Với Windows Server 2008 thì tường lửa được tích hợp và cài đặt sẵn trong Windows với nhiều chức năng và dễ cấu hình hơn rất nhiều.. Với việc được trang bị thêm các bộ lọc tường lửa, một
Trang 1Cấu hình tường lửa nâng cao trong Windows Server
2008 bằng snap-in MMC
Trang 2Kể từ khi ra đời, tường lửa cho Windows Server 2003 SP1 đã trở thành lựa chọn cơ bản và cần thiết cho các máy chủ mặc dù nó mới chỉ chặn được các tấn công vào Trong Windows Server 2008 thì việc cài đặt sẵn tường lửa đã được nâng cấp lên rất nhiều Hãy cùng tìm hiểu những chức năng mới và cách cấu hình tường lửa mới bằng snap-in MMC
Lý do nên sử dụng tường lửa cho máy chủ cơ sở Windows
Ngày nay, rất nhiều công ty bảo mật mạng sử dụng phương pháp "đề phòng
từ ngoài/chủ quan ở bên trong" Họ thiết lập một hàng rào bao bọc mạng bằng tường lửa và các hệ thống IPS nhằm tránh mọi sự tấn công nguy hiểm trên Internet Tuy nhiên, nếu một kẻ tấn công có khả năng xâm nhập hàng rào bên ngoài và tiếp tục tấn công vào mạng nội bộ thì chỉ có bảo mật xác nhận quyền của Windows mới có thể dừng việc tiếp tục xâm nhập vào các dữ liệu quan trọng
Điều này là do hầu hết các tập đoàn công nghệ thông tin đều không bảo mật mạng của họ bằng các tường lửa máy chủ Tại sao lại như vậy? Chúng ta thấy rằng các tường lửa máy chủ đang ngày càng “nhiều sự cố hơn thực tế”
Trang 3Sau khi đọc bài này, tôi hi vọng rằng nhiều người trong các bạn sẽ quan tâm hơn tới tường lửa máy chủ Windows Với Windows Server 2008 thì tường lửa được tích hợp và cài đặt sẵn trong Windows với nhiều chức năng và dễ cấu hình hơn rất nhiều Tường lửa thực sự là là phương pháp tốt nhất để bảo mật máy chủ cơ sở quan trọng Vậy tường lửa cho Windows Server
Advanced có thể đem lại cho bạn lợi ích gì? Hãy cùng tôi tìm hiểu
Những trợ giúp từ tường lửa nâng cao mới
Tường lửa mới được tích hợp sẵn vào Windows Server 2008 hiện này là tường lửa “nâng cao” Bản “nâng cao” này được Microsoft gọi là “Windows Firewall with Advanced Security” (viết tắt là WFAS )
Chức năng mới:
New GUI interface – Snap-in MMC sẵn có để cấu hình tường lửa
Bi-directional – Các bộ lọc lưu lượng ra vào
Trang 4 Works better with IPSEC – Các quy luật của tường lửa và các cấu
hình mã hóa IPSec đã được tích hợp với nhau
Advanced Rules configuration – Bạn có thể thiết lập các quy luật cho
tài khoản và nhóm Windows Active Directory (AD), nguồn và đích đến cho các địa chỉ IP động, các số giao thức, nguồn và đích đến cho các cổng TCP/UDP , ICMP, IPv6, và giao diện của Windows Server
Với việc được trang bị thêm các bộ lọc tường lửa, một giao diện đẹp và cấu hình cao cấp thì Windows Advanced firewall đang dần trở thành tường lửa cho các máy chủ cơ sở truyền thống (ví dụ như ZoneAlarm Pro)
Thường thì điểm quan tâm đầu tiên của bất kì nhà quản trị mạng khi sử dụng tường lửa máy chủ cơ sở là: Điều gì sẽ xảy ra nếu nó ảnh hưởng tới hoạt động của các ứng dụng cơ sở hạ tầng máy chủ? Điều này luôn là một khả năng có thể đối với mọi phương pháp bảo mật, WFAS sẽ tự động cấu hình thêm các quy tắc mới cho mỗi một tính năng mới được thêm trên máy chủ Tuy nhiên nếu như bạn khởi động bất kì một ứng dụng kết nối mạng nào không thuộc Microsoft trên máy chủ thì sẽ phải tự tạo một quy tắc mới
Trang 5Khi sử dụng tường lửa cho cho các hệ điều hành cấu hình cao bạn có thể bảo
vệ tốt hơn máy chủ khỏi sự tấn công và hoàn toàn nắm bắt được lưu lượng ra/vào trên máy chủ
Các tùy chọn cấu hình cho Windows Firewall with Advanced Security?
Trước đây, trên hệ điều hành máy chủ bạn có thể thiết lập tường lửa khi cấu hình adaptor mạng hoặc từ control panel Công việc cấu hình rất đơn giản
Với Windows Firewall with Advanced Security (WFAS), hầu hết các nhà
quản trị sẽ cấu hình tường lửa từ Windows Server Manager hay từ MMC
với chỉ một snap-in WFAS Cả hai cách đều cùng đi đến kết quả sau:
Trang 6Hình 1: Quản lý Windows 2008 Server
Trang 7Hình 2: Windows 2008 Firewall with Advanced Security
Cách dễ nhất và nhanh nhất để khởi động WFAS MMC đó là gõ từ firewall trên thanh Start tại menu Search, như sau:
Trang 8Hình 3: Windows 2008 Firewall with Advanced Security
Cấu hình snap-in WFAS MMC như thế nào?
