Trang chủĐăng kýĐăng nhập Cộng đồng tin học
Thứ 4, 2024-10-09, 7:10 AM
Khung đăng nhập

Khung tán gẫu
Xóm 'bà Tám'

http://congdongtinhoc.net
CHUYÊN TRANG GAME ONLINE GIẢI TRÍ//lehung-system.ucoz.net/stuff/

Thống kê diễn đàn
Bài viết mới nhất Trang chủ cập nhật Top 10 thành viên tích cực 10 Thành viên mới nhất
  • Quạt Hướng Trục
  • vào ucoz.com thiết kế web không hiểu sao...
  • Sothink DHTMLMenu 9.2 Build 90326
  • cho em quảng cáo cái
  • BIDV triển khai gói 10.000 tỷ đồng cho v...
  • Phượng Đã Nở Ngoài Hiên
  • Ngựa Ô Thương Nhớ
  • Những mẩu chuyện vui
  • 1001 cách biến "sim rác" thành...
  • Windows XP Media Center Edition 2008 - S...
  • Hướng dẫn chỉnh sửa dữ liệu trong form m...
  • 15 điều người dùng máy tính nên biết
  • Choáng vì "sâu" mới phát tán qua email
  • Giấu bớt những thành phần Control Panel ...
  • Thảo luận về IFrame Injection Attacks
  • Miễn phí bản quyền Ashampoo Anti-Malware...
  • Trải nghiệm với Camtasia Studio 7
  • 10 kỹ năng IT ‘hot’ của năm 2011
  • Intel công bố bộ vi xử lý Hệ thống trên ...
  • Kho phần mềm dành cho Android
  • Hung@info
  • thangbom
  • Hung@webmater
  • hebeo
  • giodaingan
  • david15
  • whitecat
  • luutruthongtin
  • systemfan_12
  • sha66b5cates0428
  • amir2x4
  • taiwindows075
  • kholuutru
  • shahmeerolivedigital9
  • ysg06363100
  • hetoxe6474
  • rootanalysisusa
  • memory_gift
  • systemfan_12
  • quatcongnghiep_saigon


  • [ Tổng hợp bài mới · Tổng số thành viên · Nội qui chung · Tìm kiếm bài viết · RSS ]
    • Page 1 of 1
    • 1
    Forum moderator: thangbom  
    Tổng quan về Firewall của Windows Server 2008
    Hung@infoDate: Thứ 3, 2009-05-26, 0:44 AM | Bài viết # 1
    Trung úy
    Nhóm: Quản trị viên
    Bài viết: 994
    Uy tín: 10
    Hiện tại: Offline
    Phần 1: Thiết lập tường lửa và các mặc định bảo mật kết nối IPsec

    Windows Server 2003 đã có một tường lửa khá cơ bản cho phép bảo vệ máy tính chống lại các kết nối bên ngoài mà bạn không muốn chúng kết nối với máy chủ. Vấn đề này rất hữu dụng trong việc bảo vệ các máy Windows Server 2003, tuy nhiên nó khá đơn giản và không cho phép điều khiển hạt nhân cho cả truy cập đi vào và gửi đi đối với các máy Windows Server 2003. Thêm vào đó, tường lửa trong Windows Server 2003 lại không được tích hợp chặt chẽ với các dịch vụ đã được cài đặt, chính vì vậy bạn phải cấu hình tường lửa bất cứ khi nào thêm vào một máy chủ mới hoặc dịch vụ mới.

    Windows Server 2008 giới thiệu một tường lửa mới và có nhiều cải thiện đáng kể; Windows Firewall với Advanced Security. Tường lửa mới này trong Windows có nhiều cải thiện và cũng rất giống với tường lửa được giới thiệu trong Windows Vista. Các tính năng mới có trong tường lửa mới này về vấn đề bảo mật nâng cao gồm có:

    * Nhiều điều khiển truy cập đi vào
    * Nhiều điều khiển truy cập gửi đi
    * Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự động của tường lửa khi các dịch vụ được cài đặt bằng Server Manager.
    * Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bên cạnh đó là còn có cả sự thay đổi tên. Các chính sách IPsec hiện được khai báo như các rule bảo mật kết nối (Connection Security Rules).
    * Kiểm tra chính sách tường lửa được cải thiện
    * Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là các Rule bảo mật kết nối)
    * Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quick được cải thiện

    Có nhiều tùy chọn cấu hình có trong tường lửa mới này, chính vì vậy trong bài này chúng tôi sẽ chia làm ba phần, phần đầu là giới thiệu về các tùy chọn cấu hình cơ bản cho tường lửa và cho các chính sách IPsec. Phần hai sẽ tập trung đến cách tạo các rule đi vào và gửi đi, còn trong phần ba sẽ giới thiệu về cách tạo các rule bảo mật kết nối.

    Giao diện điều khiển Windows Firewall with Advanced Security có thể được mở từ menu Administrative Tools. Khi mở giao diện điều khiển này, bạn sẽ thấy được phần panel bên trái như những gì thể hiện trong hình dưới đây.


    Hình 1

    Panel ở giữa của giao diện điều khiển sẽ cung cấp cho bạn các thông tin về profile Domain, PrivatePublic. Mặc định các giá trị này cho mỗi profile là:

    * Windows Firewall là “on”
    * Kết nối gửi vào không hợp lệ với rule sẽ bị khóa
    * Kết nối gửi đi không hợp lệ với rule sẽ được cho phép

    Với những người có quyền quản trị tường lửa thì thành phần cuối cùng dường như có phần hơi lộn xộn vì trên các tường lửa của mạng, nếu không có rule nào cho phép một kết nối thì mặc định rule “clean up” được kích hoạt và kết nối sẽ bị khóa. Tuy vậy trong phần nội dung của Windows Firewall trên host với Advanced Security, kết nối gửi đi không hợp lệ với rule sẽ được cho phép có nghĩa rằng không có kiểm soát truy cập gửi đi được thiết lập mặc định.


    Hình 2

    Trong phần panel phái bên trái của giao diện điều khiển Windows Firewall with Advanced Security, kích chuột phải vào nút Windows Firewall with Advanced Security ở phần trên của panel trái của giao diện điều khiển và kích vào Properties. Thao tác này sẽ mở ra hộp thoại Windows Firewall with Advanced Security Properties

    Domain Profile là tab đầu tiên xuất hiện trong hộp thoại Windows Firewall with Advanced Security Properties. Domain Profile áp dụng khi máy tính được kết nối với mạng công ty và có thể liên lạc với miền. Vì các máy chủ không chuyển từ mạng này sang mạng khác nên chỉ có Domain Profile có thể áp dụng trong đại đa số các trường hợp. Ngoại từ khi máy chủ không phải là thành viên miền, trong trường hợp đó thì Private Profile sẽ áp dụng nó.

