10 điều cần biết về hệ thống Firewall của Vista

Microsoft đã thay đổi khá nhiều cho hệ thống Firewall trong Windows Vista giúp tăng cường bảo mật, dễ sử dụng và cho phép người dùng có thể tùy ý thực hiện cấu hình. 1 . Tích hợp hai giao diện cấu hình Hệ thống Firewall của Windows Vista có 2 giao diện cấu hình đồ họa riêng biệt: Một giao diện cấu hình cơ bản (có thể truy cập qua Security Center và Control Panel), và một giao diện cấu hình cải tiến (có thể truy cập như một snap-in khi người dùng tạo một công cụ Custom MMC. Công cụ này ngăn chặn người mới sử dụng vô tình thay đổi hệ thống Firewall dẫn đến làm ngắt kết nối hay gây ra nguy cơ bảo mật. Hơn nữa, công cụ này còn cung cấp một phương pháp cho người dùng có kinh nghiệm tùy chỉnh cài đặt firewall và kiểm soát cả lưu lượng bên trong cũng như bên ngoài, và người dùng có thể sử dụng lệnh trong netsh advfirewall để cấu hình hệ thống firewall của Windows Vista từ dòng lệnh hay tạo ra những tập lệnh tự động thực hiên cấu hình trên một nhóm máy. Ngoài ra họ cũng có thể sử dụng Group Policy để kiểm soát những cài đặt trong firewall của Windows Vista. 2. Tùy chọn cấu hình cơ bản Trong giao diện cấu hình cơ bản, người dùng có thể kích hoạt hay hủy bỏ hệ thống firewall, hoặc cài đặt cho nó chặn mọi chương trình, và tạo ra những trường hợp ngoại lệ (chương trình, dịch vụ, cổng mong muốn) và xác định phạm vi của mỗi ứng dụng ngoại lệ (cho phép nó kết nối với mọi máy tính trên Internet, hay chỉ những máy tính trên mạng LAN, hay những địa chỉ IP mà người dùng muốn). Trên giao diện này người dùng cũng có thể lựa chọn những kết nối cần được firewall bảo vệ và cấu hình những cài đặt ICMP và đăng nhập bảo mật. 3. Mặc định bảo mật Hệ thống Firewall trên Windows Vista cài đặt mặc định một cấu hình bảo mật, trong khi đó vẫn hỗ trợ nhiều tính năng khác. Theo mặc định, mọi kết nối bên trong đều bị chặn, và chỉ cho phép những kết nối ngoài. Hệ thống firewall của Vista hoạt động cùng với tính năng mới Windows Service Hardening của Vista, vì vậy nếu hệ thống firewall phát hiện những hành vi bị Windows Service Hardening cấm thì nó sẽ ngăn chặn hành vi đó. Ngoài ra hệ thống firewall của Vista cũng hỗ trợ môi trường mạng IPv6. 4. Chặn thông điệp IMCP Theo mặc định, hệ thống firewall của Vista sẽ cho phép những yêu cầu thông báo phản hồi ICMP đang gửi tới và chặn mọi thông báo IMCP khác. Đây là một tính năng của công cụ Ping thường được sử dụng để gửi thông điệp yêu cầu gỡ rối. Tuy nhiên, tin tặc cũng có thể gửi thông điệp yêu cầu phản hồi để xác định vị trí những máy chủ mục tiêu. Người dùng có thể chặn thông điệp yêu cầu phản hồi (hay chặn những thông điệp ICMP khác nếu cần thiết cho bảo mật) trong tab Advanced trên giao diện cấu hình cơ bản. 5. Nhiều chế độ bảo mật Hệ thống firewall của Vista tích hợp snap-in Advanced MMC cho phép người dùng cài đặt nhiều chế độ firewall trên một máy, do đó người dùng có thể cấu hình firewall cho nhiều tình huống có thể xảy ra. Tính năng này đặc biệt hữu dụng cho những máy tính xách tay. Ví dụ, bạn muốn cấu hình firewall khi kết nối vào một điểm kết nối wifi công cộng bảo mật hơn khi kết nối mạng ở nhà. Bạn có thể tạo 3 cấu hình bảo mật để sử dụng để kết nối vào miền Windows, kết