Cấu hình firewall windows server 2008

     
« chủ thể trước - chủ thể tiếp »

0 Thành viên với 1 Khách vẫn xem công ty đề.

Bạn đang xem: Cấu hình firewall windows server 2008


*

AdministratorSr. MemberBài viết 343Đã cam kết !!!
*
T.Ba 18, 2011, 10:55:06 CHIỀU
1. Inbound Rules và Outbound Rules.Trong phần đầu của loạt bài bác gồm tía phần này, công ty chúng tôi đã reviews về một số tùy chỉnh cấu hình cấu hình toàn thể để sử dụng tường lửa. Trong phần này cửa hàng chúng tôi sẽ reviews về những rule nhờ cất hộ đến/gửi đi để chúng ta cũng có thể kiểm rà được các kết nối vào cùng ra đối với máy tính có setup Windows hệ thống 2008.Để bắt đầu, các bạn hãy mở giao diện điều khiển Windows Firewall with Advanced Security từ thực đơn Administrative Tools. Trong phần bên trái của giao diện tinh chỉnh và điều khiển sẽ xuất hiện hai nút, Inbound Rules và Outbound Rules. Nút Inbound Rules vẫn liệt kê những điều khiển các kết nối gửi cho máy chủ. Còn nút Outbound Rules điều khiển và tinh chỉnh các liên kết gửi đi được tạo bởi vì máy chủ.Kích vào nút Inbound Rules. Những rule mà chúng ta thấy tại chỗ này sẽ biến đổi phụ trực thuộc vào máy chủ gì và thương mại dịch vụ gì được thiết lập và được kích hoạt trên sản phẩm chủ. Trong hình bên dưới, bạn cũng có thể thấy máy tính xách tay là một Active Directory domain name controller, và một trong những rule được kích hoạt để được cho phép các hoạt động vui chơi của Active Directory.Mặc định, nếu không có rule nào được cho phép kết nối giữ hộ đến so với máy chủ thì kết nối sẽ bị chặn lại. Nếu có một rule được cho phép thì liên kết này sẽ được có thể chấp nhận được nếu các đặc điểm của kết nối tương xứng với các cấu hình thiết lập trong rule. Chúng ta sẽ xem xét một chút đến các đặc tính này.Khi kích vào nút Outbound Rules, bạn sẽ thấy các rule sẽ được tạo nên để cho phép các liên kết gửi đi từ máy chủ đến những máy không giống trong mạng. Thời gian này, cấu hình mặc định cho những kết nối gởi đi vẫn được tùy chỉnh cấu hình để chất nhận được tất cả lưu lượng, nghĩ là không có rule Deny. Bởi vì vậy nếu chúng ta vẫn chọn các tùy chỉnh cấu hình mặc định của Windows Firewall with Advanced Security thì lý do lại cần tất cả các rule Allow?Điều này bởi vì cách thao tác làm việc của nó. Trong thực tiễn khi tùy chỉnh Allow (default) được kích hoạt cho những kết nối giữ hộ đi thì máy tính xách tay sẽ đã cho thấy hành vi cho những kết nối giữ hộ đi không tương xứng với rule giữ hộ đi của tường lửa. Chính vì vậy, vì sao cho toàn bộ các rule là nếu khách hàng chọn hành động khác, hành vi bị khóa và nếu không tồn tại rule chất nhận được thì liên kết này sẽ ảnh hưởng khóa. Đây đó là lý bởi cho tất cả các rule Allow.Nhớ rằng đối với tất cả hai Inbound Rules và Outbound Rules, bạn dạng tính với số rule được đưa ra quyết định bởi các dịch vụ và máy chủ được cài ném lên máy tính. Lúc bạn thiết đặt dịch vụ bằng Server Manager thì phầm mềm này sẽ tự động hóa làm việc với Windows Firewall with Advanced Security để tạo các rule tường lửa phù hợp và bình yên nhất.Bạn có thể thấy rằng các rule ko được đánh số, có vẻ như không tồn tại thứ từ ưu tiên. Điều này không hoàn toàn đúng, các rule được reviews bằng sản