Định tuyến và lọc lưu lượng mạng - Phần 1
Windows Firewall
Tường lửa (Firewall) trong Windows là một bộ lọc và thanh tra trạng thái gói dữ liệu (Stateful firewall) cho phép hoặc khóa chặn lưu lượng mạng theo cấu hình. Bộ lọc dữ liệu bảo vệ máy tính bằng cách sử dụng danh sách điều khiển sự truy cập (ACL - Access Control List), danh sách này sẽ chỉ định gói dữ liệu nào được phép đi qua tường lửa dựa trên địa chỉ IP và giao thức (đặc biệt là số cổng). Stateful firewall kiểm tra trạng thái của các kết nối tích cực và sử dụng các thông tin này để xác định gói dữ liệu nào được phép đi qua tường lửa. Về cơ bản, nếu một người dùng bắt đầu truyền thông với một máy tính nằm bên ngoài tường lửa, tường lửa sẽ nhớ cuộc đàm thoại và cho phép các gói dữ liệu thích hợp được gửi trở lại. Nếu một máy tính bên ngoài cố gắng truyền thông với một máy tính được bảo vệ bằng một stateful firewall, các gói dữ liệu này sẽ bị chặn lại một cách tự động trừ khi sự truy cập được cho phép bởi ACL.
Lưu ý:
Windows Firewall được bật mặc định. Bất cứ chương trình nào hoặc dịch vụ nào cần truyền thông trên một mạng phải được mở trong tường lửa, gồm có chia sẻ file, ping máy chủ, cung cấp các dịch vụ cơ bản chẳng hạn như DSN và DHCP.
So với Windows Firewall có trong Windows XP SP2, Windows Firewall được sử dụng trong Windows Server 2008 có nhiều cải thiện hơn, những cải thiện này gồm có:
- Windows Firewall hỗ trợ lọc kết nối IPv6
- Bằng cách sử dụng phương pháp lọc gói dữ liệu gửi đi, bạn có thể bảo vệ máy tính mình chống lại spyware và virus muốn liên lạc với máy tính từ bên ngoài.
- Với bộ lọc gói nâng cao, các rule cũng có thể được chỉ định cho các địa chỉ IP nguồn và đích và dải cổng.
- Các rule có thể được cấu hình cho các dịch vụ bởi tên dịch vụ được chọn từ danh sách, không cần chỉ định tên file và đường dẫn đầy đủ.
- IPSec được tích hợp hoàn toàn với Windows Firewall, cho phép các kết nối được phép hoặc từ chối dựa trên các chứng chỉ bảo mật, thẩm định Kerberos và,… Mã hóa cũng được yêu cầu cho các kiểu kết nối.
- Một giao diện quản lý mới mang tên Windows Firewall with Advanced Security cung cấp sự truy cập đến nhiều tùy chọn nâng cao và cho phép quản trị từ xa.
- Bạn có thể sử dụng profile tường lửa riêng cho những thời điểm khác nhau, chẳng hạn như các máy tính được gia nhập vào miền, được kết nối đến một mạng riêng hoặc mạng công.
Cấu hình cơ bản
Windows Firewall được bật mặc định. Khi Windows Firewall được bật, hầu hết các chương trình đều bị khóa khi truyền thông qua tường lửa. Nếu muốn mở khóa cho một chương trình nào đó, bạn có thể bổ sung nó vào danh sách ngoại lệ Exceptions (trên tab Exceptions). Ví dụ, bạn có thể không thể gửi các ảnh trong instant message cho tới khi thêm chương trình instant message này vào danh sách các ngoại lệ. Để thêm một chương trình nào đó vào danh sách này, bạn chỉ cần kích nút Add program và chọn nó từ danh sách có sẵn hoặc duyệt đến nó bằng cách kích nút Browse.
Để bật hoặc tắt tường lửa Windows, bạn có thể thực hiện theo các bước sau:
- Mở Windows Firewall bằng cách kích nút Start, kích Control Panel, Security, Windows Firewall.
- Kích Turn Windows Firewall On hoặc Off (xem hình 3). Nếu được nhắc nhở về mật khẩu và sự xác nhận quản trị viên, hãy đánh vào mật khẩu và cung cấp sự xác nhận.
