Giới thiệu

Từ khi giới thiệu về tường lửa đầu tiên tích hợp vào hệ thống vận hành (Internet Connection Firewall) của Windows XP, Microsoft đã củng cố mạnh mẽ tường lửa trong mỗi phiên bản của Windows sau đó.

Trong khi Windows Firewall có trong cả OS mới nhất của khách hàng, Windows 7 là sự cách mạng chứ không chỉ là sự cải tiến, nó cung cấp một số cải tiến giúp thân thiện với người dùng hơn và ít nhất đã có một thay đổi lớn làm nên điểm khác biệt với người dùng di động. Trong bài này, chúng ta sẽ xem qua Windows Firewall trong Windows 7 và chỉ cho các bạn cách cấu hình nó với nhiều nguyên tắc kích hoạt tưởng lửa phức tạp.

Sự tiến hoá của Windows Firewall

Phần mềm tường lửa ở Windows XP đơn giản và thô sơ và chỉ bảo vệ các traffic đến, khoá bất kì kết nối nào hướng vào mà không phải do máy tính của bạn được mở - và sẽ tắt đi mặc định. Service Pack 2 sẽ mở nó một cách mặc định và giúp quản trị viên có thể kích hoạt nó qua Group Policy. Tường lửa Vista được tích hợp vào Windows Filtering Platform (WFP) và thêm vào khả năng lọc các traffic hướng ra thông qua snap-in Advanced Security MMC. Cùng với Windows 7, Microsoft đã cải tiến tường lửa hơn và làm nó dễ sử dụng hơn, đặc biệt là các máy tính di động, bằng cách thêm vào hỗ trợ cho các chính sách kích hoạt tường lửa phức tạp.

Giới thiệu về Windows 7 Firewall

Cũng như Vista, những cài đặt cơ bản cho tường lửa Windows 7 cũng có thể truy cập thông qua applet Control Panel. Không giống Vista, bạn cũng có thể truy cập vào các cài đặt nâng cao (bao gồm cấu hình để lọc các kết nối ngoài) thông qua Control Panel thay vì phải tạo một MMC trống và thêm vào một snap-in. Chỉ cần chuột trái vào đường dẫn Advanced Settings ở bảng điều khiển bên trái như trong hình 1.

Hình 1: Trong Windows 7, bạn có thể đến được các cài đặt nâng cao thông qua Control Panel

Thêm các option ở network

Tường lửa Vista cho phép bạn chọn hoặc là mạng công cộng hoặc là mạng riêng tư. Với Windows 7, bạn có 3 lựa chọn - mạng chung, mạng tại nhà và mạng làm việc. Hai chọn lựa sau cũng được xem như mạng riêng.

Nếu bạn chọn mục "home network", bạn có thể cài đặt Homegroup. Trong trường hợp này, network discovery sẽ tự động mở để bạn có thể nhìn thấy các máy và thiết bị khác có trong hệ thống và họ cũng sẽ thấy được bạn. Các máy thuộc về Homegroup có thể chia sẻ hình ảnh, nhạc, video và các tài liệu cũng như có thể chia sẻ các thiết bị phần cứng khác như máy in. Nếu có các folder mà bạn không muốn chia sẻ, bạn có thể loại nó ra.

Nếu bạn chọn "work network", network discovery sẽ được bật mặc định để bạn không thể tạo ra hay tham gia vào Homegroup nào. Nếu bạn nối máy tính đến một tên miền Windows (thông qua tab Control Panel | System | Advanced System Settings | Computer Name) và được chứng nhận đến các DC, thì tường lửa sẽ tự động nhận diện network như là một domain network.

"Public network" là một chọn lựa phù hợp nếu bạn đang được kết nối với một mạng wifi công cộng ở sân bay, khách sạn, cửa hàng café hay dùng một mạng băng thông rộng trên điện thoại. Network discovery sẽ được mặc định tắt đi để những máy tính khác trong network đó không thể nhìn thấy máy của bạn và bạn sẽ không thể tạo ra hay thuộc vào một Homegroup nào.

Với tất cả các network trên, mặc định là tường lửa Windows 7 sẽ khoá các kết nối đến các chương trình không nằm trong danh sách các chương trình được cho phép. Windows 7 chỉ cho phép bạn cấu hình lại những cài đặt cho mỗi hệ thống mạng riêng biệt, như hình 2

Hình 2: Windows 7 cho phép bạn cấu hình riêng biệt cho mỗi dạng network
Multiple Active Profiles

Với Vista, mặc dù bạn có profiles cho cả hệ thống mạng công cộng và cá nhân, chỉ có một trong số chúng được phép active một lúc. Nếu máy tính bạn tình cờ kết nối với cả 2 hệ thống mạng khác nhau, thì bạn xui xẻo rồi. Profile giới hạn nhất sẽ áp dụng cho tất cả các kết nối, có nghĩa là bạn sẽ không thể làm gì bạn muốn làm trên mạng cá nhân bởi vì bạn đang thao tác theo nguyên tắc của hệ thống mạng công cộng. Với Windows 7 (và Server 2008 R2), một profiles khác có thể kích hoạt cho mỗi adapter của mỗi hệ thống mạng. Kết nối đến mạng cá nhân là đối tượng của các nguyên tắc mạng cá nhân khi các traffic đến hay đi khỏi cộng đồng mà những nguyên tắc này đã áp dụng.

