10 điều cần biết về hệ thống Firewall của Vista
Hệ thống Firewall của Windows Vista có 2 giao diện cấu hình đồ họa riêng biệt: Một
giao diện cấu hình cơ bản (có thể truy cập qua Security Centervà Control Panel), và
một giao diện cấu hình cải tiến (có thể truy cập như một snap-in khi người dùng tạo một
công cụ Custom MMC. Công cụ này ngăn chặn người mới sử dụng vô tình thay đổi hệ
thống Firewall dẫn đến làm ngắt kết nối hay gây ra nguy cơ bảo mật. Hơn nữa, công cụ
này còn cung cấp một phương pháp cho người dùng có kinh nghiệm tùy chỉnh cài đặt
firewall và kiểm soát cả lưu lượng bên trong cũng như bên ngoài, và người dùng có thể
sử dụng lệnh trong netsh advfirewall để cấu hình hệ thống firewall của Windows Vista
từ dòng lệnh hay tạo ra những tập lệnh tự động thực hiên cấu hình trên m ột nhóm máy.
Ngoài ra họ cũng có thể sử dụng Group Policy để kiểm soát những cài đặt trong firewall
của Windows Vista.
3 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2109 | Lượt tải: 1
Bạn đang xem nội dung tài liệu 10 điều cần biết về hệ thống Firewall của Vista, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Microsoft đã thay đổi khá nhiều cho hệ thống Firewall trong Windows Vista giúp
tăng cường bảo mật, dễ sử dụng và cho phép người dùng có thể tùy ý thực hiện cấu
hình.
1 . Tích hợp hai giao diện cấu hình
Hệ thống Firewall của Windows Vista có 2 giao diện cấu hình đồ họa riêng biệt: Một
giao diện cấu hình cơ bản (có thể truy cập qua Security Center và Control Panel), và
một giao diện cấu hình cải tiến (có thể truy cập như một snap-in khi người dùng tạo một
công cụ Custom MMC. Công cụ này ngăn chặn người mới sử dụng vô tình thay đổi hệ
thống Firewall dẫn đến làm ngắt kết nối hay gây ra nguy cơ bảo mật. Hơn nữa, công cụ
này còn cung cấp một phương pháp cho người dùng có kinh nghiệm tùy chỉnh cài đặt
firewall và kiểm soát cả lưu lượng bên trong cũng như bên ngoài, và người dùng có thể
sử dụng lệnh trong netsh advfirewall để cấu hình hệ thống firewall của Windows Vista
từ dòng lệnh hay tạo ra những tập lệnh tự động thực hiên cấu hình trên một nhóm máy.
Ngoài ra họ cũng có thể sử dụng Group Policy để kiểm soát những cài đặt trong firewall
của Windows Vista.
2. Tùy chọn cấu hình cơ bản
Trong giao diện cấu hình cơ bản, người dùng có thể kích hoạt hay hủy bỏ hệ thống
firewall, hoặc cài đặt cho nó chặn mọi chương trình, và tạo ra những trường hợp ngoại lệ
(chương trình, dịch vụ, cổng mong muốn) và xác định phạm vi của mỗi ứng dụng ngoại
lệ (cho phép nó kết nối với mọi máy tính trên Internet, hay chỉ những máy tính trên mạng
LAN, hay những địa chỉ IP mà người dùng muốn). Trên giao diện này người dùng cũng
có thể lựa chọn những kết nối cần được firewall bảo vệ và cấu hình những cài đặt ICMP
và đăng nhập bảo mật.
3. Mặc định bảo mật
Hệ thống Firewall trên Windows Vista cài đặt mặc định một cấu hình bảo mật, trong khi
đó vẫn hỗ trợ nhiều tính năng khác. Theo mặc định, mọi kết nối bên trong đều bị chặn, và
chỉ cho phép những kết nối ngoài. Hệ thống firewall của Vista hoạt động cùng với tính
năng mới Windows Service Hardening của Vista, vì vậy nếu hệ thống firewall phát hiện
những hành vi bị Windows Service Hardening cấm thì nó sẽ ngăn chặn hành vi đó.
Ngoài ra hệ thống firewall của Vista cũng hỗ trợ môi trường mạng IPv6.
4. Chặn thông điệp IMCP
Theo mặc định, hệ thống firewall của Vista sẽ cho phép những yêu cầu thông báo phản
hồi ICMP đang gửi tới và chặn mọi thông báo IMCP khác. Đây là một tính năng của
công cụ Ping thường được sử dụng để gửi thông điệp yêu cầu gỡ rối. Tuy nhiên, tin tặc
cũng có thể gửi thông điệp yêu cầu phản hồi để xác định vị trí những máy chủ mục tiêu.
Người dùng có thể chặn thông điệp yêu cầu phản hồi (hay chặn những thông điệp ICMP
khác nếu cần thiết cho bảo mật) trong tab Advanced trên giao diện cấu hình cơ bản.