    Khung State bạn cấu hình như sau:

    * Firewall state. Trạng thái này có thể off hoặc on. Nó được mặc định và nên để như vậy.
    * Inbound connections. Các thiết lập mặc định để khóa. Điều này có nghĩa rằng các kết nối không có một rule cho phép sẽ bị khóa. Có hai tùy chọn khác ở đây: Allow, tùy chọn này sẽ cho phép tất cả các kết nối gửi đến và Block all connections, sẽ khóa tất cả các kết nối gửi đi. Bạn nên cẩn thận với cả hai thiết lập có thể thay đổi này, vì tùy chọn Block all connections có thể khóa tất cả các kết nối gửi đến, điều đó sẽ làm khó khăn hơn trong việc quản lý máy tính từ mạng.
    * Outbound connections. Thiết lập mặc định là Allow (default), cho phép kết nối gửi đi. Một tùy chọn khác ở đây là khóa các kết nối gửi đi. Chúng tôi khuyên bạn nên chọn mặc định bằng không máy tính sẽ không thể kết nối với các máy tính khác. Có một số ngoại lệ như các thiết bị được kết nối Internet đang chỉ nên xử lý các kết nối gửi đến và không nên thiết lập các kết nối gửi đi mới.

    Trong khung Settings bạn có thể cấu hình các thiết lập để điều khiển một số hành vi của tường lửa. Kích nút Customize.


    Hình 3

    Khi đó hộp thoại Customize Settings for the Domain Profile sẽ xuất hiện. Trong khung Firewall settings, bạn cấu hình muốn hay không muốn có thông báo được hiển thị khi kết nối gửi đến bị khóa. Thiết lập này được mặc định là No và bạn nên để lại lựa chọn mặc định đó. Vì nếu chọn yes thì sẽ gặp phải rất nhiều thông báo cho các kết nối được gửi đi đến máy chủ.

    Trong khung Unicast response, bạn cấu hình cách máy tính đáp trả đối với lưu lượng mạng multicast và broadcast. Giá trị mặc định là Yes (default), giá trị này cho phép máy chủ cung cấp các đáp trả unicast (đơn) với các yêu cầu multicast (đa). Nếu bạn ở trong môi trường không phụ thuộc vào các thư tín multicast hoặc broadcast (bạn không có các ứng dụng multicast trên máy chủ và máy chủ không phụ thuộc vào các giao thức dựa trên broadcast như NetBIOS trên TCP/IP), sau đó bạn có thể điều chỉnh về No.

    Khung cuối cùng không thể cấu hình thông qua giao diện và phải được cấu hình thông qua Group Policy. Khung Merging thể hiện cho bạn cách các client sẽ xử lý như thế nào với các rule đến từ tập rule tường lửa nội bộ và rule tường lửa đã được cấu hình thông qua Group Policy ra sao. Các thiết lập mặc định trong Group Policy đều áp dụng cả hai rule tường lửa nội bộ và rule bảo mật kết nối nội bộ. Như với các thiết lập Group Policy khác, thứ tự ưu tiên được xác định bởi LSDOU.


    Hình 4

    Trên hộp thoại Windows Firewall with Advanced Security Properties, trong khung Logging bạn có thể cấu hình một số tùy chọn cho việc Logging cho Windows Firewall. Kích Customize.


    Hình 5

    Khi đó hộp thoại Customize Logging Settings for the Domain Profile sẽ xuất hiện. Tên của file bản ghi mặc định sẽ là pfireall.log và được lưu trong vị trí mặc định trên đĩa cứng nội bộ. Bạn có thể thay đổi vị trí này nếu thích bằng cách đánh vào đó một đường dẫn mới vào hộp Name hoặc kích vào nút Browse.

    Giá trị Size limit (KB) được mặc định cho kích thước file bản ghi là 4 MB (4096 KB). Bạn có thể giảm hoặc tăng kích thước này nếu muốn. Sau khi bản ghi được điền, các entry cũ sẽ bị xóa và entry mới sẽ được bổ sung.

    Mặc định, Log dropped packetsLog successful connections được thiết lập là No (default).
    Lưu ý nếu bạn cấu hình cả hai thiết lập này thì sẽ không có gì để ghi cho file bản ghi .J


    Hình 6

    Trong tab, bạn có thể cấu hình các thiết lập tường lửa giống với thiết lập mà bạn đã thực hiện trên tab, tuy nhiên các thiết lập này sẽ chỉ ảnh hưởng khi máy tính của bạn được kết nối với mạng riêng, mạng riêng này không được kết nối với miền. Các thiết lập này không được áp dụng khi một máy chủ thành viên miền là một thành viên của miền, vì sẽ không được xóa on và off cho mạng, chính vì vậy nó luôn là miền được kết nối, bằng không nó sẽ không thực hiện tất cả các chức năng.


    Hình 7

    Trong tab Public Profile, bạn cấu hình các thiết lập áp dụng khi máy tính kết nối với mạng công cộng. Các cấu hình này sẽ không áp dụng cho các máy chủ vì chúng được sử dụng khi máy tính được kết nối với một mạng công cộng.


    Hình 8

    Trong tab IPsec Settings, có hai khung:

    * IPsec defaults. Có các thiết lập IPsec mặc định được áp dụng khi bạn tạo các rule bảo mật kết nối (tên mới cho các chính sách IPsec). Lưu ý rằng khi tạo các Rule bạn sẽ có tùy chọn để thay đổi các thiết lập trên mỗi rule từ các thiết lập mặc định.
    * IPsec exemptions. Mặc định, các IPsec exemptions được vô hiệu hóa. Tuy vậy bạn có thể khắc phục sự cố mạng bằng cách sử dụng Ping, tracert và các công cụ ICMP khác dễ dàng hơn rất nhiều nếu thay đổi nó từ chế độ mặc định No (default) thành Yes.

    Kích nút Customize trong khung IPsec defaults.