phẩm tự ưu tiên dưới đây:Các bypass rule được xác thực (chính là những rule ghi đè lên các block rule. Câu hỏi thẩm định diễn ra bằng Ipsec)BlockAllowHành vi profile mang định (cho phép hoặc khóa liên kết như đã được thông số kỹ thuật trong tab Profile của vỏ hộp thoại Windows Firewall with Advanced Security Properties, bạn có thể xem lại phần một để sở hữu thêm thông tin chi tiết về nó).Một sự việc nữa các bạn nên để ý ở đây là các rule càng ví dụ thì đã được nhận xét trước các rule bình thường chung hơn. Ví dụ, các rule với địa chỉ cửa hàng IP cụ thể gồm bao gồm nguồn hoặc đích vẫn được nhận xét trước so với những rule đến phép bất kể nguồn cùng đích nào.Trong phần hông trái của giao diện tinh chỉnh Windows Firewall with Advanced Security, chúng ta cũng có thể kích chuột cần vào nút Inbound Rules hoặc Outbound Rules và thấy được rằng rất có thể thực hiện việc lọc bằng Profile, State hoặc Group. Các rule tường lửa của Windows dĩ nhiên sẽ tự động nhóm vào mang đến bạn, nó đã dựa trên tác dụng mà những rule này cung cấp. Bạn có thể thấy trong hình dưới đây, có một số trong những nhóm trong đó chúng ta cũng có thể lọc.Để xem những thông tin chi tiết về thông số kỹ thuật rule của tường lửa, bạn hãy kích đúp vào bất kỳ các rule làm sao trong danh sách. Khi chúng ta kích đúp, một vỏ hộp thoại Properties sẽ xuất hiện cho rule đó. Trong tab General bạn sẽ thấy thương hiệu của rule và một số trong những mô tả về rule tương tự như các thông tin về rule đó là một trong trong tập các rule sẽ được có mang trước vày Windows hay không. Với các rule nằm trong phần đã được tùy chỉnh cấu hình trước thì bạn sẽ thấy ko phải tất cả các yếu tố của rule đều hoàn toàn có thể cấu hình.Rule được kích hoạt khi vỏ hộp kiểm Enabled đã có tích.Trong size Actions, chúng ta có cha tùy chọn:Allow the connections. Tùy lựa chọn này chỉ thị rằng rule này là Allow ruleAllow only secure connections. Lúc tùy lựa chọn này được chọn thì chỉ có người tiêu dùng hoặc những máy tính có thể thẩm định quyền với máy chủ mới rất có thể kết nối. Thêm vào đó, nếu như bạn chọn tùy lựa chọn này thì bao gồm thêm hai tùy chọn Require encryption và Override block rules. Tùy lựa chọn Require encryption yêu cầu rằng chưa phải chỉ người tiêu dùng hoặc máy tính thẩm định quyền ngoại giả phải áp dụng một session mã hóa với lắp thêm chủ. Nếu tìm tùy lựa chọn kia thì chúng ta cũng có thể vòng né được những rule khác của tường lửa. Điều này cho phép bạn sản xuất Deny rule nhằm khóa các kết nối với cả các đồ vật hoặc người dùng không đảm bảo với máy chủ.Block the connections. Tùy lựa chọn này sẽ cấu hình rule thành Deny rule.Kích vào tab Programs và Services. Những rule của tường lửa có thể được thông số kỹ thuật để cho phép hoặc lắc đầu truy cập vào các dịch vụ tương tự như ứng dụng đã có được cài để lên trên máy chủ.. Trong ví dụ như trong hình mặt dưới bạn sẽ thấy rule áp dụng cho dịch vụ lsass.exe. Lsass.exe bao gồm thể cấu hình một vài dịch vụ. Vào trường hòa hợp này, chúng ta cũng có thể kích vào nút Settings trong size Services và chọn dịch vụ rõ ràng đã được thông số kỹ thuật bởi chương trình thực hiện lsass.exe.Kích vào tab Users & Computers. Ở đây bạn cũng có thể