5. Nhiều chế độ bảo mật
Hệ thống firewall của Vista tích hợp snap-in Advanced MMC cho phép người dùng cài
đặt nhiều chế độ firewall trên một máy, do đó người dùng có thể cấu hình firewall cho
nhiều tình huống có thể xảy ra. Tính năng này đặc biệt hữu dụng cho những máy tính
xách tay. Ví dụ, bạn muốn cấu hình firewall khi kết nối vào một điểm kết nối wifi công
cộng bảo mật hơn khi kết nối mạng ở nhà. Bạn có thể tạo 3 cấu hình bảo mật để sử dụng
để kết nối vào miền Windows, kết nối vào mạng cá nhân và kết nối vào mạng công cộng.
6. Tính năng của IPSec
Với giao diện cấu hình cải tiến, người dùng có thể tùy chỉnh những cài đặt cho IPSec để
lựa chọn sử dụng phương pháp bảo mật cho sự toàn vẹn và mã hóa, xác định thời gian
hiệu lực của khóa theo phút hay theo phiên làm việc, và lựa chọn thuật toán chuyển đổi
khóa Diffie-Hellman mong muốn. Mã hóa dữ liệu cho kết nối IPSec không được kích
hoạt mặc định, nhưng bạn có thể kích hoạt nó và lựa chọn nhưng thuật toán sử dụng để
mã hóa và toàn vẹn dữ liệu. Sau đó bạn có thể sử dụng Kerberos để lựa chọn thẩm định
quyền cho người dùng, máy tính, hoặc cả hai; và có thể yêu cầu chứng nhận máy tính từ
một Cellula Automata xác định; hay có thể tạo ra những cài đặt thẩm định quyền riêng.
7. Quy tắc bảo mật
Một Wizard hướng dẫn người dùng phương pháp tạo quy tắc bảo mật để kiểm soát cách
thức và thời điểm những kết nối sẽ được thiết lập giữa những máy tính riêng lẻ hay
những nhóm máy với nhau. Người dùng có thể giới hạn kết nối theo những điều kiện như
miền thành viên hay những yêu cầu phân quyền kết nối. Người dùng có thể đặt ra nhiều
quy tắc để yêu cầu thẩm định quyền giữa hai máy tính cụ thể hay sử dụng những quy
định ngầm để xác thực kết nối giữa các cổng vào. Ngoài ra, người dùng cũng có thể tạo
những quy định khác nếu không có loại quy định nào đặt ra trước đó là phù hợp.
8. Tạo những quy tắc bảo mật riêng
Khi đặt ra một quy tắc thẩm định quyền riêng, người dùng phải xác định những máy tính
hay những nhóm máy tính (theo địa chỉ IP hoặc vùng địa chỉ) là điểm cuối của kết nối.
Người dùng có thể đề nghị hoặc yêu cầu thẩm định quyền cho kết nối nội bộ, kết nối
ngoại hoặc cả hai. Khi quá trình thẩm định quyền được yêu cầu, kết nối sẽ được thẩm
định nếu có thể, nhưng kết nối sẽ vẫn được cho phép nếu không thể thực hiện thẩm định.
9. Quy tắc kết nối trong và ngoài
Hệ thống Firewall của Windows Vista cho phép người dùng có thể tạo những quy tắc bên
ngoài và bên trong để ngăn chặn hay cho phép kết nối vào những chương trình hay cổng
cụ thể, và cho phép sử dụng những quy tắc đặt ra trước đó hay đặt ra những quy tắc riêng.
New Rule Wizard sẽ hướng dẫn các bước tạo một quy tắc. Người dùng có thể áo dụng
những quy tắc này cho các chương trình, cổng hay dịch vụ; và cũng có thể áo dụng cho
mọi chương trình hay áp dụng cho một số chương trình mong muốn. Người dùng cũng có
thể sử dụng những quy tắc này để chặn mọi kết nối, cho phép mọi kết nối cho chương
trình này, hay chỉ cho phép những kết nối bảo mật và yêu cầu mã hóa để bảo mật dữ liệu
được gửi qua kết nối đó. Ngoài ra người dùng có thể cấu hình nguồn và những địa chỉ IP
đích cho lưu lượng bên ngoài và bên trong, và có thể cấu hình những quy tắc cho nguồn
và những cổng và TCP đích với cổng UDP.
10. Những quy tắc dựa trên Active Directory
Người dùng có thể tạo những quy tắc để chặn hay cho phép kết nối dựa trên những tái
khoản nhóm, tài khoản máy và tài khoản người dùng trong Active Directory khi kết nối
này được bảo mật bởi IPSec với Kerberos v5 (gồm thông tin tài khoản trong Active
Directory). Và có thể sử dụng hệ thống Windows Firewall này với Advanced Security
để áp dụng chính sách Network Access Protection (NAP).
QTM, TechRepublic
Các file đính kèm theo tài liệu này:
- 10 điều cần biết về hệ thống Firewall của Vista.pdf