Hình 3: Các tùy chọn của Windows Firewall trong Control Panel.
- Kích On (được khuyến khích) hoặc Off (không được khuyến khích), sau đó kích OK.
Nếu bạn muốn tường lửa khóa mọi thứ, trong đó gồm có các chương trình được chọn trong tab Exceptions, hãy chọn hộp kiểm Block All Incoming Connections. Tính năng Block All Incoming Connections sẽ khóa tất cả các cố gắng được gửi đi một cách tự nguyện để kết nối đến máy tính của bạn. Sử dụng thiết lập này khi bạn muốn có được sự bảo vệ tối đa cho máy tính của mình, chẳng hạn như khi bạn kết nối đến một mạng công trong một khách sạn hay một sân bay nào đó, hoặc khi sâu máy tính đang lây nhiễm trên mạng Internet. Với thiết lập này, bạn không được thông báo khi Windows Firewall khóa các chương trình, và các chương trình trong danh sách ngoại lệ cũng bị bỏ qua.
Giao diện Windows Firewall Settings có ba tab:
- General: Cho phép bạn bật hoặc tắt tường lửa, cũng như khóa tất cả các kết nối gửi đến, dù bạn đã cấu hình ngoại lệ.
- Exceptions: Cho phép bạn cấu hình các chương trình và các cổng được phép truyền thông vào và ra từ máy tính Windows Vista của mình. Chỉ tạo một ngoại lệ được yêu cầu và bỏ các ngoại lệ mà bạn không cần thiết. Không bao giờ tạo một ngoại lệ cho một chương trình khi bạn đang ở chức năng không an toàn của chương trình đó.
- Advanced: Cho phép bạn chọn giao diện mạng mà bạn muốn Windows Firewall bảo vệ.
Để cấu hình các chương trình như các ngoại lệ,
- Mở Windows Firewall bằng cách vào Start > Control Panel > Security > Windows Firewall.
- Kích Allow a program through Windows Firewall. Nếu gặp nhắc nhở về mật khẩu quản trị viên và sự xác nhận, hãy đánh vào đó mật khẩu và cung cấp sự xác nhận.
- Trong hộp thoại Windows Firewall, chọn tab Exceptions, sau đó kích Add Program.
- Trong hộp thoại Add A Program, chọn chương trình trong danh sách Programs hoặc kích Browse để sử dụng hộp thoại Browse để tìm chương trình.
- Mặc định, bất cứ máy tính nào, gồm có cả các máy tính trên Internet cũng đều có thể truy cập vào chương trình này từ xa. Để hạn chế một số sự truy cập, hãy kích Change Scope.
- Kích OK ba lần để đóng tất cả các hộp thoại đang mở.
Để mở một cổng trong Windows Firewall,
- Mở Windows Firewall bằng cách kích Start, Control Panel, Security, Windows Firewall.
- Kích Allow a program through Windows Firewall. Nếu gặp nhắc nhở về mật khẩu quản trị viên và sự xác nhận, hãy đánh vào đó mật khẩu và cung cấp sự xác nhận.
- Kích Add port.
- Trong hộp Name, đánh vào tên để giúp bạn nhớ cổng được sử dụng cho mục đích gì.
- Trong hộp thoại Port number, đánh vào số cổng.
- Kích TCP hoặc UDP, phụ thuộc vào giao thức
- Mặc định, bất cứ máy tính nào, gồm có cả các máy tính trên mạng Internet, cũng đều có thể truy cập vào chương trình này từ xa. Để thay đổi phạm vi cho cổng, kích Change scope, sau đó kích tùy chọn mà bạn muốn sử dụng (Từ “Scope” ám chỉ một tập các máy tính có thể sử dụng cổng này).
- Kích OK hai lần để đóng tất cả các hộp thoại đang mở.
Windows Firewall with Advanced Security
Tương tự với Windows Firewall with Advanced Security được giới thiệu trong Windows Vista, Windows Firewall with Advanced Security trong Windows Server 2008 là một Microsoft Management Console (MMC) snap-in cho phép bạn thiết lập và xem các rule gửi đến và gửi đi một cách chi tiết, tích hợp với bảo mật giao thức Internet (IPSec)..