    Hình 9

    Trong hộp thoại Customize IPsec Settings , bạn có thể cấu hình như dưới đây:

    * Key Exchange (Main Mode)
    * Data Protection (Quick Mode)
    * Authentication Method

    Mỗi một tùy chọn này đều được cấu hình bằng một tập các giá trị mặc định mà Microsoft đã cân nhắc từ trước. Mặc dù vậy chúng đều có thể được thiết lập lại. Với Key exchange (Main Mode)Data Protection (Quick Mode) bạn cần chọn tùy chọn Advanced. Còn với các tùy chọn Authentication Method bạn có thể chọn tùy chọn khác hoặc sử dụng tùy chọn Advanced để điều khiển tinh chỉnh hơn các phương pháp chứng thực.

    Trong khung Key exchange (Main Mode), bạn hãy kích vào tùy chọn Advanced, sau đó kích nút Customize.


    Hình 10

    Khi đó hộp thoại Customize Advanced Key Exchange Settings sẽ xuất hiện. Các thiết lập mặc định được thể hiện ở đây. Như những gì bạn thấy, AES-128 là phương pháp ưu tiên được sử dụng cho key exchange và nếu không có sẵn ở đây thì nó sẽ là 3DES. Key lifetimes cũng được cấu hình trên trang này. Key exchange algorithm được thiết lập mặc định là Diffie-Hellman Group 2. Group 1 là 768 bits, Group 2 là 1024 bits và Group 14 là 2048 bits.

    Lưu ý các thuật toán Elliptic Curve và Group 14 sẽ không làm việc với các phiên bản trước đó của Windows. Chúng chỉ làm việc với Windows Vista và Windows Server 2008.

    Kích Cancel trong trang Customize Advanced Key Exchange Settings.


    Hình 11

    Chúng ta sẽ trở về với trang Customize IPsec Settings. Trong khung Data Protection, chọn tùy chọn Advanced và kích Customize.


    Hình 12

    Trong trang Customize Data Protection Settings, bạn cấu hình các tùy chọn mã hóa và toàn vẹn dữ liệu. Mặc định, ESP được sử dụng cho sự toàn vẹn dữ liệu và ESP với mã hóa AES-128 được sử dụng cho việc mã hóa dữ liệu. Lưu ý rằng AES-128 không được hỗ trợ trong các phiên bản trước của Windows, chính vì vậy các thiết lập cấu hình có thể sử dụng với DES (3DES).


    Hình 13

    Trong bất kỳ giao thức mã hóa và toàn vẹn dữ liệu nào, bạn cũng có thể kích nút Edit sau khi chọn giao thức để xem xem các thiết lập giao thức. Khi kích đúp vào giao thức ESP integrity bạn sẽ thấy ESP đã được chọn và là giao thức được khuyên dùng. Lý do là nó có thể đi qua các thiết bị NAT khi IPsec NAT traversal được kích hoạt trên cả hai thiết bị. Thuật toán SHA1 hash được sử dụng mặc định vì nó an toàn hơn MD5.


    Hình 14

    Nếu kích đúp vào mục mã hóa ESP, bạn sẽ thấy hộp thoại cấu hình cho tùy chọn đó. Ở đây bạn có thể thấy được rằng ESP chỉ được chọn một cách mặc định, vì sự bất lực của AH trong việc đi qua các thiết bị NAT. Tuy nhiên cần phải lưu ý rằng nếu bạn không có các thiết bị NAT trong đường dẫn giữa IPsec được kết nối ngang hàng thì có thể add các rule bảo mật cho kết nối bằng cách kích hoạt AH. Mặc dù vậy đây dường như là vấn đề bạn nên thực hiện một cách tùy chỉnh khi tạo các rule kết nối.

    Mặc định được thiết lập là AES-128, nhưng như những gì bạn thấy trong khung, còn có cả thiết lập DES nếu cần kết nối với các máy khách và máy chủ Windows phiên bản trước.


    Hình 15

    Tùy chọn cuối cùng bạn có thể cấu hình các mặc định là Authentication Method. Để xem các thông tin chi tiết về các phương pháp chứng thực có sẵn, kích tùy chọn Advanced và sau đó kích Customize.


    Hình 16

    Ở đây bạn sẽ thấy hộp thoại Customize Advanced Authentication Methods. Bạn có thể thấy các thiết lập mặc định được kích hoạt chỉ cho chứng thực Computer (Kerberos V5). Nó được quy vào đây như một chứng thực đầu tiên First Authentication. Bạn cũng có thể chọn kích hoạt User Authentication cho một chứng thực thứ hai Second Authentication. Bạn sẽ thấy được điều này khi chúng ta tạo các chính sách bảo mật kết nối, bạn có thể thiết lập chứng thực cho máy tính, cho người dùng, hoặc cho cả người dùng và máy tính.


    Hình 17

    Kết luận

    Trong phần 1 này chúng tôi đã giới thiệu một số thiết lập nói chung mà bạn có thể thực hiện với Windows Firewall with Advanced Security. Chúng tôi đã giới thiệu các thiết lập tường lửa mặc định cho Domain, Public và Private Profiles, sau đó là giới thiệu sâu vào các thiết lập mặc định mà bạn có thể tạo cho các chính sách IPsec.


    --== Cộng đồng tin học ==--
     
    Hung@infoDate: Thứ 3, 2009-05-26, 1:19 AM | Bài viết # 2
    Trung úy
    Nhóm: Quản trị viên
    Bài viết: 994
    Uy tín: 10
    Hiện tại: Offline
    Phần 2: Inbound Rules và Outbound Rules

    Trong phần đầu của loạt bài gồm ba phần này, chúng tôi đã giới thiệu về một số thiết lập cấu hình toàn cục để sử dụng tường lửa. Trong phần này chúng tôi sẽ giới thiệu về các rule gửi đến/gửi đi để bạn có thể kiểm soát được các kết nối vào và ra đối với máy tính có cài đặt Windows Server 2008.

    Inbound Rules và Outbound Rules

    Để bắt đầu, bạn hãy mở giao diện điều khiển Windows Firewall with Advanced Security từ menu Administrative Tools. Trong phần bên trái của giao diện điều khiển sẽ xuất hiện hai nút, Inbound RulesOutbound Rules. Nút Inbound Rules sẽ liệt kê những điều khiển các kết nối gửi đến máy chủ. Còn nút Outbound Rules điều khiển các kết nối gửi đi được tạo bởi máy chủ.


    Hình 1

    Kích vào nút Inbound Rules. Các rule mà bạn thấy ở đây sẽ thay đổi phụ thuộc vào máy chủ gì và dịch vụ gì được cài đặt và được kích hoạt trên máy chủ. Trong hình bên dưới, bạn có thể thấy máy tính là một Active Directory domain controller, và một số rule được kích hoạt để cho phép các hoạt động của Active Directory.

