Cấu hình tường lửa nâng cao trên máy chủ

Informatec Digital » Recursos » Cấu hình tường lửa nâng cao trên máy chủ

Làm chủ Cấu hình tường lửa nâng cao trên máy chủ Vấn đề này không còn chỉ dành cho các tập đoàn lớn nữa. Bất kỳ công ty nào coi trọng an ninh mạng đều cần hiểu cách phân đoạn mạng, xác định vùng, tạo các quy tắc chi tiết và tận dụng tối đa cả tường lửa biên và tường lửa Windows trên mỗi máy tính và máy chủ.

Xuyên suốt hướng dẫn này, bạn sẽ thấy một cách chi tiết cách thức... Tường lửa thế hệ tiếp theo (NGFW)Cách thiết kế các vùng (LAN, WAN, DMZ, VLAN), các loại quy tắc cần áp dụng (chương trình, cổng, giao thức, IP…), cách tận dụng tối đa… Tường lửa Windows với bảo mật nâng caoCác công cụ như SimpleWall đóng vai trò gì, và cần tuân thủ những biện pháp tốt nhất nào để ngăn chặn toàn bộ cấu trúc này trở nên hỗn loạn không thể kiểm soát?

Tường lửa thế hệ tiếp theo trên máy chủ: không chỉ đơn thuần là lọc cổng.

Tường lửa thế hệ tiếp theo, chẳng hạn như FortiGate NGFWChúng kết hợp các chức năng mạng tiên tiến và bảo mật sâu rộng trong một thiết bị duy nhất. Chúng không chỉ mở hoặc đóng cổng; chúng phân tích lưu lượng truy cập ở cấp độ ứng dụng, kiểm tra nội dung được mã hóa và tích hợp với các kiến ​​trúc đám mây, mạng LAN, WLAN và truy cập từ xa phức tạp.

Trong trường hợp của FortiGate, trái tim của hệ thống là FortiOSMột hệ điều hành chuyên dụng thống nhất các chính sách bảo mật và chức năng mạng: SD-WAN tích hợp, ZTNA đa năng, kiểm soát lưu lượng trong mạng không dây và có dây, và quản lý tập trung nhờ FortiManager.

Hơn nữa, các đội này dựa vào... kiến trúc ASIC độc quyền (các chip chuyên dụng) để tăng tốc quá trình kiểm tra và giải mã gói dữ liệu mà không làm giảm hiệu năng hoặc tăng đột biến mức tiêu thụ điện năng, ngay cả khi mạng đang chịu tải nặng và có hàng trăm hoặc hàng nghìn phiên kết nối đồng thời.

Khả năng bảo vệ chống lại các mối đe dọa được tăng cường nhờ Dịch vụ FortiGuardĐiều này bổ sung trí tuệ nhân tạo để phát hiện phần mềm độc hại, lưu lượng truy cập đáng ngờ, các lỗ hổng bảo mật và các cuộc tấn công có chủ đích, tích hợp tất cả vào khái niệm Fortinet Security Fabric: một kiến ​​trúc bảo mật bao gồm mạng lưới, thiết bị đầu cuối và đám mây để phản ứng một cách phối hợp với các sự cố.

Thiết kế vùng tường lửa và phân đoạn mạng trên máy chủ

Trước khi bắt đầu soạn thảo các quy tắc một cách tùy tiện, bạn cần phải thiết kế... kiến trúc quy hoạch và phân đoạn mạngLưới càng phẳng thì tiền đạo càng dễ di chuyển ngang khi đã xâm nhập vào khu vực bên trong.

Bước đầu tiên là xác định tài sản và dịch vụ chínhMáy chủ web, cơ sở dữ liệu, ứng dụng nội bộ, thiết bị bán hàng, tổng đài VoIP, mạng khách, v.v. Tùy thuộc vào mức độ quan trọng và phạm vi ảnh hưởng, chúng được nhóm vào các vùng logic khác nhau.