nối vào mạng cá nhân và kết nối vào mạng công cộng. 6. Tính năng của IPSec Với giao diện cấu hình cải tiến, người dùng có thể tùy chỉnh những cài đặt cho IPSec để lựa chọn sử dụng phương pháp bảo mật cho sự toàn vẹn và mã hóa, xác định thời gian hiệu lực của khóa theo phút hay theo phiên làm việc, và lựa chọn thuật toán chuyển đổi khóa Diffie-Hellman mong muốn. Mã hóa dữ liệu cho kết nối IPSec không được kích hoạt mặc định, nhưng bạn có thể kích hoạt nó và lựa chọn nhưng thuật toán sử dụng để mã hóa và toàn vẹn dữ liệu. Sau đó bạn có thể sử dụng Kerberos để lựa chọn thẩm định quyền cho người dùng, máy tính, hoặc cả hai; và có thể yêu cầu chứng nhận máy tính từ một Cellula Automata xác định; hay có thể tạo ra những cài đặt thẩm định quyền riêng. 7. Quy tắc bảo mật Một Wizard hướng dẫn người dùng phương pháp tạo quy tắc bảo mật để kiểm soát cách thức và thời điểm những kết nối sẽ được thiết lập giữa những máy tính riêng lẻ hay những nhóm máy với nhau. Người dùng có thể giới hạn kết nối theo những điều kiện như miền thành viên hay những yêu cầu phân quyền kết nối. Người dùng có thể đặt ra nhiều quy tắc để yêu cầu thẩm định quyền giữa hai máy tính cụ thể hay sử dụng những quy định ngầm để xác thực kết nối giữa các cổng vào. Ngoài ra, người dùng cũng có thể tạo những quy định khác nếu không có loại quy định nào đặt ra trước đó là phù hợp. 8. Tạo những quy tắc bảo mật riêng Khi đặt ra một quy tắc thẩm định quyền riêng, người dùng phải xác định những máy tính hay những nhóm máy tính (theo địa chỉ IP hoặc vùng địa chỉ) là điểm cuối của kết nối. Người dùng có thể đề nghị hoặc yêu cầu thẩm định quyền cho kết nối nội bộ, kết nối ngoại hoặc cả hai. Khi quá trình thẩm định quyền được yêu cầu, kết nối sẽ được thẩm định nếu có thể, nhưng kết nối sẽ vẫn được cho phép nếu không thể thực hiện thẩm định. 9. Quy tắc kết nối trong và ngoài Hệ thống Firewall của Windows Vista cho phép người dùng có thể tạo những quy tắc bên ngoài và bên trong để ngăn chặn hay cho phép kết nối vào những chương trình hay cổng cụ thể, và cho phép sử dụng những quy tắc đặt ra trước đó hay đặt ra những quy tắc riêng. New Rule Wizard sẽ hướng dẫn các bước tạo một quy tắc. Người dùng có thể áo dụng những quy tắc này cho các chương trình, cổng hay dịch vụ; và cũng có thể áo dụng cho mọi chương trình hay áp dụng cho một số chương trình mong muốn. Người dùng cũng có thể sử dụng những quy tắc này để chặn mọi kết nối, cho phép mọi kết nối cho chương trình này, hay chỉ cho phép những kết nối bảo mật và yêu cầu mã hóa để bảo mật dữ liệu được gửi qua kết nối đó. Ngoài ra người dùng có thể cấu hình nguồn và những địa chỉ IP đích cho lưu lượng bên ngoài và bên trong, và có thể cấu hình những quy tắc cho nguồn và những cổng và TCP đích với cổng UDP. 10. Những quy tắc dựa trên Active Directory Người dùng có thể tạo những quy tắc để chặn hay cho phép kết nối dựa trên những tái khoản nhóm, tài khoản máy và tài khoản người dùng trong Active Directory khi kết nối này được bảo mật bởi IPSec với Kerberos v5 (gồm thông tin tài khoản trong Active Directory). Và có thể sử dụng hệ thống Windows Firewall này với Advanced Security để áp dụng chính sách Network Access Protection (NAP). QTM, TechRepublic