Giao diện quản lý Windows Firewall with Advanced Security cho phép bạn có thể cấu hình:
- Inbound rules: Windows Firewall sẽ khóa các lưu lượng gửi đến trừ khi được cho phép bởi một rule nào đó.
- Outbound rules: Windows Firewall sẽ cho phép tất cả lưu lượng gửi đi trừ khi bị khóa bởi một rule.
- Connection security rules: Windows Firewall sử dụng một rule bảo mật kết nối để thực thi sự thẩm định giữa hai máy tính ngang hàng trước khi chúng có thể thiết lập một kết nối và bảo đảm các thông tin được truyền tải giữa hai máy tính. Các rule bảo mật kết nối sử dụng Ipsec để thực thi các yêu cầu bảo mật.
- Monitoring: Windows Firewall sử dụng giao diện kiểm tra để hiển thị các thông tin về các rule tường lửa hiện hành, các rule bảo mật kết nối và các vấn đề bảo mật liên quan.
Windows Firewall được bật mặc định. Khi Windows Firewall được bật, hầu hết các chương trình đều bị khóa không cho phép truyền thông qua tường lửa. Nếu bạn muốn mở khóa cho một chương trình nào đó, bạn có thể thêm nó vào danh sách Exceptions (trên tab Exceptions). Cho ví dụ, bạn có thể không thể gửi các ảnh trong instant message cho tới khi thêm chương trình instant message này vào danh sách các ngoại lệ. Để thêm một chương trình nào đó vào danh sách này, bạn hãy xem phần cho phép một chương trình truyền thông qua tường lửa.
- Mở Windows Firewall with Advanced Security nằm trong Administrative Tools.
- Kích Windows Firewall Properties.
- Bên dưới trạng thái tường lửa, chọn On (khuyến khích) hoặc Off (không được khuyến khích) và kích nút OK. Xem trong hình 4.
Hình 4: Thuộc tính của Windows Firewall
Tạo các rule gửi đến và gửi đi
Bạn có thể tạo các rule gửi đến để kiểm soát sự truy cập đến máy tính của mình từ mạng. Các rule này có thể ngăn chặn:
- Phần mềm không mong muốn bị copy vào máy tính của bạn
- Sự truy cập trái phép hoặc không tự nguyện vào dữ liệu trên máy tính của bạn
- Cấu hình không mong muốn của máy tính của bạn từ các location từ xa.
Để cấu hình các thuộc tính nâng cao cho một rule bằng Windows Firewall with Advanced Security, bạn hãy thực hiện theo các bước dưới đây:
- Kích phải vào tên của rule gửi đến (inbound) và kích Properties.
- Từ hộp thoại Properties cho rule gửi đến, cấu hình các thiết lập trên các tab dưới đây:
- General: Tên của rule, chương trình mà rule áp dụng, hành động của rule (cho phép các kết nối, chỉ cho phép các kết nối an toàn hoặc khóa).
- Programs and Services: Chương trình hoặc dịch vụ mà rule áp dụng.
- Users and Computers: Nếu hành động của rule là chỉ cho phép các kết nối an toàn, thì tài khoản máy tính sẽ được thẩm định để tạo các kết nối an toàn.
- Protocols and Ports: Giao thức IP của rule, các cổng TCP hoặc UDP nguồn và đích và các thiết lập ICMP hoặc ICMPv6.
- Scope: Các địa chỉ đích và nguồn của rule.
- Advanced: Profile hoặc kiểu giao diện rule áp dụng.
Bạn cũng có thể sử dụng Windows Firewall with Advanced Security để tạo các rule gửi đi nhằm kiểm soát sự truy cập vào tài nguyên mạng từ máy tính của mình. Các rule gửi đi có thể ngăn chặn:
- Các tiện ích trên máy tính của bạn truy cập vào tài nguyên mạng mà bạn không hề hay biết.
- Các tiện ích trên máy tính của bạn download phần mềm mà bạn không biết.
- Người dùng trên máy tính bạn download phần mềm mà bạn không biết.
