luật mặc định. Họ có thể bấm vào mục Allow An App Or Feature Through Windows Firewall để mở cửa sổ Allowed Apps. Xem hình minh họa.
Cần chú ý, mở càng nhiều cổng tại tường lửa càng đặt server vào tình trạng thiếu an toàn. Windows Firewall cho phép bạn mở cổng bằng hai cách, một là mở cổng trực tiếp, hai là mở cổng thông qua ứng dụng có sử dụng cổng đó. Cách đầu tiên có nhiều rủi ro hơn, vì nó sẽ mở cổng vĩnh viễn. Cách hai an toàn hơn vì cổng chỉ được mở khi ứng dụng đang chạy, khi ứng dụng tắt, cổng cũng sẽ được đóng lại.
Trong cửa sổ Allowed Apps có chứa danh sách các chức năng (role và feature) đã được cài trên server. Mỗi chức năng tương ứng với một hoặc nhiều luật tương ứng. Bạn có thể bật/hoặc tắt bằng cách có/ hoặc không đánh dấu chọn.
Không giống các phiên bản trước, tại cửa sổ Windows Firewall trong Windows Server 2012 R2 không cho phép thao tác trực tiếp trên các cổng. Để thao tác trên các cổng, bạn bấm vào mục Advanced Settings trong Windows Firewall để mở cửa sổ Windows Firewall With Advanced Security, hoặc vào Server Manager, chọn Tools, chọn Windows Firewall With Advanced Security.
Cửa sổ Windows Firewall With Advanced Security
Cửa sổ Windows Firewall chỉ cho phép thực hiện các thiết lập tường lửa cơ bản, để thực hiện các thiết lập chi tiết hơn, bạn cần sử dụng cửa sổ Windows Firewall With Advanced Security.
Có hai cách để mở cửa sổ Windows Firewall With Advanced Security như đã trình bày ở phần trên. Xem hình minh họa.
Khung Overview chứa các thông tin cho biết trạng thái của ba chế độ cấu hình của tường lửa (Domain, Private, Public).
Các thông tin cấu hình mặc định cho cả ba chế độ là:
- Tường lửa ở trạng thái bật (turned on)
- Tường lửa ở trạng thái bật (turned on)
- Mọi gói tin đi vào (incoming traffic) sẽ bị cấm, ngoại trừ các trường hợp được quy định trong các luật.
- Mọi gói tin đi vào (incoming traffic) sẽ bị cấm, ngoại trừ các trường hợp được quy định trong các luật.
- Mọi gói tin đi ra (Outgoing traffic) đều được phép, ngoại trừ các trường hợp được quy định trong các luật.
- Mọi gói tin đi ra (Outgoing traffic) đều được phép, ngoại trừ các trường hợp được quy định trong các luật.
Để thay đổi cấu hình mặc định, bạn bấm vào mục Windows Firewall Properties, cửa sổ Windows Firewall With Advanced Security On Local Computer được bật, tại đây, bạn có thể thực hiện các thay đổi tùy ý.
Tạo luật cho tường lửa
Trong cửa sổ Windows Firewall, khi bạn cho phép một ứng dụng được chạy cũng chính là bạn đã tạo ra một luật cho tường lửa. Tuy nhiên, cách tạo luật này khá đơn giản, vì nó che dấu đi những đặc trưng của tường lửa. Để tạo các luật phức tạp hơn, bạn cần tạo trong cửa sổ Windows Firewall With Advanced Security.
Trong cửa sổ Windows Firewall With Advanced Security, khi bạn bấm vào mục Inbound Rules hoặc Outbound Rules ở khung bên trái, các luật tương ứng sẽ được hiển thị. Các luật đang được thực thi sẽ có biểu tượng dấu chọn màu xanh (green) ở phía trái, biểu tượng dấu chọn màu xám cho biết đó là các luật không được thực thi. Xem hình minh họa.
Để tạo luật mới, bạn bấm chuột phải vào nút Inbound Rules (hoặc Outbound Rules), chọn New Rule để mở cửa sổ New Inbound (hoặc Outbound) Rule Wizard, bạn cần thiết lập các tham số sau:
- Rule Type: lựa chọn kiểu luật sẽ tạo (program, port, luật định nghĩa sẵn, hay tùy biến), kết quả lựa chọn sẽ làm thay đổi một phần giao diện.
- Rule Type: lựa chọn kiểu luật sẽ tạo (program, port, luật định nghĩa sẵn, hay tùy biến), kết quả lựa chọn sẽ làm thay đổi một phần giao diện.
- Program: luật sẽ được áp dụng cho tất cả chương trình, cho một chương trình cụ thể, hay cho một dịch vụ. Thiết lập này tương đương với việc bạn cho phép một ứng dụng được chạy tại cửa sổ Windows Firewall, chỉ khác là bạn phải xác định đường dẫn của ứng dụng.
- Program: luật sẽ được áp dụng cho tất cả chương trình, cho một chương trình cụ thể, hay cho một dịch vụ. Thiết lập này tương đương với việc bạn cho phép một ứng dụng được chạy tại cửa sổ Windows Firewall, chỉ khác là bạn phải xác định đường dẫn của ứng dụng.