cấu hình rule để áp dụng cho những người dùng nào đó hoặc máy tính xách tay cụ thể. Để hỗ trợ thẩm định máy vi tính và fan dùng, người tiêu dùng và laptop cần bắt buộc là member của miền Active Directory của bạn, cùng một chế độ Ipsec được thông số kỹ thuật để cung ứng bảo mật Ipsec thân hai điểm kết cuối. Họ sẽ coi xét cho phần này sau khi tạo rule tường lửa.Trong tab Protocols and Ports bạn chọn gần như giao thức cơ mà rule sẽ áp dụng. Các tùy chọn ở đây là:Protocol type. Đây là giao diện giao thức giống hệt như UDP, TCP, ICMP, GRE và nhiều giao thức khác.Protocol number. Nếu cần hỗ trợ các giao thức quan trọng thì bạn cũng có thể cấu hình số giao thức, còn nếu sử dụng một trong số giao thức đã được xây dựng từ trước thì Protocol number sẽ được điền đầy cho bạn.Local Port. Các tập cổng nội cỗ trên sever mà rule của tường lửa sử dụng. Nếu như rule là Inbound Rules thì đây đang là cổng để sever lắng nghe. Nếu như rule là Outbound Rules thì phía trên sẽ làm cổng nguồn để máy chủ sử dụng liên kết với những máy khác.Remote port. Đây là cổng điều khiển từ xa để áp dụng cho rule. Vào trường đúng theo rule kết nối gửi đi thì đây vẫn là cổng mà sever sẽ kết nối với một laptop khác. Vào trường thích hợp rule kết nối gửi cho thì đây đó là cổng nguồn của máy tính muốn kết nối với vật dụng chủ.Nút Customize được áp dụng để cấu hình các cấu hình thiết lập cho giao thức ICMP.Kích vào tab Scope. Ở đây bạn có thể thiết lập showroom IP nội cỗ Local IP address và showroom IP trường đoản cú xa Remote IP address đến phạm vi rule làm sao sử dụng. Local IP address là add trên sever đang gật đầu đồng ý kết nối hoặc địa chỉ được sử dụng với tư giải pháp là add nguồn nhằm gửi những kết nối gởi đi. Remote IP address là địa chỉ IP của máy chủ tinh chỉnh xa mà sever này đang muốn liên kết đến (trong kịch phiên bản truy cập nhờ cất hộ đi), hoặc địa chỉ cửa hàng IP nguồn của máy tính vẫn muốn kết nối với máy chủ (trong trường thích hợp kịch bạn dạng truy cập nhờ cất hộ đến).Kích tab Advanced. Ở đây chúng ta có thể thiết lập profile gì sẽ thực hiện rule. Trong ví dụ như hình bên dưới, chúng ta có thể thấy được rule được sử dụng để cung ứng cho tất cả profile.Trong form Interface type, chúng ta có thể chọn hình ảnh để áp dụng cho rule này. Hình bên dưới thể hiện rằng rule được áp dụng cho tất các các giao diện, trong đó gồm bao gồm Local area network, remote access cùng wireless.Tùy chọn Edge traversal cũng là một tùy lựa chọn hay, bởi nó không được trình làng trong tài liệu nhiều nên cửa hàng chúng tôi chỉ trích mọi gì trong tệp tin trợ giúp của nó đã giới thiệu."Edge traversal thông tư xem edge traversal đạt được kích hoạt (Yes) hay loại bỏ hóa (No). Lúc được kích hoạt, ứng dụng, dịch vụ, hoặc cổng mà rule áp dụng sẽ rất có thể định add và truy cập từ bên ngoài NAT (network address translation) hoặc edge device."Bạn nghĩ về gì về vấn đề này? bạn có thể tạo các dịch vụ gồm sẵn bên trên NAT bằng cách sử dụng chuyến qua port trên NAT phía trước lắp thêm chủ. Liệu bao gồm cần phải thực hiện gì với Ipsec? cùng với NAT-T?... Những vấn đề này các chúng ta có thể tự sáng chế theo các yếu tố hoàn cảnh sử dụng riêng.2. Chế tác rule mang lại tường lửa.

