Mô tả:
Tổng quan về Firewall của
Windows Server 2008 với tính
năng bảo mật nâng cao
Tổng quan về Firewall của Windows Server 2008 với tính
năng bảo mật nâng cao - Phần 1
Tổng quan về Firewall của Windows Server 2008 với tính
năng bảo mật nâng cao - Phần 2
Tổng quan về Firewall của Windows Server 2008 với tính
năng bảo mật nâng cao - Phần 3
Thomas Shinder
Trong phần 3 giới thiệu về cách tạo một chính sách miền cách lý
bằng cách sử dụng giao diện điều khiển IPsec và Windows
Firewall with Advanced Security tích hợp trong Windows Server
2008 Group Policy Editor, chúng tôi đã giới thiệu cho các bạn
cách cấu hình chính sách IPsec mặc định để sử dụng mã hóa ESP
trên kết nối được bảo vệ bởi IPsec, sau đó là giới thiệu về cách tạo
rule chính sách IPsec cho các domain controller.
Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn về
cách tạo chính sách miền cách ly IPsec trong một mạng đơn giản,
tạo một rule miền cách ly cho máy chủ và máy khách yêu cầu bảo
mật (thẩm định quyền), cấu hình máy chủ để sử dụng các kết nối
ping gửi đến chúng nhằm kiểm tra rule vừa tạo. Cuối cùng của
phần này la kiểm tra rule để xác nhận rằng IPsec được sử dụng
cho các kết nối và kết nối đó được mã hóa bằng ESP.
Tạo một rule miền cách ly cho máy chủ và khách
Rule tiếp theo chúng ta sẽ tạo là cách ly miền cho máy chủ và
khách. Rule này sẽ không yêu cầu bảo mật giống như các rule
trước mà chúng ta đã tạo cho các kết nối với domain controller.
Nó chỉ yêu cầu sự thẩm định quyền và bảo mật khi các thành viên
miền kết nối với nhau. Yêu cầu sự thẩm định quyền cho các kết
nối gửi đến, bảo mật cho các kết nối gửi đi.
Khi bạn yêu cầu bảo mật cho kết nối gửi đến, cần yêu cầu các
máy tính muốn kết nối đến thành viên miền phải thẩm định quyền
đối với thành viên miền đó bằng Kerberos. Nếu máy tính đó
không thẩm định quyền cũng đồng nghĩa kết nối đó sẽ bị thất bại.
Nếu máy tính có thể thẩm định quyền thì kết nối đó sẽ được cho
phép. Rule này cho phép các thành viên có thể thiết lập các kết
nối an toàn với nhau trong khi đó vẫn cho phép các thành viên
miền kết nối với các thành viên không thuộc miền (thành viên
không thể thẩm định quyền).
Điều hướng đến nút Connection Security Rules ở panel bên trái
của Group Policy Editor như những gì bạn đã thực hiện khi tạo
rule trước.
Kích chuột phải vào Connection Security Rules, sau đó
kích New Rule.
Hình 1
Trong trang Rule Type, hãy chọn tùy chọn Isolation và
kích Next.
Hình 2
Trong trang Authentication Method, chọn Default và kích Next.
Hình 3
Trong trang Name, đặt tên cho rule. Trong ví dụ này chúng tôi đặt
là Client/Server Domain Isolation và nhập vào đó chỉ
dẫn Encrypts and secure connections between all machines
that are not DCs or infrastructure servers (DNS, DHCP,
Default Gateway, WINS).
Kích Next.
Hình 4
Lưu ý rule trong danh sách các rule bảo mật kết nối. Bạn có thể sẽ
phân vân liệu chúng ta sẽ gặp phải vấn đề nào đó ở đây không,
vì Client/Server Domain Isolation rule có tất cả các địa chỉ IP,
trong đó có cả các địa chỉ IP của domain controller.