- Protocol And Ports: luật sẽ áp dụng cho giao thức nào (tầng Network, Transport), hoặc cổng nào.
- Protocol And Ports: luật sẽ áp dụng cho giao thức nào (tầng Network, Transport), hoặc cổng nào.
- Predefined Rules: tạo luật dựa trên các định nghĩa có sẵn của hệ thống.
- Predefined Rules: tạo luật dựa trên các định nghĩa có sẵn của hệ thống.
- Scope: luật sẽ áp dụng trên các địa chỉ IP nào.
- Scope: luật sẽ áp dụng trên các địa chỉ IP nào.
- Action: xác định hành động mà tường lửa sẽ thực hiện trên các gói tin khớp với luật (cho phép đi qua, hoặc cấm).
- Action: xác định hành động mà tường lửa sẽ thực hiện trên các gói tin khớp với luật (cho phép đi qua, hoặc cấm).
- Profile: luật sẽ được áp dụng cho chế độ domain, private hay public
- Profile: luật sẽ được áp dụng cho chế độ domain, private hay public
- Name: đặt tên, mô tả cho luật
- Name: đặt tên, mô tả cho luật
Lưu ý, bạn nên sử dụng các cấu hình mặc định của tường lửa, sau đó tạo thêm một số các luật bổ sung theo yêu cầu. Việc tạo lại từ đầu tất cả các luật của tường lửa là một việc làm không hiệu quả.
Kết nhập và kết xuất các luật
Quá trình tạo và thay đổi các luật trong cửa sổ Windows Firewall With Advanced Security có thể làm bạn mất thời gian, đặc biệt khi phải thực hiện lặp lại trên nhiều máy tính. Để khắc phục tình trạng này, bạn có thể thực hiện kết xuất các luật ra một tập tin. Tập tin này có phần mở rộng là .wfw. Trong tập tin .wfw có chứa tất cả các thiết lập của tường lửa cùng với tất cả các luật. Để kết xuất, trong cửa sổ Windows Firewall With Advanced Security, bạn chọn mục Windows Firewall With Advanced Security On Local Computer ở khung bên trái, vào trình đơn Action, chọn Export Policy, nhập tên và vị trí để lưu tập tin kết xuất.
Bạn có thể chép tập tin kết xuất tới máy khác, thực hiện kết nhập (Import Policy) để nhân bản các luật và các thiết lập của tường lửa. Bạn cần cẩn thận trong quá trình kết nhập, vì các thiết lập có sẵn của tường lửa trên máy tính sẽ bị ghi đè bởi các luật kết nhập.
Tạo luật bằng Group Policy
Nếu bạn đang quản lý nhiều máy tính, việc cấu hình tường lửa trên từng máy tính có thể mất nhiều thời gian. Để khắc phục, bạn có thể thực hiện cấu hình tường lửa một cách tập trung bằng cách sử dụng Group Policy.
Để thực hiện, bạn mở cửa sổ cấu hình Group Policy, vào mục Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall With Advanced Security, bạn sẽ thấy một giao diện gần giống với cửa sổ Windows Firewall With Advanced Security. Tại đây, bạn có thể thực hiện cấu hình cho Windows Firewall, tạo các luật.
Để áp dụng trên máy tính nào, bạn thực hiện gắn (linking) GPO tới các đối tượng OU, site, domain có chứa máy tính đó.
Khi bạn mở một GPO mới, nút Windows Firewall With Advanced Security chưa có luật nào. Bạn có thể tạo từ đầu từng luật một, hoặc bạn có thể kết nhập (import) các thiết lập từ tập tin .wfw có sẵn.
Các luật trong Group Policy không ghi đè toàn bộ các thiết lập và các luật của Windows Firewall giống như khi bạn kết nhập (import) luật trực tiếp từ tập tin. Các luật của Group Policy sẽ được kết hợp với các luật sẵn có. Chỉ trong trường hợp luật có sẵn mà trùng tên với luật của Group Policy thì nó mới bị chép đè.
Tạo luật cho kết nối bảo mật
Windows Server 2012 R2 cũng có tích hợp IPsec vào Windows Firewall. IPsec là viết tắt của IP Security, là phương pháp bảo mật dữ liệu trong quá trình truyền trên hạ tầng TCP/IP. IPsec gồm hai quá trình, một là quá trình chứng thực giữa hai máy tính trước khi truyền dữ liệu, hai là quá trình thiết lập đường hầm (tunneling) để truyền dữ liệu.
Bên cạnh việc cho phép tạo các luật inbound và outbound, Windows Firewall With Advanced Security còn cho phép bạn tạo các luật liên quan đến kết nối bảo mật.