Xem thêm: File Bak Là Gì? Cách Mở File Bak Trong Cad Các Phiên Bản Có Ai Biết Mở File Back Up Ko

Bạn có thể tạo rule mang lại tường lửa để bổ sung thêm những rule được cấu hình tự động bởi hệ thống Manager khi thiết đặt máy công ty và những dịch vụ. Ban đầu bằng những kích vào links New Rule vào panel bên bắt buộc của giao diện điều khiển Windows Firewall with Advanced Security. New Inbound Rule Wizard đã xuất hiện.Trang trước tiên của app này là Rule Type. Ở đây bạn có thể cấu hình rule để vận dụng cho:Program. Cho phép bạn kiểm soát điều hành truy cập mang đến và đi đối với một chương trình cầm thể. Lưu ý rằng khi chúng ta thử áp dụng những rule của tường lửa đến chương trình và dịch vụ thương mại thì công tác hoặc dịch vụ thương mại phải được ghi đè vào giao diện Winsock để các yêu cầu về cổng rất có thể truyền thông cùng với tường lửa của Windows.Port. Có thể chấp nhận được bạn thông số kỹ thuật một rule dựa vào số cổng TCP hoặc UDP.Predefined. Tường lửa Windows hoàn toàn có thể được thông số kỹ thuật để áp dụng một tập các giao thức hoặc thương mại dịch vụ được định nghĩa trước và áp dụng chúng mang đến rule.Custom. Cho phép bạn tinh chỉnh rule của mình bên phía ngoài các tham số có sẵn trong những tùy lựa chọn khác.Chúng ta nên chọn tùy chọn Custom để xem được tất cả các tùy lựa chọn cấu hình.Trang trang bị hai của luôn thể ích sẽ sở hữu ba tùy chọn:All programs. Rule sẽ vận dụng cho tất cả chương trình phù hợp với những thành phần của rule.The program path. Chất nhận được bạn cấu hình rule để sử dụng một chương trình rõ ràng và công tác này được chỉ áp dụng cho những kết nối được chế tạo đến và đi từ lịch trình đó.Services. Một vài chương trình như 1 "container" cho các chương trình, chẳng hạn như services.exe và lssas.exe mà chúng ta đã thấy. Khi chọn 1 trong những chương trình này, bạn sẽ có thể hạn chế dịch vụ thương mại mà rule sử dụng bằng cách kích nút Customize và chọn chương trình.Khi kích nút Customize, các bạn sẽ thấy hộp thoại Customize Service Settings. Ở đây đã có một số trong những tùy chọn:Apply khổng lồ all programs & services. Sử dụng tùy lựa chọn này khi bạn muốn rule áp dụng cho toàn bộ chương trình và thương mại & dịch vụ được thông số kỹ thuật bởi tệp tin .exe.Apply khổng lồ services only. Trong trường đúng theo này, rule chỉ được áp dụng cho các dịch vụ được cung ứng bởi file .exe mà bạn đã chọn.Apply to this service. Khi chọn tùy lựa chọn này, chúng ta có thể chọn dịch vụ rõ ràng đã được thông số kỹ thuật bởi tệp tin .exe.Trang tiếp theo của tiện ích, chúng ta cũng có thể thiết lập giao thức gì ý muốn được vận dụng cho. Xem xét rằng khi chọn 1 chương trình thì các bạn sẽ không phải cấu hình giao thức do tường lửa của Windows đã thu được các thông tin về giao thức từ giao diện Winsock. Mặc dù thế nếu bạn không chọn một chương trình nào thì nên phải thông số kỹ thuật giao thức nhưng mà rule của tường lửa vẫn áp dụng.Các tùy chọn tại đây là:Protocol type. Ở đây bạn có thể thiết lập hình trạng giao thức để vận dụng cho rule này. Trong hình mặt dưới bạn cũng có thể thấy tường lửa của Windows hỗ trợ rất nhiều kiểu giao thức.Protocol number. Để kiểm soát điều hành giao thức tiên tiến và phát triển như Ipsec, bạn nên lựa chọn số tùy lựa chọn này.Local Port. Đây là cổng trên máy chủ mà rule được sử dụng. Cổng nội bộ là cổng nhưng mà máy khác đang kết nối đến vào kịch bạn dạng gửi đến và là cổng nguồn mang đến một kết nối gửi đi trong kịch bản kết nối gửi đi.Remote port. Đây là cổng trên máy tính khác. Cổng từ xa đã là cổng mà sever muốn liên kết đến vào kịch bản gửi đi với là cổng mối cung cấp cho máy tính muốn kết nối đến sever trong kịch bản gửi đến.Internet Control Message Protocol (ICMP) settings. Trường hợp bạn thông