Có rất nhiều đặc tính để có thể cấu hình snap-in WFAS MMC mà tôi không thể liệt kê hết ra đây Nếu bạn đã từng thấy cấu hình của giao diện người dùng (GUI) của tường lửa tích hợp trên Windows 2003, bạn sẽ nhận thấy
Trang 9ngay có bao nhiêu tùy chọn sẽ hiển thị cùng với WFAS Tuy nhiên tôi sẽ liệt
kê một số tùy chọn tiêu biểu nhất
Mặc định đầu tiên khi mở snap-in WFAS MMC, bạn thấy rằng WFAS được bật lên và các kết nối khối bên trong không tương ứng với bên ngoài Hơn nữa tường lửa bao bên ngoài đang không được kích hoạt
Bạn cũng chú ý rằng WFAS còn có các thông tin khác (xem hình 4)
Hình 4: Các thông tin hiển thị của Windows 2008 Firewall with Advanced
Security
Trang 10WFAS bao gồm các thông tin về miền, thông tin cá nhân và thông tin chung Các thông tin khác nhau này cho phép thiết lập được rất nhiều quy luật bao bên trong và bên ngoài do đó có thể áp dụng các quy tắc tường lửa đó cho máy tính khi nối mạng
Không kể đến những đặc tính nổi bật của WFAS mà chúng ta được biết ở trên, thì theo cá nhân tôi sự khác biệt nhất là các quy tắc bảo mật phức tạp Hãy xem tùy chọn thêm các quy tắc của tường lửa Windows 2003 Server ở hình 5
Trang 11Hình 5: Cửa sổ Windows 2003 Server Firewall Exception
Hãy so sánh với Windows 2008 Server:
Trang 12Hình 6: Cửa sổ Windows 2008 Server Advanced Firewall Exception
Chú ý tab Protocols and Ports chiếm một phần nhỏ trên cửa sổ có rất nhiều tab khác nhau Bạn cũng có thể cấu hình các tùy chọn cho Users &
Computers, Programs and Services, và IP address Scopes Với cấu hình này, Microsoft đã phát triển WFAS hơn hẳn so với máy chủ Microsoft’s IAS
Số lượng các tùy chọn mặc định của WFAS thật đáng ngạc nhiên Trong Windows 2003 Server có 3 quy tắc mặc định Không giống như trong
Trang 13Windows Server WFAS cung cấp khoảng 900 mặc định cho tường lửa bên trong và ít nhất 40 mặc định cho tường lửa bên ngoài
Hình 7: Các quy tắc mặc định cho tường lửa bên trong của Windows 2008
Server Advanced Firewall
Tạo một quy tắc tường lửa tùy chỉnh bảo vệ trong
Trang 14Hãy thực hiện theo các bước sau để tạo một quy tắc trong Windows
Advanced Firewall
Bạn đã cài đặt máy chủ web Apache cho Windows trên Windows 2008
Server Nếu bạn đã dùng IIS được cài đặt sẵn trên Window thì cổng này sẽ tự động mở Nhưng nếu đang sử dụng một máy chủ web thứ 3 và đã kích hoạt tường lửa bảo vệ bên trong thì bạn phải tự mở cổng trên
Sau đây là các bước cần tiến hành:
Nhận biết giao thức muốn lọc – có thể là giao thức TCP/IP (trái với
giao thức UDP/IP hay ICMP)
Nhận biết nguồn địa chỉ IP, cổng nguồn, đích đến của địa chỉ IP và cổng đến – Các xâm nhập có khả năng đến từ bất kì địa chỉ IP nào và
tại bất kì cổng nào, đi vào máy chủ qua cổng 80 (chú ý rằng bạn cũng
có thể tạo quy tắc cho một chương trình nào đó như apache HTTP Server)
Mở Windows Firewall with Advanced Security MMC
Trang 15 Thêm các quy tắc – Nhấn nút New Rule tại Windows Firewall with
Advanced Security MMC để mở bảng New Inbound Rule Wizard
Hình 8: Nút tạo quy tắc mới của Windows 2008 Server Advanced Firewall
MMC
Chọn loại quy tắc muốn tạo cho một cổng
Cấu hình giao thức và số cổng – để mặc định TCP rồi điền số cổng ví dụ:80 sau đó nhấn nút Next
Để mặc định “allow this connection” rồi nhấn Next
Để mặc định applying this rule to all profiles rồi nhấn Next
Đặt tên rồi nhấn nút Finish
Bạn được kết quả như sau:
Trang 16Hình 9: Windows 2008 Server Advanced Firewall MMC sau khi đã được
thiết lập
Tôi rút ra rằng việc cài đặt mới máy chủ web Apache sẽ không làm việc khi chỉ được cài đặt với tường lửa đang hoạt động Nhưng sau quy tắc này thì nó
sẽ hoạt động bình thường
Kết luận
Trong quá trình phát triển, cùng với các quy tắc cấu hình phức tạp và gấp 30 lần quy tắc mặc định so với các phiên bản trước, thì tường lửa cho Windows
2008 Server thực sự đúng với cái tên tường lửa “nâng cao” như Microsoft khẳng định Tôi tin rằng với tường lửa được cài đặt sẵn, miễn phí này trên các máy chủ cơ sở thì chắc chắn trong tương lai các máy chủ Windows cũng
sẽ được bảo mật hơn Sẽ không an toàn trừ phi máy chủ của bạn sử dụng tường lửa Do vậy, tôi hy vọng rằng bạn sẽ thử sử dụng đặc tính mới
Windows Advanced Firewall này