Để thực hiện, trong cửa sổ Group Policy Management Editor, bấm chuột phải vào mục Connection Security Rules, chọn New Rule để mở New Connection Security Rule Wizard. Bạn cần cấu hình các tham số sau:
- Rule Type: xác định chức năng của luật
- Rule Type: xác định chức năng của luật
- Endpoints: xác định địa chỉ IP của máy tính sẽ được thiết lập kết nối bảo mật
- Endpoints: xác định địa chỉ IP của máy tính sẽ được thiết lập kết nối bảo mật
- Requirements: xác định khi nào thì yêu cầu chứng thực
- Requirements: xác định khi nào thì yêu cầu chứng thực
- Authentication Method: xác định phương thức chứng thực
- Authentication Method: xác định phương thức chứng thực
- Profile: các luật sẽ được áp dụng trên chế độ nào (domain, private, public hay kết hợp các chế độ này).
- Profile: các luật sẽ được áp dụng trên chế độ nào (domain, private, public hay kết hợp các chế độ này).
- Name: tên và mô tả của luật
- Name: tên và mô tả của luật
Tóm tắt nội dung
- Firewall là một phần mềm, được sử dụng để bảo vệ máy tính hoặc hệ thống mạng. Firewall sẽ kiểm soát việc đi vào và đi ra của các gói dữ liệu.
- Firewall là một phần mềm, được sử dụng để bảo vệ máy tính hoặc hệ thống mạng. Firewall sẽ kiểm soát việc đi vào và đi ra của các gói dữ liệu.
- Nó thực hiện việc kiểm soát bằng cách kiểm tra nội dung của gói tin, so sánh nội dung của gói tin với các luật đã được thiết lập, để quyết định có cho gói tin đó đi qua hay không.
- Nó thực hiện việc kiểm soát bằng cách kiểm tra nội dung của gói tin, so sánh nội dung của gói tin với các luật đã được thiết lập, để quyết định có cho gói tin đó đi qua hay không.
- Các luật mặc định được cấu hình sẵn cho tường lửa sẽ cho phép các chức năng cơ bản của Windows như chia sẻ máy in, chia sẻ tập tin được chạy. Đối với chiều đi ra, Windows Firewall cho phép mọi gói tin được phép đi qua, trừ các trường hợp bị cấm tường minh bởi luật.
- Các luật mặc định được cấu hình sẵn cho tường lửa sẽ cho phép các chức năng cơ bản của Windows như chia sẻ máy in, chia sẻ tập tin được chạy. Đối với chiều đi ra, Windows Firewall cho phép mọi gói tin được phép đi qua, trừ các trường hợp bị cấm tường minh bởi luật.
- Để thực hiện các tác vụ đơn giản, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows Firewall.
- Để thực hiện các tác vụ đơn giản, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows Firewall.
- Để thực hiện các tác vụ phức tạp hơn, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows Firewall With Advanced Security.
- Để thực hiện các tác vụ phức tạp hơn, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows Firewall With Advanced Security.
Câu hỏi ôn tập
1. Yếu tố nào sau đây thường được sử dụng trong các luật, để cho phép các gói tin truyền qua mạng?
A. Địa chỉ vật lý (hardware addresses)
B. Địa chỉ IP
C. Chỉ số giao thức (protocol numbers)
D. Chỉ số cổng (port numbers)
2. Các luật liên quan đến kết nối bảo mật trong tường lửa sử dụng cơ chế bảo mật nào?
A. EFS
B. IPsec
C. UAC
D. Kerberos
3. Các tác vụ nào sau đây không thể thực hiện được trong cửa sổ Windows Firewall?
A. Cho phép một ứng dụng được gửi dữ liệu qua tường lửa của ba chế độ (domain, private, public).
B. Cấm mọi kết nối từ bên ngoài vào của ba chế độ
C. Tạo luật dựa trên số cổng của ba chế độ
D. Tắt tường lửa của ba chế độ
4. Công cụ nào sau đâu không thể kích hoạt (enable) và vô hiệu (disable) luật của tường lửa liên quan đến Network Discovery?
A. File Explorer
B. Network and Sharing Center
C. Action Center
D. Cửa sổ Allowed Apps
5. Phải biều nào sau đây nói đúng về Windows Firewall (chọn nhiều đáp án)?
A. Các luật liên quan đến tường lửa trong Group Policy sẽ ghi đè tất cả các luật của tường lửa trên máy tính.
B. Các luật liên quan đến tường lửa trong Group Policy sẽ được kết hợp với các luật của tường lửa có sẵn trên máy tính.
C. Kết nhập (import) các luật tường lửa từ máy tính khác sẽ ghi đè lên các luật của máy tính đích.
D. Các luật tường lửa kết nhập (import) từ máy tính khác sẽ được kết hợp với các luật của máy tính đích.
---------------------------
Cập nhật 2015/10/1
---------------------------
Đã hết cuốn sách này!
------------
Tải về nguyên cuốn (dạng pdf). Xin lỗi bạn nào đã mất công copy/paste từng bài viết một nha. Mệt lắm đúng không? Dịch còn mệt hơn hehe.
Cai dat va cau hinh Windows Server 2012 R2
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- Cập nhật 2015/10/1
---------------------------
Đã hết cuốn sách này!
------------
Tải về nguyên cuốn (dạng pdf). Xin lỗi bạn nào đã mất công copy/paste từng bài viết một nha. Mệt lắm đúng không? Dịch còn mệt hơn hehe.
Cai dat va cau hinh Windows Server 2012 R2