Cấu hình tường lửa nâng cao trong Windows Server
2008 bằng snap-in MMC

Kể từ khi ra đời, tường lửa cho Windows Server 2003 SP1 đã trở thành
lựa chọn cơ bản và cần thiết cho các máy chủ mặc dù nó mới chỉ chặn
được các tấn công vào. Trong Windows Server 2008 thì việc cài đặt sẵn
tường lửa đã được nâng cấp lên rất nhiều. Hãy cùng tìm hiểu những
chức năng mới và cách cấu hình tường lửa mới bằng snap-in MMC.

Lý do nên sử dụng tường lửa cho máy chủ cơ sở Windows

Ngày nay, rất nhiều công ty bảo mật mạng sử dụng phương pháp "đề phòng
từ ngoài/chủ quan ở bên trong". Họ thiết lập một hàng rào bao bọc mạng
bằng tường lửa và các hệ thống IPS nhằm tránh mọi sự tấn công nguy hiểm
trên Internet. Tuy nhiên, nếu một kẻ tấn công có khả năng xâm nhập hàng rào
bên ngoài và tiếp tục tấn công vào mạng nội bộ thì chỉ có bảo mật xác nhận
quyền của Windows mới có thể dừng việc tiếp tục xâm nhập vào các dữ liệu
quan trọng.

Điều này là do hầu hết các tập đoàn công nghệ thông tin đều không bảo mật
mạng của họ bằng các tường lửa máy chủ. Tại sao lại như vậy? Chúng ta thấy
rằng các tường lửa máy chủ đang ngày càng “nhiều sự cố hơn thực tế”

Sau khi đọc bài này, tôi hi vọng rằng nhiều người trong các bạn sẽ quan tâm
hơn tới tường lửa máy chủ Windows. Với Windows Server 2008 thì tường
lửa được tích hợp và cài đặt sẵn trong Windows với nhiều chức năng và dễ

cấu hình hơn rất nhiều. Tường lửa thực sự là là phương pháp tốt nhất để bảo
mật máy chủ cơ sở quan trọng. Vậy tường lửa cho Windows Server
Advanced có thể đem lại cho bạn lợi ích gì? Hãy cùng tôi tìm hiểu.

Những trợ giúp từ tường lửa nâng cao mới

Tường lửa mới được tích hợp sẵn vào Windows Server 2008 hiện này là
tường lửa “nâng cao”. Bản “nâng cao” này được Microsoft gọi là “Windows
Firewall with Advanced Security” (viết tắt là WFAS ).

Chức năng mới:
 New GUI interface – Snap-in MMC sẵn có để cấu hình tường lửa.
 Bi-directional – Các bộ lọc lưu lượng ra vào.
 Works better with IPSEC – Các quy luật của tường lửa và các cấu
hình mã hóa IPSec đã được tích hợp với nhau.
 Advanced Rules configuration – Bạn có thể thiết lập các quy luật cho
tài khoản và nhóm Windows Active Directory (AD), nguồn và đích đến
cho các địa chỉ IP động, các số giao thức, nguồn và đích đến cho các
cổng TCP/UDP , ICMP, IPv6, và giao diện của Windows Server.
Với việc được trang bị thêm các bộ lọc tường lửa, một giao diện đẹp và cấu
hình cao cấp thì Windows Advanced firewall đang dần trở thành tường lửa
cho các máy chủ cơ sở truyền thống (ví dụ như ZoneAlarm Pro)

Thường thì điểm quan tâm đầu tiên của bất kì nhà quản trị mạng khi sử dụng
tường lửa máy chủ cơ sở là: Điều gì sẽ xảy ra nếu nó ảnh hưởng tới hoạt
động của các ứng dụng cơ sở hạ tầng máy chủ? Điều này luôn là một khả
năng có thể đối với mọi phương pháp bảo mật, WFAS sẽ tự động cấu hình
thêm các quy tắc mới cho mỗi một tính năng mới được thêm trên máy chủ.
Tuy nhiên nếu như bạn khởi động bất kì một ứng dụng kết nối mạng nào
không thuộc Microsoft trên máy chủ thì sẽ phải tự tạo một quy tắc mới.


Khi sử dụng tường lửa cho cho các hệ điều hành cấu hình cao bạn có thể bảo
vệ tốt hơn máy chủ khỏi sự tấn công và hoàn toàn nắm bắt được lưu lượng
ra/vào trên máy chủ.

Các tùy chọn cấu hình cho Windows Firewall with Advanced Security?

Trước đây, trên hệ điều hành máy chủ bạn có thể thiết lập tường lửa khi cấu
hình adaptor mạng hoặc từ control panel. Công việc cấu hình rất đơn giản.

Với Windows Firewall with Advanced Security (WFAS), hầu hết các nhà
quản trị sẽ cấu hình tường lửa từ Windows Server Manager hay từ MMC
với chỉ một snap-in WFAS. Cả hai cách đều cùng đi đến kết quả sau:

Hình 1: Quản lý Windows 2008 Server

Hình 2: Windows 2008 Firewall with Advanced Security
Cách dễ nhất và nhanh nhất để khởi động WFAS MMC đó là gõ từ firewall
trên thanh Start tại menu Search, như sau:

Hình 3: Windows 2008 Firewall with Advanced Security
Cấu hình snap-in WFAS MMC như thế nào?