    Mặc định, nếu không có rule nào cho phép kết nối gửi đến đối với máy chủ thì kết nối sẽ bị chặn lại. Nếu có một rule cho phép thì kết nối này sẽ được cho phép nếu các đặc điểm của kết nối phù hợp với các thiết lập trong rule. Chúng ta sẽ xem xét một chút đến các đặc tính này.


    Hình 2

    Khi kích vào nút Outbound Rules, bạn sẽ thấy các rule đã được tạo để cho phép các kết nối gửi đi từ máy chủ đến các máy khác trong mạng. Lúc này, cấu hình mặc định cho các kết nối gửi đi đang được thiết lập để cho phép tất cả lưu lượng, nghĩ là không có rule Deny. Chính vì vậy nếu chúng ta vẫn chọn các thiết lập mặc định của Windows Firewall with Advanced Security thì tại sao lại cần tất cả các rule Allow?

    Điều này là vì cách làm việc của nó. Trong thực tế khi thiết lập Allow (default) được kích hoạt cho các kết nối gửi đi thì máy tính sẽ chỉ ra hành vi cho các kết nối gửi đi không phù hợp với rule gửi đi của tường lửa. Chính vì vậy, lý do cho tất cả các rule là nếu bạn chọn hành vi khác, hành vi bị khóa và nếu không có rule cho phép thì kết nối này sẽ bị khóa. Đây chính là lý do cho tất cả các rule Allow.

    Nhớ rằng với cả hai Inbound Rules và Outbound Rules, bản tính và số rule được quyết định bởi các dịch vụ và máy chủ được cài đặt trên máy tính. Khi bạn cài đặt dịch vụ bằng Server Manager thì tiện ích này sẽ tự động làm việc với Windows Firewall with Advanced Security để tạo các rule tường lửa thích hợp và an toàn nhất.


    Hình 3

    Bạn có thể thấy rằng các rule không được đánh số, có vẻ như không có thứ tự ưu tiên. Điều này không hoàn toàn đúng, các rule được đánh giá bằng thứ tự ưu tiên dưới đây:

    * Các bypass rule được chứng thực (chính là các rule ghi đè lên các block rule. Việc thẩm định diễn ra bằng Ipsec)
    * Block
    * Allow
    * Hành vi profile mặc định (cho phép hoặc khóa kết nối như đã được cấu hình trong tab Profile của hộp thoại Windows Firewall with Advanced Security Properties, bạn có thể xem lại phần một để có thêm thông tin chi tiết về nó).

    Một vấn đề nữa bạn nên lưu ý ở đây là các rule càng cụ thể thì sẽ được đánh giá trước các rule chung chung hơn. Ví dụ, các rule với địa chỉ IP cụ thể gồm có nguồn hoặc đích sẽ được đánh giá trước so với các rule cho phép bất cứ nguồn và đích nào.

    Trong phần bên trái của giao diện điều khiển Windows Firewall with Advanced Security, bạn có thể kích chuột phải vào nút Inbound Rules hoặc Outbound Rules và thấy được rằng có thể thực hiện việc lọc bằng Profile, State hoặc Group. Các rule tường lửa của Windows kèm theo sẽ tự động nhóm vào cho bạn, nó sẽ dựa trên chức năng mà các rule này cung cấp. Bạn có thể thấy trong hình dưới đây, có một số nhóm trong đó bạn có thể lọc.


    Hình 4

    Để xem các thông tin chi tiết về cấu hình rule của tường lửa, bạn hãy kích đúp vào bất kỳ các rule nào trong danh sách. Khi bạn kích đúp, một hộp thoại Properties sẽ xuất hiện cho rule đó. Trong tab General bạn sẽ thấy tên của rule và một số mô tả về rule cũng như các thông tin về rule đó là một trong tập các rule đã được định nghĩa trước bởi Windows hay không. Với các rule nằm trong phần đã được thiết lập trước thì bạn sẽ thấy không phải tất cả các thành phần của rule đều có thể cấu hình.

    Rule được kích hoạt khi hộp kiểm Enabled đã được tích

    Trong khung Actions, bạn có ba tùy chọn:

    * Allow the connections. Tùy chọn này chỉ thị rằng rule này là Allow rule
    * Allow only secure connections. Khi tùy chọn này được chọn thì chỉ có người dùng hoặc các máy tính có thể thẩm định quyền với máy chủ mới có thể kết nối. Thêm vào đó, nếu bạn chọn tùy chọn này thì có thêm hai tùy chọn Require encryptionOverride block rules. Tùy chọn Require encryption yêu cầu rằng không phải chỉ người dùng hoặc máy tính thẩm định quyền mà còn phải sử dụng một session mã hóa với máy chủ. Nếu chọn tùy chọn kia thì bạn có thể vòng tránh được các rule khác của tường lửa. Điều này cho phép bạn tạo Deny rule để khóa các kết nối đối với tất cả các máy hoặc người dùng không xác thực với máy chủ.
    * Block the connections. Tùy chọn này sẽ cấu hình rule thành Deny rule.


    Hình 5

    Kích vào tab Programs and Services. Các rule của tường lửa có thể được cấu hình để cho phép hoặc từ chối truy cập vào các dịch vụ cũng như ứng dụng đã được cài đặt trên máy chủ.. Trong ví dụ trong hình bên dưới bạn sẽ thấy rule áp dụng cho dịch vụ lsass.exe. lsass.exe có thể cấu hình một vài dịch vụ. Trong trường hợp này, bạn có thể kích vào nút Settings trong khung Services và chọn dịch vụ cụ thể đã được cấu hình bởi chương trình thực thi lsass.exe.


    Hình 6

    Kích vào tab Users and Computers. Ở đây bạn có thể cấu hình rule để áp dụng cho người dùng nào đó hoặc máy tính cụ thể. Để hỗ trợ thẩm định máy tính và người dùng, người dùng và máy tính cần phải là thành viên của miền Active Directory của bạn, và một chính sách Ipsec được cấu hình để hỗ trợ bảo mật Ipsec giữa hai điểm kết cuối. Chúng ta sẽ xem xét đến phần này sau khi tạo rule tường lửa.