Một thông lệ phổ biến là tạo ra một DMZ (khu phi quân sự) Đối với các máy chủ cung cấp dịch vụ trực tiếp cho Internet (email, VPN, ứng dụng web, cổng thông tin công cộng, v.v.), các hệ thống này phải được cách ly khỏi cả mạng bên ngoài và mạng nội bộ nhạy cảm nhất, hạn chế tối đa lưu lượng truy cập giữa các khu vực khác nhau.

Các máy chủ chỉ có thể truy cập từ bên trong tổ chức được đặt tại... khu vực máy chủ nội bộCác mạng này được tách biệt khỏi mạng người dùng, mạng quản lý và bất kỳ môi trường phòng thí nghiệm hoặc thử nghiệm nào. Để việc này khả thi, người ta thường sử dụng các thiết bị chuyển mạch có hỗ trợ... VLAN Để duy trì sự tách biệt ở cả cấp độ 2.

Trong môi trường IPv4, tất cả các mạng nội bộ phải sử dụng phạm vi riêng (RFC1918) và dựa vào cơ chế NAT để truy cập Internet. Việc dịch địa chỉ thường được thực hiện tại tường lửa biên, nơi cũng thực thi các chính sách lưu lượng truy cập đến và đi cho từng vùng cụ thể.

Danh sách kiểm soát truy cập (ACL) và các quy tắc liên vùng

Sau khi các vùng đã được định nghĩa và gán cho các giao diện hoặc giao diện con của tường lửa, đã đến lúc... ACL (Danh sách kiểm soát truy cập)Đó là những quy tắc quyết định loại hình giao thông nào được phép và loại nào bị từ chối giữa các khu vực đó.

Ý tưởng là định nghĩa một tập hợp các quy tắc đơn giản nhất có thể cho mỗi giao diện hoặc giao diện con. cụ thể và chi tiết Các yêu cầu có thể bao gồm: địa chỉ IP nguồn hoặc mạng con, địa chỉ IP đích hoặc mạng con, giao thức (TCP, UDP, ICMP, v.v.), các cổng liên quan và hành động (cho phép hoặc từ chối). Các quy tắc càng ít chung chung thì càng ít lỗ hổng bảo mật.

Một cách làm tốt là kết thúc mỗi ACL bằng một quy tắc sau: “phủ nhận mọi thứ” một cách ngầm định.Điều này đóng vai trò như một mạng lưới an toàn: nếu một gói tin không khớp với bất kỳ quy tắc cho phép nào đã tồn tại, nó sẽ bị chặn. Từ đó, các ngoại lệ rất cụ thể được tạo ra cho các luồng thực sự cần thiết.

Cũng nên tắt chức năng này đi. truy cập công khai vào giao diện quản trị của tường lửa (HTTP, HTTPS, SSH, v.v.), chỉ cho phép quản lý từ các mạng nội bộ rất cụ thể hoặc thông qua VPN quản lý an toàn.

Các tường lửa thế hệ mới hiện đại (NGFW) có thể vượt ra ngoài phạm vi cổng và địa chỉ IP, tận dụng... điều khiển ứng dụngCác danh mục web, IPS và phân tích tập tin nâng cao (môi trường biệt lập). Nếu bạn đã trả tiền cho các tính năng này, việc kích hoạt và cấu hình chúng trong các quy trình làm việc quan trọng, đặc biệt là những quy trình vượt qua ranh giới mạng, là điều hợp lý.

Tường lửa cho phép so với tường lửa hạn chế trên máy chủ

Một điểm quan trọng khi thiết kế chính sách tường lửa (cho dù là tường lửa biên hay tường lửa hệ điều hành) là quyết định xem nên bắt đầu từ một tư thế nhất định hay không. cho phép hoặc hạn chế.

Trong một tường lửa cho phép Nguyên tắc ngầm định tối thượng là "cho phép mọi thứ". Chỉ những gì được xác định rõ ràng bởi các quy tắc từ chối mới bị chặn. Cách tiếp cận này thường được sử dụng trên các mạng cục bộ (LAN) đáng tin cậy hoặc trên các máy tính được cấu hình là "mạng riêng" trong Windows.