Chỉ định Firewall Profile
Một firewall profile là một cách của các thiết lập nhóm, chẳng hạn như các rule tường lửa và các rule bảo mật kết nối được sử dụng cho máy tính, phụ thuộc vào nơi máy tính được kết nối đến. Trên các máy tính đang chạy phiên bản Windows này, có ba profile của Windows Firewall with Advanced Security. Chỉ một profile được sử dụng ở một thời điểm nào đó.
Các profile được cung cấp ở đây là:
- Domain: Được sử dụng khi một máy tính được kết nối đến một mạng mà tài khoản miền của máy tính cư trú.
- Private: Được sử dụng khi một máy tính được kết nối với một mạng mà ở đó tài khoản miền của máy tính không cư trú, chẳng hạn như một mạng gia đình. Các thiết lập riêng tư cần phải hạn chế hơn so với các thiết lập profile miền.
- Public: Được sử dụng khi một máy tính kết nối đến một miền thông qua mạng công, chẳng hạn như các mạng ở sân bay và quán cà phê. Các thiết lập profile công cần phải hạn chế nhất vì máy tính được kết nối với mạng public sẽ không có sự bảo vệ về mặt an toàn như bên trong môi trường công ty.
Sử dụng lệnh netsh để cấu hình Windows Firewall
Để xem cấu hình tường lửa hiện hành, gồm có các cổng đã được mở, bạn có thể sử dụng lệnh dưới đây:
netsh firewall show state
Lưu ý: Nếu trạng thái của tường lửa hiển thị rằng chế độ Operational được thiết lập là Enable thì điều này có nghĩa rằng Windows Firewall đang được kích hoạt nhưng không cổng nào được mở.
Để mở các cổng tại tường lửa cho DNS (cổng 53), bạn có thể sử dụng lệnh sau:
netsh firewall add portopening ALL 53 DNS-server
Để xem cấu hình tường lửa, sử dụng lệnh:
netsh firewall show config
Để vào ngữ cảnh netsh advfirewall, tại nhắc lệnh, đánh:
netsh
Khi bạn vào được ngữ cảnh netsh, nhắc lênh sẽ hiển thị >netsh. Tại nhắc lệnh >netsh bạn nhập vào kiểu ngữ cảnh advfirewall:
advfirewall
Khi nằm trong ngữ cảnh advfirewall, bạn có thể đánh các lệnh trong ngữ cảnh đó.
Các lệnh này gồm có:
- Export: Export chính sách tường lửa hiện hành vào một file.
- Help: Hiển thị danh sách các lệnh có sẵn.
- Import: Import một chính sách từ một file nào đó.
- Reset: Khôi phục Windows Firewall with Advanced Security về chính sách mặc định.
- Set: Hỗ trợ lệnh dưới đây:
- set file: Copy đầu ra của giao diện điều khiển vào một file.
- set machine: Thiết lập máy tính hiện hành để hoạt động.
- show: Hiển thị các thuộc tính cho profile riêng. Ví dụ như show allprofiles, show domainprofile, show privateprofile and show publicprofile.
Bổ sung thêm các lệnh có sẵn cho ngữ cảnh advfirewall, advfirewall cũng hỗ trợ một vài ngữ cảnh con. Để nhập vào ngữ cảnh con, đánh tên của ngữ cảnh con tại nhắc lệnh netsh advfirewall>. Các ngữ cảnh con có sẵn là:
- consec: Cho phép bạn xem và cấu hình các rule kết nối bảo mật máy tính.
- Firewall: Cho phép bạn xem và cấu hình các rule tường lửa.
- Monitor: Cho phép bạn xem và thiết lập cấu hình kiểm tra.
Quản lý Windows Firewall with Advanced Security thông qua Group Policy
Để tập trung cấu hình một số lượng lớn các máy tính trong một mạng tổ chức có sử dụng dịch vụ thư mục Active Directory, bạn có thể triển khai các thiết lập cho Windows Firewall with Advanced Security thông qua GP (Group Policy). Group Policy cung cấp sự truy cập đến toàn bộ tập các tính năng của Windows Firewall with Advanced Security, gồm có các thiết lập profile, rule và các rule bảo mật kết nối máy tính.