    Hình 7

    Trong tab Protocols and Ports bạn chọn những giao thức mà rule sẽ áp dụng. Các tùy chọn ở đây là:

    * Protocol type. Đây là kiểu giao thức giống như UDP, TCP, ICMP, GRE và nhiều giao thức khác.
    * Protocol number. Nếu cần hỗ trợ các giao thức đặc biệt thì bạn có thể cấu hình số giao thức, còn nếu sử dụng một trong các giao thức đã được xây dựng từ trước thì Protocol number sẽ được điền đầy cho bạn.
    * Local Port. Các tập cổng nội bộ trên máy chủ mà rule của tường lửa sử dụng. Nếu rule là Inbound Rules thì đây sẽ là cổng để máy chủ lắng nghe. Nếu rule là Outbound Rules thì đây sẽ làm cổng nguồn để máy chủ sử dụng kết nối với các máy khác.
    * Remote port. Đây là cổng điều khiển từ xa để sử dụng cho rule. Trong trường hợp rule kết nối gửi đi thì đây sẽ là cổng mà máy chủ sẽ kết nối với một máy tính khác. Trong trường hợp rule kết nối gửi đến thì đây chính là cổng nguồn của máy tính muốn kết nối với máy chủ.

    Nút Customize được sử dụng để cấu hình các thiết lập cho giao thức ICMP.


    Hình 8

    Kích vào tab Scope. Ở đây bạn có thể thiết lập địa chỉ IP nội bộ Local IP address và địa chỉ IP từ xa Remote IP address cho phạm vi rule nào sử dụng. Local IP address là địa chỉ trên máy chủ đang chấp nhận kết nối hoặc địa chỉ được sử dụng với tư cách là địa chỉ nguồn để gửi các kết nối gửi đi. Remote IP address là địa chỉ IP của máy chủ điều khiển xa mà máy chủ này đang muốn kết nối đến (trong kịch bản truy cập gửi đi), hoặc địa chỉ IP nguồn của máy tính đang muốn kết nối với máy chủ (trong trường hợp kịch bản truy cập gửi đến).


    Hình 9

    Kích tab Advanced. Ở đây bạn có thể thiết lập profile gì sẽ sử dụng rule. Trong ví dụ hình bên dưới, bạn có thể thấy được rule được dùng để cung cấp cho tất cả profile.

    Trong khung Interface type, bạn có thể chọn giao diện để áp dụng cho rule này. Hình bên dưới thể hiện rằng rule được sử dụng cho tất các các giao diện, trong đó gồm có Local area network, remote accesswireless.

    Tùy chọn Edge traversal cũng là một tùy chọn hay, do nó không được giới thiệu trong tài liệu nhiều nên chúng tôi chỉ trích những gì trong file trợ giúp của nó đã giới thiệu.

    “Edge traversal chỉ thị xem edge traversal có được kích hoạt (Yes) hay vô hiệu hóa (No). Khi được kích hoạt, ứng dụng, dịch vụ, hoặc cổng mà rule sử dụng sẽ có thể định địa chỉ và truy cập từ bên ngoài NAT (network address translation) hoặc edge device.”

    Bạn nghĩ gì về vấn đề này? Chúng ta có thể tạo các dịch vụ có sẵn trên NAT bằng cách sử dụng chuyển tiếp port trên NAT phía trước máy chủ. Liệu có cần phải thực hiện gì với Ipsec? Với NAT-T?... những vấn đề này các bạn có thể tự sáng tạo theo các hoàn cảnh sử dụng riêng.


    Hình 10

    Tạo rule cho tường lửa

    Bạn có thể tạo rule cho tường lửa để bổ sung thêm các rule được cấu hình tự động bởi Server Manager khi cài đặt máy chủ và các dịch vụ. Bắt đầu bằng các kích vào liên kết New Rule trong panel bên phải của giao diện điều khiển Windows Firewall with Advanced Security. New Inbound Rule Wizard sẽ xuất hiện.

    Trang đầu tiên của tiện ích này là Rule Type. Ở đây bạn có thể cấu hình rule để áp dụng cho:

    * Program. Cho phép bạn kiểm soát truy cập đến và đi đối với một chương trình cụ thể. Lưu ý rằng khi bạn thử áp dụng các rule của tường lửa cho chương trình và dịch vụ thì chương trình hoặc dịch vụ phải được ghi đè vào giao diện Winsock để các yêu cầu về cổng có thể truyền thông với tường lửa của Windows.
    * Port. Cho phép bạn cấu hình một rule dựa trên số cổng TCP hoặc UDP.
    * Predefined. Tường lửa Windows có thể được cấu hình để sử dụng một tập các giao thức hoặc dịch vụ được định nghĩa trước và áp dụng chúng cho rule.
    * Custom. Cho phép bạn tinh chỉnh rule của mình bên ngoài các tham số có sẵn trong các tùy chọn khác.

    Chúng ta hãy chọn tùy chọn Custom để thấy được tất cả các tùy chọn cấu hình.


    Hình 11

    Trang thứ hai của tiện ích sẽ có ba tùy chọn:

    * All programs. Rule sẽ áp dụng cho tất cả chương trình phù hợp với các thành phần của rule.
    * The program path. Cho phép bạn cấu hình rule để sử dụng một chương trình cụ thể và chương trình này được chỉ áp dụng cho các kết nối được tạo đến và đi từ chương trình đó.
    * Services. Một số chương trình như một “container” cho nhiều chương trình, chẳng hạn như services.exelssas.exe mà chúng ta đã thấy. Khi chọn một trong các chương trình này, bạn sẽ có thể hạn chế dịch vụ mà rule sử dụng bằng cách kích nút Customize và chọn chương trình.


    Hình 12

    Khi kích nút Customize, bạn sẽ thấy hộp thoại Customize Service Settings. Ở đây sẽ có một số tùy chọn:

    * Apply to all programs and services. Sử dụng tùy chọn này khi bạn muốn rule áp dụng cho tất cả chương trình và dịch vụ được cấu hình bởi file .exe.
    * Apply to services only. Trong trường hợp này, rule chỉ được áp dụng cho các dịch vụ được cung cấp bởi file .exe mà bạn đã chọn.
    * Apply to this service. Khi chọn tùy chọn này, bạn có thể chọn dịch vụ cụ thể đã được cấu hình bởi file .exe.


    Hình 13

    Trang tiếp theo của tiện ích, bạn có thể thiết lập giao thức gì muốn được áp dụng cho. Lưu ý rằng khi chọn một chương trình thì bạn sẽ không phải cấu hình giao thức vì tường lửa của Windows sẽ thu được các thông tin về giao thức từ giao diện Winsock. Mặc dù vậy nếu bạn không chọn một chương trình nào thì cần phải cấu hình giao thức mà rule của tường lửa sẽ áp dụng.