Tuy nhiên điều này không gây ảnh hưởng gì vì các rule được đánh
giá từ cụ thể nhất đến kém cụ thể nhất. Chính vì vậy, rule cụ thể
hơn sẽ được đánh giá trước rule kém cụ thể hơn. Trong trường
hợp hai rule mà chúng ta có ở đây, DC Request Security rule cụ
thể hơn vì Endpoint 2 là một địa chỉ IP cụ thể, còn Client/Server
Domain Isolation rule thì Endpoint 2 là bất kỳ địa chỉ IP nào.
Hình 5
Lưu ý nữa, trong môi trường sản xuất chúng ta cần phải tạo một
số rule ngoại lệ cho một số thiết bị nào đó được miễn thẩm định
quyền. DHCP, DNS, WINS và các địa chỉ gateway mặc định cần
phải được sử dụng bởi các máy không phải là thành viên miền và
như vậy không thể thẩm định quyền bằng Kerberos.
Tạo Firewall Rule để cho phép Ping gửi đến
Để kiểm tra cấu hình, bạn có thể sử dụng lệnh ping để ping đến
máy chủ từ một máy khách Vista nào đó. Để thực hiện, cần phải
cho phép các ping ICMP gửi yêu cầu tới được máy chủ test. Tạo
mọt rule cho phép máy khách Vista có thể ping đến máy chủ bằng
Windows Firewall with Advanced Security MMC.
Trên máy chủ, bạn hãy mở Windows Firewall with Advanced
Security từ Administrative Tools menu.
Bên trái panel giao diện điều khiển Windows Firewall with
Advanced Security, hãy kích chuột phải vào nútInbound
Rules trong panel bên trái và kích tiếp New Rule.
Hình 6
Trong trang Rule Type, chọn tùy chọn Custom và kích Next.
Hình 7
Trong trang Program, chọn tùy chọn All Programs và
kích Next.
Hình 8
Trong trang Protocol and Ports, kích mũi tên chỉ xuống trong
danh sách Protocol Type và chọn tùy chọnICMPv4.
Kích nút Customize. Trong hộp thoại Customize ICMP
Settings, chọn tùy chọn Specific ICMP types. Sau đó hãy tích
vào hộp kiểm Echo Request. Kích OK.
Hình 9
Kích Next trong trang Protocol and Ports.
Hình 10
Trong hộp thoại Scope, sử dụng các thiết lập mặc định cho các
địa chỉ IP từ xa và cục bộ, Any IP address.Kích Next.
Hình 11
Trong trang Action, chọn tùy chọn Allow the connection và
kích Next.
Hình 12
Trong trang Profile, remove các dấu chọn từ các hộp
chọn Private và Public và kích Next.
Hình 13
Trong trang Name, hãy đặt tên cho rule. Trong ví dụ này chúng
tôi đặt tên cho nó là Allow ICMP Request. Sau đó kích Finish.
Hình 14
Bạn có thể thấy Allow ICMP Request rule trong danh sách các
rule gửi đến.
Hình 15
Quan sát hành động của bảo mật kết nối
OK, lúc này chúng ta đã sẵn sàng để xem xem mọi thứ có làm
việc hay không! Hãy vào máy chủ và mở giao diện điều
khiển Windows Firewall with Advanced Security, kích
nút Connection Security Rules trong phần panel bên trái của
giao diện. Bạn cần phải thấy các rule mà mình đã tạo trong Group
Policy. Nếu không thấy các rule này, hãy thực hiện theo hướng
dẫn sau:
Tại domain controller, mở một nhắc lệnh và đánh gpupdate
/force, sau đó nhấn ENTER để cập nhật Group Policy trên
domain controller.
Sau khi cập nhật Group Policy trên domain controller, hãy
cập nhật Group Policy trên máy chủ bằng cách mở một nhắc lệnh
và đánh gpupdate /force, nhấn ENTER để cập nhật Group Policy
cho máy chủ.
Nếu vẫn không thấy làm việc, bạn hãy thử khởi động lại
máy chủ và đăng nhập trở lại.
Sau đó refresh toàn bộ quang cảnh của Connection Security
- Xem thêm -