Trong một tường lửa hạn chế Điều ngược lại xảy ra: quy tắc tối thượng là "từ chối tất cả". Chỉ những lưu lượng truy cập phù hợp với các quy tắc cho phép rõ ràng mới được phép đi qua. Triết lý này phổ biến trong giao diện mạng diện rộng (WAN), trong các tường lửa như pfSense hoặc NGFW của doanh nghiệp, và trong các thiết bị được cấu hình là "mạng công cộng".

Ví dụ, Windows sử dụng theo mặc định chính sách hạn chế đối với các kết nối đến (chặn tất cả những gì không được cho phép rõ ràng) và chính sách nới lỏng đối với các khoản chi tiêu (Nó cho phép mọi thứ ngoại trừ những gì bạn đã chặn.) Bạn có thể điều chỉnh cài đặt này từ thuộc tính nâng cao của tường lửa.

Tường lửa Windows thực sự có thể cung cấp những gì cho máy chủ?

El Tường lửa Windows với bảo mật nâng cao Nó mạnh mẽ hơn nhiều người tưởng. Nó có thể kiểm soát lưu lượng truy cập đến và đi, lọc theo địa chỉ IP, cổng, giao thức, dịch vụ, giao diện mạng, loại cấu hình (miền, riêng tư, công cộng), và thậm chí theo người dùng hoặc nhóm trong một số trường hợp.

Trong số các khả năng của nó, những điểm sau đây nổi bật: lọc gói tin Ở cấp độ thấp, nó tạo ra các nhật ký chi tiết (sau đó có thể được phân tích bằng Trình xem sự kiện hoặc gửi đến SIEM), phát hiện các mạng công cộng để tự động áp dụng cấu hình nghiêm ngặt hơn và tích hợp với các lớp bảo mật khác như Windows Defender.

Đối với các doanh nghiệp nhỏ và nhiều môi trường máy chủ, một máy chủ được cấu hình tốt có thể mang lại nhiều lợi ích. quá đủĐặc biệt hiệu quả khi kết hợp với phần mềm chống virus mạnh mẽ và các biện pháp quản trị tốt. Tuy nhiên, điều quan trọng là phải nhận thức được những hạn chế của nó: nó không thể thay thế cho tường lửa thế hệ mới (NGFW) hoặc hệ thống phát hiện xâm nhập (IPS) chuyên dụng.

Một điểm yếu cần lưu ý là tường lửa Windows không cung cấp tính năng này theo mặc định. kiểm tra gói sâu Với các chữ ký nâng cao, nó không tự động chặn dữ liệu đo từ xa của hệ thống, thông báo của nó khá kín đáo (hầu như không báo cho bạn biết về các kết nối mới) và cách xem nhật ký không thân thiện với người dùng không chuyên về kỹ thuật.

Truy cập vào Tường lửa Windows với bảo mật nâng cao.

Để quản lý các cài đặt tường lửa nâng cao trong môi trường của Miền Active DirectoryLý tưởng nhất là nên làm việc với GPO (Đối tượng chính sách nhóm)Điều cần thiết là phải thuộc nhóm Quản trị viên miền hoặc có quyền được ủy quyền trên các Chính sách nhóm (GPO).

Từ bảng điều khiển quản lý chính sách, bạn điều hướng qua... Chính sách > Cấu hình máy tính > Cài đặt Windows > Cài đặt bảo mật > Tường lửa Windows với bảo mật nâng caoTại đó, các quy tắc chung có thể được định nghĩa cho máy tính khách và máy chủ tham gia vào miền.

Nếu nó về một máy chủ đơn lẻ hoặc máy tính cục bộBạn chỉ cần quyền quản trị trên thiết bị đó. Cách nhanh nhất để mở bảng điều khiển là nhấn START và nhập wf.msc và nhấn Enter. Bảng điều khiển Tường lửa Windows với tính năng bảo mật nâng cao dành cho máy tính đó sẽ mở ra.