    Các tùy chọn ở đây là:

    * Protocol type. Ở đây bạn có thể thiết lập kiểu giao thức để áp dụng cho rule này. Trong hình bên dưới bạn có thể thấy tường lửa của Windows hỗ trợ rất nhiều kiểu giao thức.
    * Protocol number. Để kiểm soát giao thức tiên tiến như Ipsec, bạn nên chọn số tùy chọn này.
    * Local Port. Đây là cổng trên máy chủ mà rule được sử dụng. Cổng nội bộ là cổng mà máy khác đang kết nối đến trong kịch bản gửi đến và là cổng nguồn cho một kết nối gửi đi trong kịch bản kết nối gửi đi.
    * Remote port. Đây là cổng trên máy tính khác. Cổng từ xa sẽ là cổng mà máy chủ muốn kết nối đến trong kịch bản gửi đi và là cổng nguồn cho máy tính muốn kết nối đến máy chủ trong kịch bản gửi đến.
    * Internet Control Message Protocol (ICMP) settings. Nếu bạn cấu hình các giao thức ICMP thì có thể thiết lập kiểu và mã ở đây.


    Hình 14

    Trong hình bên dưới bạn có thể thấy rằng chúng tôi đã tạo một giao thức để kiểm soát IMAP4. Chúng tôi đã chọn TCP là kiểu giao thức và số giao thức được nhập vào là hoàn toàn tự động. Cổng nội bộ mà các máy khách IMAP4 kết nối là 143. Cổng từ xa được thiết lập là All Ports vì các máy chủ IMAP4 không quan tâm đến cổng nguồn của máy khách đang kết nối là gì.


    Hình 15

    Trong trang Scope bạn có thể thiết lập địa chỉ IP nội bộ và từ xa để rule áp dụng. Có thể chọn IP address hoặc These IP addresses. Tùy chọn này cho phép bạn có được một số thước đo về khả năng kiểm soát, điều khiển trên những máy tính nào kết nối với máy chủ và những máy tính nào máy chủ không kết nối khi cấu hình phù hợp với các yếu tố của rule.

    Bạn cũng có tùy chọn áp dụng phạm vi này cho một giao diện cụ thể, như trong hình bên dưới. Có thể xem hộp thoại Customize Interface Types khi kích nút Customize.


    Hình 16

    Trong trang Action, bạn có thể chọn để những gì xảy ra khi kết nối phù hợp với các yếu tố của rule. Các tùy chọn ở đây là:

    * Allow the connection. Tạo Allow rule
    * Allow the connection if it is secure. Cho phép kết nối nếu có một chính sách Ipsec cho phép hai điểm endpoint thiết lập một kết nối an toàn. Bạn có tùy chọn để mã hóa session giữa các endpoint bằng cách tích vào hộp kiểm Require the connections to be encrypted. Nếu bạn muốn rule này có thể ghi đè lên rule khác để khóa kết nối, hãy chọn tùy chọn Override block rules
    * Block the connection. Tạo Deny rule.


    Hình 17

    Trong trang Users and Computers, bạn có thể chọn người dùng hoặc máy tính có thể kết nối. Để làm việc thì cả hai endpoint cần phải là các thành viên của cùng một miền Active Directory và chính sách IPsec phải thích hợp để tạo kết nối IPsec giữa hai endpoint. Windows Firewall with Advanced Security thiên về các chính sách IPsec là Connection Security Rules. Chính vì vậy chúng tôi sẽ giới thiệu về Connection Security Rules trong phần tiếp theo của loạt bài này.

    Tích vào hộp kiểm Only allow connections from these computers nếu bạn muốn cho phép các kết nối chỉ từ các máy tính cụ thể. Còn hãy tích Only allow connections from these users nếu muốn hạn chế sự truy cập cho một số người dùng hoặc nhóm người dùng.


    Hình 18

    Trong trang Profile, bạn có thể thiết lập profile mà bạn muốn rule áp dụng cho. Trong hầu hết các trường hợp, chỉ có profile miền sẽ được áp dụng cho máy chủ, chính vì vậy các profile khác sẽ không được kích hoạt. Tuy vậy, hoàn toàn không có vấn đề gì cho việc kích hoạt tất cả trong số chúng.


    Hình 19

    Trong trang cuối cùng của tiện ích, bạn cần phải đặt tên cho rule. Kích Finish để tạo một rule.


    Hình 20

    Đó là tất cả những công việc cần thực hiện. Nút Monitoring sẽ kiểm tra các rule của tường lửa, tuy nhiên nó thực sự không mang đến cho bạn nhiều thông tin ngoại trừ thông tin rule nào được kích hoạt. Cũng không có thông tin nào liên quan đến rule nào có thể sẽ kích hoạt ở một thời điểm nào đó, có lẽ đây sẽ là một tính năng thú vị mà nhóm phát triển của Windows cần phải xem xét đến trong tương lai.

    Kết luận

    Trong phần hai của loạt bài này chúng tôi đã giới thiệu cho các bạn một số thông tin chi tiết về Inbound RulesOutbound Rules, cùng với đó là cách tạo các rule mới. Trong phần tiếp theo chúng tôi sẽ giới thiệu về Connection Security Rules và xem chúng làm việc như thế nào, những yêu cầu gì cần thiết với nó và cách thiết lập cũng như kiểm tra các kết nối.


    --== Cộng đồng tin học ==--
     
    Hung@infoDate: Thứ 3, 2009-05-26, 1:38 AM | Bài viết # 3
    Trung úy
    Nhóm: Quản trị viên
    Bài viết: 994
    Uy tín: 10
    Hiện tại: Offline
    Phần 3: Giới thiệu sự cách ly miền

    Trong hai phần đầu của loạt bài này chúng tôi đã giới thiệu cho các bạn về các tùy chọn cấu hình chung của Windows Firewall và sau đó đã thảo luận một số vấn đề chi tiết về các rule gửi đến và gửi đi của tường lửa mới này.

    Trong phần ba này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cách sử dụng Group Policy để thi hành sự cách ly miền thông qua sử dụng IPsec. Giao diện của Windows Firewall với tính năng bảo mật nâng cao được tích hợp Windows Server 2008 Group Policy, vì vậy sẽ cho phép bạn có thể sử dụng giao diện điều khiển của Group Policy và Group Policy Editor để tạo chính sách tường lửa cho các máy tính trong toàn bộ miền, trong một OU hoặc trong một site.