Có rất nhiều đặc tính để có thể cấu hình snap-in WFAS MMC mà tôi không
thể liệt kê hết ra đây. Nếu bạn đã từng thấy cấu hình của giao diện người
dùng (GUI) của tường lửa tích hợp trên Windows 2003, bạn sẽ nhận thấy
ngay có bao nhiêu tùy chọn sẽ hiển thị cùng với WFAS. Tuy nhiên tôi sẽ liệt
kê một số tùy chọn tiêu biểu nhất.

Mặc định đầu tiên khi mở snap-in WFAS MMC, bạn thấy rằng WFAS được

bật lên và các kết nối khối bên trong không tương ứng với bên ngoài. Hơn
nữa tường lửa bao bên ngoài đang không được kích hoạt.

Bạn cũng chú ý rằng WFAS còn có các thông tin khác (xem hình 4)

Hình 4: Các thông tin hiển thị của Windows 2008 Firewall with Advanced
Security.
WFAS bao gồm các thông tin về miền, thông tin cá nhân và thông tin chung.
Các thông tin khác nhau này cho phép thiết lập được rất nhiều quy luật bao
bên trong và bên ngoài do đó có thể áp dụng các quy tắc tường lửa đó cho
máy tính khi nối mạng.

Không kể đến những đặc tính nổi bật của WFAS mà chúng ta được biết ở
trên, thì theo cá nhân tôi sự khác biệt nhất là các quy tắc bảo mật phức tạp.
Hãy xem tùy chọn thêm các quy tắc của tường lửa Windows 2003 Server ở
hình 5.

Hình 5: Cửa sổ Windows 2003 Server Firewall Exception
Hãy so sánh với Windows 2008 Server:

Hình 6: Cửa sổ Windows 2008 Server Advanced Firewall Exception
Chú ý tab Protocols and Ports chiếm một phần nhỏ trên cửa sổ có rất nhiều
tab khác nhau. Bạn cũng có thể cấu hình các tùy chọn cho Users &
Computers, Programs and Services, và IP address Scopes. Với cấu hình này,
Microsoft đã phát triển WFAS hơn hẳn so với máy chủ Microsoft’s IAS.

Số lượng các tùy chọn mặc định của WFAS thật đáng ngạc nhiên. Trong
Windows 2003 Server có 3 quy tắc mặc định . Không giống như trong
Windows Server. WFAS cung cấp khoảng 900 mặc định cho tường lửa bên
trong và ít nhất 40 mặc định cho tường lửa bên ngoài.


Hình 7: Các quy tắc mặc định cho tường lửa bên trong của Windows 2008
Server Advanced Firewall
Tạo một quy tắc tường lửa tùy chỉnh bảo vệ trong

Hãy thực hiện theo các bước sau để tạo một quy tắc trong Windows
Advanced Firewall.

Bạn đã cài đặt máy chủ web Apache cho Windows trên Windows 2008
Server. Nếu bạn đã dùng IIS được cài đặt sẵn trên Window thì cổng này sẽ tự
động mở. Nhưng nếu đang sử dụng một máy chủ web thứ 3 và đã kích hoạt
tường lửa bảo vệ bên trong thì bạn phải tự mở cổng trên.

Sau đây là các bước cần tiến hành:
 Nhận biết giao thức muốn lọc – có thể là giao thức TCP/IP (trái với
giao thức UDP/IP hay ICMP)
 Nhận biết nguồn địa chỉ IP, cổng nguồn, đích đến của địa chỉ IP và
cổng đến – Các xâm nhập có khả năng đến từ bất kì địa chỉ IP nào và
tại bất kì cổng nào, đi vào máy chủ qua cổng 80. (chú ý rằng bạn cũng
có thể tạo quy tắc cho một chương trình nào đó như apache HTTP
Server).
 Mở Windows Firewall with Advanced Security MMC
 Thêm các quy tắc – Nhấn nút New Rule tại Windows Firewall with
Advanced Security MMC để mở bảng New Inbound Rule Wizard

Hình 8: Nút tạo quy tắc mới của Windows 2008 Server Advanced Firewall
MMC
 Chọn loại quy tắc muốn tạo cho một cổng.
 Cấu hình giao thức và số cổng – để mặc định TCP rồi điền số cổng ví
dụ:80 sau đó nhấn nút Next.

 Để mặc định “allow this connection” rồi nhấn Next.
 Để mặc định applying this rule to all profiles rồi nhấn Next.
 Đặt tên rồi nhấn nút Finish.
Bạn được kết quả như sau:

Hình 9: Windows 2008 Server Advanced Firewall MMC sau khi đã được
thiết lập
Tôi rút ra rằng việc cài đặt mới máy chủ web Apache sẽ không làm việc khi
chỉ được cài đặt với tường lửa đang hoạt động. Nhưng sau quy tắc này thì nó
sẽ hoạt động bình thường.

Kết luận

Trong quá trình phát triển, cùng với các quy tắc cấu hình phức tạp và gấp 30
lần quy tắc mặc định so với các phiên bản trước, thì tường lửa cho Windows
2008 Server thực sự đúng với cái tên tường lửa “nâng cao” như Microsoft
khẳng định. Tôi tin rằng với tường lửa được cài đặt sẵn, miễn phí này trên
các máy chủ cơ sở thì chắc chắn trong tương lai các máy chủ Windows cũng
sẽ được bảo mật hơn. Sẽ không an toàn trừ phi máy chủ của bạn sử dụng
tường lửa. Do vậy, tôi hy vọng rằng bạn sẽ thử sử dụng đặc tính mới
Windows Advanced Firewall này.