Màn hình chính hiển thị quy tắc đến, quy tắc đi, quy tắc bảo mật kết nối và cấu hình của các hồ sơ khác nhau (miền, riêng tư, công cộng), cùng với khu vực giám sát nơi chỉ hiển thị các quy tắc đang hoạt động.

Hồ sơ, chính sách toàn cầu và hành vi mặc định

Bảng thuộc tính tường lửa kiểm soát các tùy chọn chung cho từng tường lửa. hồ sơ mạng (miền, riêng tư, công cộng). Các tùy chọn này xác định cách tường lửa hoạt động khi bộ điều hợp mạng được liên kết với một loại mạng cụ thể.

Với mỗi cấu hình, bạn có thể quyết định bật hoặc tắt tường lửa. bật hoặc tắtLiệu các kết nối đến không phù hợp với bất kỳ quy tắc nào có bị chặn hay cho phép, và điều tương tự cũng áp dụng cho các kết nối đi.

Các thông số như sau cũng có thể được điều chỉnh: thông báo khi chặn một chương trình, vị trí nơi mà nhật ký tường lửa, kích thước tối đa của các bản ghi đó và cách xử lý đặc biệt đối với lưu lượng truy cập được bảo vệ bởi các đường hầm VPN IPsec, điều này thường được coi là đáng tin cậy hơn.

Trong Giám sát Tất cả các quy tắc hiện đang hoạt động đều được hiển thị, bao gồm cả các quy tắc từ Đối tượng Chính sách Nhóm (GPO) và các quy tắc được định nghĩa cục bộ. Đây là nơi bạn có thể xem quy tắc nào đang thực sự hoạt động và với những tham số nào, từ đó bạn có thể mở và chỉnh sửa thuộc tính của chúng.

Quy tắc ra vào: hướng giao thông

Khi làm việc với các quy tắc trong tường lửa Windows, một trong những lỗi phổ biến nhất là gây nhầm lẫn hướng giao thôngCác quy tắc đến áp dụng cho các gói dữ liệu đến máy tính; các quy tắc đi áp dụng cho các gói dữ liệu rời khỏi máy tính để đến một máy khác.

Nếu mục tiêu là ngăn chặn các kết nối từ Internet đến máy chủ, thì cần phải tạo hoặc sửa đổi... quy tắc nhập cảnhNgược lại, nếu mục tiêu là ngăn chặn một dịch vụ hoặc chương trình máy chủ kết nối với bên ngoài, thì cần phải thực hiện hành động trên... quy tắc thoát.

Mỗi mục trong danh sách cho biết quy tắc đó được bật (biểu tượng dấu tích màu xanh lá cây) hay bị tắt. Các quy tắc bị tắt sẽ không ảnh hưởng đến lưu lượng truy cập, mặc dù chúng vẫn được định nghĩa. Thường thấy nhiều quy tắc Windows được định sẵn nhưng không hoạt động cho đến khi cần thiết.

Để hiểu rõ hơn về luồng nguồn/đích và cảng địa phương/từ xa Điều này rất cần thiết để tránh tạo ra các quy tắc không bao giờ được áp dụng hoặc mở ra nhiều quyền hạn hơn mức cần thiết, một điều rất phổ biến khi cấu hình các dịch vụ phức tạp.

Các loại quy tắc trong Tường lửa Windows

Trình hướng dẫn thiết lập quy tắc mới của Tường lửa Windows cung cấp bốn danh mục chính: chương trình, cổng, được định sẵn và tùy chỉnhMỗi loại được thiết kế cho một tình huống khác nhau, và điều quan trọng là phải lựa chọn cẩn thận tùy thuộc vào mục tiêu bạn muốn đạt được.

Các quy tắc của chương trình tập trung vào một tệp thực thi cụ thể; những tệp của hải cảng Chúng lọc theo số cổng TCP hoặc UDP; xác định trước Chúng đơn giản hóa việc quản lý các dịch vụ Windows quen thuộc; và cá nhân hóa Chúng cho phép tinh chỉnh rất chi tiết bằng cách kết hợp nhiều tiêu chí cùng một lúc.