    Cấu hình cách ly miền (Domain Isolation) (thông qua giao diện Windows Firewall with Advanced Security) cho phép bạn bảo vệ được tất cả các máy tính thành viên miền tránh được các xâm nhập từ các máy tính xấu không phải là thành viên miền. Các thành viên miền được cấu hình để họ phải chứng thực với thành viên khác trước khi kết nối được cho phép giữa hai máy. Các máy không phải là thành viên miền sẽ không thể chứng thực, và như vậy kết nối mà chúng muốn thực hiện với các máy nằm trong miền sẽ bị thất bại.

    Hoàn toàn có thể thực hiện trong các phiên bản trước của Windows, tuy nhiên giao diện cho việc cấu hình các chính sách IPsec quá phức tạp và quá khó hiểu đến nỗi một số quản trị viên Windows hoặc quản trị viên bảo mật đã lo ngại về vấn đề cách ly miền. Mặc dù vậy, với sự xuất hiện của Windows Firewall with Advanced Security trong Windows Server 2008 và Vista thì các quản trị viên này hoàn toàn dễ dàng trong việc cấu hình cách ly miền. Nó tích hợp với Windows Server 2008 Group Policy để cho phép bạn dễ dàng tập trung vào việc cấu hình trong giải pháp “một trạm”.

    Trong hai loạt bài này (phần ba được chia thành hai phần riêng biệt), chúng tôi sẽ minh chứng cho các bạn cách tạo một giải pháp cách ly miền cho một mạng đơn giản với ba máy tính. Các máy tính này là:

    • Domain controller để yêu cầu bảo mật. Bạn không thể thực thi bảo mật vì các máy tính dường như không thể nhận chính sách nhóm khi thi hành bảo mật. Mặc dù vậy, nếu bạn yêu cầu đến bảo mật khi kết nối vào domain controller thì các thành viên miền sẽ có thể kết nối tới domain controller để lấy chính sách Group Policy, sau đó chúng có thể bảo vệ phần còn lại của việc truyền thông của chúng với domain controller. Địa chỉ IP trong ví dụ này sẽ là 10.0.0.2.

    • Một máy chủ yêu cầu bảo mật. Có thể là kiểu máy chủ file, máy chủ cơ sở dữ liệu, hay máy chủ Web. Khi chúng tôi minh chứng các kết nối ở phần cuối bài, chúng tôi sẽ ping đến máy chủ đề xem các rule bảo mật cho kết nối có làm việc hay không. Địa chỉ IP trong ví dụ này là 10.0.0.3

    • Máy khách Windows Vista. Máy tính này sẽ kết nối đến máy chủ và domain controller. Địa chỉ IP trong ví dụ này là 10.0.0.100

    Các máy chủ là máy Windows Server 2008 và tất cả ba máy chủ đều nằm trong cùng một miền.

    Bạn không cần cài đặt các role đặc biệt nào hoặc các dịch vụ role cũng như tính năng để cách ly miền.

    Lưu ý rằng, đây là một kịch bản rất đơn giản và không có các ngoại lệ mà bạn cần tạo cho các máy chủ cơ sở hạ tầng trong mạng của bạn, ví dụ như các máy chủ DNS, DHCP hoặc WINS cũng như cho gateway mặc định.

    Trong mạng sản xuất, bạn cần tạo các ngoại lệ cho việc thực thi chính sách IPsec để các máy không phải là thành viên miền vẫn có thể truyền thông với các máy chủ cơ sở hạ tầng, đây là một vấn đề rất quan trọng.

    Cấu hình chính sách IPsec mặc định để yêu cầu mã hóa

    Trong ví dụ sẽ sử dụng trong bài này, chúng tôi muốn bảo đảm rằng IPsec được sử dụng không chỉ để điều khiển những gì các máy tính có thể kết nối đến máy tính khác mà còn bảo đảm rằng không ai có thể đánh cắp được các thông tin riêng tư được chia sẻ giữa các máy tính thành viên của miền. Để thực hiện điều đó, chúng ta có thể sử dụng mã hóa ESP.

    Để làm cho mã hóa ESP là một phần của các thiết lập IPsec mặc định, chúng ta cần phải vào thuộc tính của Windows Firewall with Advanced Security trong Group Policy Editor.

    Mở Group Policy Management Console trên domain controller của bạn, sau đó mở Default Domain Policy cho miền (hoặc miền test nếu bạn đang sử dụng trong môi trường test) trong Group Policy Editor.

    Trong phần panel bên trái của Group Policy Editor, bạn hãy mở một số các nút như thể hiện trong hình bên dưới. Đường dẫn là:

    Computer Configuration\Policies\Windows Settings\Windows Firewall with Advanced Security

    Kích chuột phải vào nút đó và chọn Properties.


    Hình 1

    Trong hộp thoại Windows Firewall with Advanced Security, bạn hãy kích tab IPsec Settings. Trên tab IPsec Settings kích nút Customize.


    Hình 2

    Trong hộp thoại Customize IPsec Settings, chọn tùy chọn Advanced trong khung Data protection (Quick Mode). Kích nút Customize.


    Hình 3

    Trong hộp thoại Customize Data Protection Settings, bạn hãy tích vào hộp kiểm Require encryption for all connection security rules that use these settings.
    Lưu ý rằng AES-128 sẽ được sử dụng mặc định, nhưng nếu sự kết hợp client/server không hỗ trợ mức mã hóa này thì chúng sẽ trở về 3DES (bộ ba DES). Kích OK.


    Hình 4

    Lúc này chúng ta đã cấu hình các thiết lập IPsec mặc định để có thể hỗ trợ mã hóa kết nối giữa các host được cách ly, chúng ta có thể thực hiện một job tạo các rule bảo mật kết nối.

    Tạo một rule yêu cầu bảo mật cho Domain Controller

    Các bạn cần lưu ý trong nghiên cứu và kiểm thử về sự cách ly miền bằng IPsec có một vấn đề lớn có liên quan đến các bộ điều khiển miền (domain controller). Bất cứ khi nào chúng ta cấu hình các chính sách IPsec để yêu cầu bảo mật cho DC thì các kết nối từ thành viên miền sẽ bị thất bại và các thành viên miền sẽ không thể vào được màn hình đăng nhập. Mặc dù vậy, nếu bạn cấu hình các rule IPsec để yêu cầu bảo mật thì các thành viên miền sẽ có thể đăng nhập và kết nối với domain controller. Thêm vào đó, khi “yêu cầu” bảo mật được cấu hình, các client sẽ có thể thiết lập kết nối IPsec an toàn cho domain controller sau khi nhận Group Policy trên kết nối mà chúng ta thừa nhận là không an toàn.