số kỹ thuật các giao thức ICMP thì có thể tùy chỉnh kiểu với mã ngơi nghỉ đây.Trong hình mặt dưới bạn có thể thấy rằng cửa hàng chúng tôi đã sản xuất một giao thức để kiểm soát IMAP4. Shop chúng tôi đã chọn TCP là hình dáng giao thức cùng số giao thức được nhập vào là trọn vẹn tự động. Cổng nội cỗ mà các máy khách IMAP4 kết nối là 143. Cổng trường đoản cú xa được tùy chỉnh là All Ports vì những máy nhà IMAP4 không để ý đến cổng nguồn của dòng sản phẩm khách đang liên kết là gì.Trong trang Scope bạn cũng có thể thiết lập địa chỉ cửa hàng IP nội bộ và từ bỏ xa nhằm rule áp dụng. Rất có thể chọn IP address hoặc These IP addresses. Tùy chọn này có thể chấp nhận được bạn gồm được một vài thước đo về kĩ năng kiểm soát, điều khiển trên những máy tính nào liên kết với máy chủ và những laptop nào sever không liên kết khi cấu hình phù hợp với các yếu tố của rule.Bạn cũng đều có tùy chọn áp dụng phạm vi này mang đến một hình ảnh cụ thể, như vào hình mặt dưới. Hoàn toàn có thể xem vỏ hộp thoại Customize Interface Types khi kích nút Customize.Trong trang Action, chúng ta cũng có thể chọn để phần lớn gì xẩy ra khi kết nối cân xứng với những yếu tố của rule. Các tùy chọn tại đây là:Allow the connection. Chế tác Allow ruleAllow the connection if it is secure. Cho phép kết nối nếu có một cơ chế Ipsec được cho phép hai điểm endpoint tùy chỉnh cấu hình một kết nối an toàn. Các bạn có tùy lựa chọn để mã hóa session giữa các endpoint bằng cách tích vào hộp kiểm Require the connections khổng lồ be encrypted. Nếu bạn có nhu cầu rule này có thể ghi đè lên trên rule khác để khóa kết nối, nên chọn tùy chọn Override block rulesBlock the connection. Tạo nên Deny rule.Trong trang Users và Computers, chúng ta cũng có thể chọn người tiêu dùng hoặc thứ tính hoàn toàn có thể kết nối. Để thao tác làm việc thì cả nhị endpoint rất cần được là các thành viên của cùng một miền Active Directory và cơ chế IPsec phải thích hợp để tạo liên kết IPsec thân hai endpoint. Windows Firewall with Advanced Security ưu tiền về các chính sách IPsec là Connection Security Rules. Bởi vì vậy chúng tôi sẽ ra mắt về Connection Security Rules trong phần tiếp theo sau của loạt bài này.Tích vào hộp kiểm Only allow connections from these computers nếu bạn có nhu cầu cho phép các kết nối chỉ từ các máy vi tính cụ thể. Còn hãy tích Only allow connections from these users nếu còn muốn hạn chế sự truy cập cho một số người dùng hoặc nhóm người dùng.Trong trang Profile, chúng ta có thể thiết lập profile mà bạn muốn rule áp dụng cho. Trong hầu hết các trường hợp, chỉ tất cả profile miền đã được vận dụng cho máy chủ, bởi vì vậy các profile khác sẽ không còn được kích hoạt. Mặc dù vậy, hoàn toàn không có vụ việc gì cho việc kích hoạt toàn bộ trong số chúng.Trong trang cuối cùng của nhân tiện ích, bạn cần phải đặt tên mang đến rule. Kích Finish để sinh sản một rule.Đó là toàn bộ những quá trình cần thực hiện. Nút Monitoring sẽ kiểm tra những rule của tường lửa, tuy nhiên nó thực sự không có đến cho bạn nhiều tin tức ngoại trừ tin tức rule như thế nào được kích hoạt. Cũng không tồn tại thông tin nào tương quan đến rule nào có thể sẽ kích hoạt ở một thời điểm nào đó, chắc hẳn rằng đây sẽ là 1 trong tính năng thú vị nhưng mà nhóm trở nên tân tiến của Windows rất cần phải xem xét mang đến trong tương lai.3. Kết luận.Trong phần nhị của loạt bài bác này cửa hàng chúng tôi đã ra mắt cho chúng ta một số thông tin cụ thể về Inbound Rules cùng Outbound Rules, cùng với đó là giải pháp tạo các rule mới. Vào phần tiếp theo công ty chúng tôi sẽ ra mắt về Connection Security Rules với xem chúng thao tác như nỗ lực nào, đầy đủ yêu cầu gì cần thiết với nó và cách tùy chỉnh cũng như kiểm tra những kết nối.

Chuyên mục: Domain Hosting