Những điều nhỏ nhặt cần tính đến

Trong nhiều trường hợp, tính khả dụng tốt hơn lại nằm ở những thay đổi nhỏ và Microsoft đã lắng nghe khách hàng và lồng ghép những "điều nhỏ nhặt cần tính đến" vào tường lửa Windows 7. Ví dụ, ở Vista khi bạn tạo ra các nguyên tắc cho tường lửa, bạn phải liệt kê các số cổng và địa chỉ IP riêng lẻ. Bây giờ, bạn có thể xác định các vùng, giúp giảm bớt thời gian thực hiện nhiệm vụ quản trị quen thuộc này.

Bạn cũng có thể tạo ra các nguyên tắc kết nối an ninh giúp xác định cổng nào hay giao thức nào là đối tượng của điều kiện IPsec ngay bên phải console tường lửa, thay vì dùng lệnh netsh. Với những người thích GUI, thì đây là cải thiện thuận lợi.

Các nguyên tắc kết nối an ninh cũng hỗ trợ việc mã hoá khá tích cực. Điều đó có nghĩa là nếu một server nhận được một tin nhắn chưa được mã hoá (nhưng đã được chứng nhận) từ máy khách, liên kết bảo mật sẽ thoả thuận để yêu cầu mã hoá, để bảo mật hơn cho việc giao tiếp của các máy.

Cấu hình profiles với Advanced Settings

Dùng console Advanced Settings, bạn có thể cấu hình lại các mục cho profiles của mỗi dạng hệ thống mạng, như trong hình 3

Hình 3: bạn có thể cấu hình lại các mục cho mỗi profiles dùng console

Với mỗi profile, bạn có thể cấu hình các mục sau

• Tình trạng bật/tắt của tường lửa Windows

• Kết nối hướng ra ngoài (khoá, khoá tất cả các kết nối, hay cho phép)

• Kết nối vào trong (cho phép hay khoá)

• Hiển thị thông báo (khi một chương trình bị khoá thì có hay không hiển thị thông báo)

• Cho phép phản ứng từ unicast đến các traffic multicast và băng thông rộng

• Áp dung nguyên tắc tường lửa tạo ra bởi các quản trị viên cục bộ vào các nguyên tắc tường lửa Group Policy

• Cho phép các quản trị viên cục bộ tạo các nguyên tắc an ninh cho các kết nối cục bộ thêm vào các nguyên tắc an ninh Group Policy.

Logging

Tường lửa Vista có thể được cấu hình để event log vào một file (mặc định, là Windows\System32\LogFiles\Firewall\pfirewall.log). Trong Windows 7, event cũng đăng nhập vào Event Viewers Applications và mục Services, giúp nó dễ truy cập hơn. Để truy cập vào log này, mở Event Viewer và ở cửa sổ bên trái, click vào Applications và Services Log | Microsoft | Windows | Windows Firewall với Advanced Security, như hình 4

Hình 4: Windows 7 log tường lửa ở Event Viewer firewall events in the as well as a file

Ở log Event Viewer bạn có thể tạo một view chuẩn, lọc log, tìm kiếm log hay kích hoạt logging dài dòng In the log, you can create a custom view, filter the log, search the log or enable verbose logging.

Lệnh Netsh

Windows 7 chứa các nội dung netsh firewall cho việc tương thích theo chiều ngược lại, nếu bạn chạy nó, bạn sẽ nhận được một thông báo nói rằng "IMPORTANT "netsh firewall" is deprecated ; dùng netsh advfirewall firewall để thay thế.

Tóm tắt

The Windows 7 Firewall cải tiến rất nhiều trong cả Windows Vista, đưa những tính năng giấu mặt ra ngoài. Nhiều người dùng, bao gồm cả những IT chuyên nghiệp, cũng không nhận ra là bạn có thể lọc các traffic outbound, giám sát và ngoài ra còn thực hiện các nhiệm vụ cấu hình nâng cao cho tường lửa Vista, bởi vì không có cái nào trong số chúng có thể nhìn thấy từ applet của tường lửa ở Control Panel. Ở Windows 7, Microsoft đã tạo ra một tường lửa host tích hợp sẵn hữu dụng hơn cả những bậc tiền bối của nó và bây giờ sở hữu một sản phẩm có phương pháp thay thế có thể dùng được cho tường lửa host cho bên thứ ba.