    Chúng ta có thể yêu cầu bảo mật khi kết nối đến domain controller. Điều này sẽ thiết lập một kết nối an toàn với domain controller, thậm chí không yêu cầu bảo mật cho kết nối.

    Trong Group Policy Editor, bạn hãy điều hướng đến nút Connection Security Rules trong phần panel bên trái của giao diện điều khiển trong Windows Firewall Advanced Security Node, xem thể hiện trong hình dưới. Đường dẫn đầy đủ cho nút này là:

    Computer Configuration\Policies\Windows Settings\Windows Firewall with Advanced Security\Connect Security Rules

    Kích chuột phải vào nút Connection Security Rules và chọn New Rule.


    Hình 5

    Trong trang Rule Type, phần New Connection Security Rule Wizard, bạn hãy chọn tùy chọn Isolation và kích Next.


    Hình 6

    Trong trang Requirements, chọn Request authentication for inbound and outbound connections. Khi bạn chọn tùy chọn này, sự thẩm định quyền sẽ được yêu cầu khi máy tính tạo một kết nối gửi đi đến một máy tính khác, và khi máy tính khác tạo một kết nối gửi đến đối với máy tính này. Nếu sự thẩm định thành công thì bảo mật IPsec sẽ được áp dụng đối với các session. Tuy vậy, nếu thẩm định thất bại, các máy tính sẽ quay trở về các kết nối không được thẩm định.

    Kích Next.


    Hình 7

    Trong trang Authentication Method, bạn hãy chọn tùy chọn Default. Tùy chọn này được quyết định bởi các thiết lập trong IPsec Defaults từ Properties của hộp thoại Windows Firewall with Advanced Security mà chúng ta đã thấy. Chúng ta đã sẽ xem xét các thông tin chi tiết của hộp thoại đó trong phần một của loạt bài này, chính vì vậy bạn nên kiểm tra các thông tin chi tiết về các chính sách mặc định của IPsec.

    Các thiết lập mặc định sẽ sử dụng thẩm định quyền Kerberos. Vì tất cả các thành viên miền đều có thể sử dụng Kerberos cho việc thẩm định quyền nên sẽ không cần bất cứ thứ gì khi bạn cần thực hiện trên các máy khách và máy chủ. Có một số cách để thẩm định, ví dụ như chứng chỉ máy tính - Computer Certificate hoặc khóa tiền chia sẻ - pre-shared key. Tuy nhiên phương pháp an toàn nhất vẫn là Kerberos, thêm vào đó nữa là sử dụng Kerberos rất dễ dàng đối với các quản trị viên, đó chính là cách rõ ràng nhất để thực hiện.

    Kích Next.


    Hình 8

    Trong trang Profile, remove các hộp kiểm Private and Public đã được tích. Bạn sẽ không muốn các máy tính di động của mình phải lo lắng về việc cách ly miền IPsec khi chúng không nằm trong mạng.

    Kích Next.


    Hình 9

    Trong trang Name, hãy đặt một tên. Trong ví dụ này chúng tôi đã đặt tên cho rule là DC Request Security. Kích Finish.


    Hình 10

    Bạn sẽ thấy rule trong danh sách các rule như được thể hiện trong hình bên dưới. Chúng ta vẫn chưa được thực hiện với rule, vì phải cấu hình các địa chỉ IP mà rule này cũng áp dụng. Bạn có thể thấy trong dòng hiện hành, rule áp dụng cho bất cứ Endpoint 1 và Endpoint 2 nào. Các endpoint có thể là một IP n và một địa chỉ IP khác, hoặc một cái có thể là một nhóm các địa chỉ IP và endpoint kia là một địa chỉ IP.

    Trong ví dụ này chúng ta cần tạo một endpoint là tất cả các địa chỉ IP trên mạng và endpoint thứ hai là địa chỉ IP của domain controller được sử dụng trong ví dụ này.

    Kích chuột phải vào DC Request Security Rule vào Properties để tạo các thay đổi này.


    Hình 11

    Trong hộp thoại DC Request Security Properties, hãy chọn tùy chọn These IP addresses trong khung Endpoint 2. Sau đó kích nút Add.


    Hình 12

    Trong hộp thoại IP address, hãy đặt vào đó địa chỉ IP của domain controller. Chọn tùy chọn This IP address or subnet và nhập vào đó địa chỉ IP. Lưu ý rằng bạn cũng có thêm các tùy chọn khác như This IP address rangePredefined set of computers. Tùy chọn Predefined set of computers cho phép bạn chọn từ một số các máy chủ cơ sở hạ tầng, ví dụ như DHCP, DNS, WINS và gateway mặc định để các máy tính không thể thẩm định có thể được bãi miễn thẩm định với các máy chủ cơ sở hạ tầng.
    Ví dụ sẽ là Macs, Unix, Linux và các hệ điều hành khác có thể sử dụng Kerberos cho việc thẩm định.

    Kích OK.


    Hình 13

    Bạn sẽ thấy địa chỉ IP của DC trong khung Endpoint 2. Kích OK trong hộp thoại DC Request Security Properties.


    Hình 14

    Bạn cũng sẽ thấy địa chỉ IP của domain controller trong cột Endpoint 2 trên dòng DC Request Security


    Hình 15

    Lúc này DC đã yêu cầu chính sách bảo mật đúng chỗ, chúng ta có thể tạo rule cách ly miền cho máy chủ và máy khách để yêu cầu bảo mật khi kết nối đến các thành viên miền khác.

    Kết luận

    Trong phần này (3a), phần một trong hai phần về cách tạo một chính sách cách ly miền bằng cách sử dụng giao diện Windows Firewall with Advanced Security được tích hợp trong Windows Group Policy Editor, chúng ta đã cấu hình chính sách IPsec mặc định để thi hành mã hóa ESP. Sau đó đã mã hóa một rule chính sách IPsec cho domain controller và thay đổi nó bằng cách thiết lập Endpoint 2 là địa chỉ IP của domain controller.

    Trong phần 3b của loạt bài này chúng ta sẽ tạo rule cách ly miền máy chủ và máy khách, sau đó cấu hình máy chủ để chấp nhận các yêu cầu Ping.

    (Windows Security)


    --== Cộng đồng tin học ==--
     
    • Page 1 of 1
    • 1
    Search:


      Copyright Cộng đồng tin học © 2024