Trong mọi trường hợp, trình hướng dẫn kết thúc bằng cách hỏi chúng ta muốn áp dụng hành động nào (cho phép, chỉ cho phép nếu được bảo mật bằng IPsec, hoặc chặn) và quy tắc đó sẽ áp dụng cho cấu hình mạng nào (miền, riêng tư, công cộng). Cuối cùng, một tên và mô tả để có thể dễ dàng xác định sau này.

Trên các máy chủ quan trọng, nên dành thời gian để ghi chép lại các quy tắc một cách đầy đủ, chỉ rõ điều đó. Nó bảo vệ dịch vụ nào và tại sao nó lại tồn tại?để trong các cuộc kiểm toán hoặc thay đổi trong tương lai sẽ không còn nghi ngờ gì về tính hữu ích của nó.

Quy tắc theo chương trình: kiểm soát chặt chẽ các dịch vụ cụ thể

Quy tắc kiểu chương trình Chúng là một cách thuận tiện để kiểm soát lưu lượng truy cập của ứng dụng mà không cần phải nhớ tất cả các cổng mà ứng dụng sử dụng. Chúng có thể được áp dụng cho cả lưu lượng truy cập đến và đi.

Trong trình hướng dẫn, chọn tùy chọn "Đường dẫn chương trình này" và chỉ định... đường dẫn tệp thực thiCó thể sử dụng các biến môi trường để đảm bảo rằng quy tắc được áp dụng chính xác ngay cả khi chương trình được cài đặt ở các đường dẫn khác nhau trên các máy tính khác nhau.

Trên các máy chủ lưu trữ dịch vụ bên trong svchost.exe Đối với các container đa dịch vụ khác, bạn có thể tùy chỉnh quy tắc để chỉ áp dụng cho các dịch vụ cụ thể bằng cách chọn dịch vụ theo tên viết tắt của nó. Điều này cho phép bạn phân biệt, ví dụ, lưu lượng truy cập của một dịch vụ RPC cụ thể trong cùng một tiến trình.

Bạn nên kết hợp quy tắc chương trình với các hạn chế trong tab của Giao thức và cổngChỉ định rõ ràng các cổng mà ứng dụng đó có thể lắng nghe hoặc sử dụng. Nếu bạn cố gắng mở một cổng khác, tường lửa sẽ chặn nó.

Quy tắc cổng: lọc TCP/UDP cổ điển

Quy tắc kiểu hải cảng Chúng cho phép bạn cho phép hoặc chặn lưu lượng truy cập dựa trên số cổng cục bộ hoặc từ xa và giao thức (chủ yếu là TCP hoặc UDP). Chúng có thể được sử dụng cho cả quy tắc đến và đi.

Ví dụ, trong một quy tắc đến điển hình để mở, thì... Cổng TCP 21Bạn chọn TCP, chọn "các cổng cục bộ cụ thể" và nhập 21. Có thể chỉ định nhiều cổng được phân cách bằng dấu phẩy (ví dụ: 21,20,22) hoặc các dải cổng như 5000-5100, thậm chí kết hợp các cổng và dải cổng riêng lẻ trong cùng một quy tắc.

Tiếp theo, bạn quyết định hành động (cho phép, cho phép nếu an toàn, chặn) và các cấu hình sẽ được áp dụng. Đây là một cách đơn giản để mở một số dịch vụ tiêu chuẩn (HTTP, HTTPS, RDP, v.v.) mà không cần đi sâu vào chi tiết của các chương trình cụ thể.

Trong trường hợp quy tắc thoátCách làm phổ biến nhất là chỉ định cổng từ xa, vì đây là đích đến mà máy chủ cố gắng kết nối. Một trường hợp sử dụng điển hình là chặn tất cả lưu lượng truy cập đi ra đến các cổng đáng ngờ hoặc hạn chế một số ứng dụng nhất định chỉ giao tiếp trên các cổng rất cụ thể.

Các quy tắc được xác định trước và tùy chỉnh

các quy tắc được xác định trước Chúng nhóm các cấu hình có sẵn cho các dịch vụ Windows thông dụng (Chia sẻ tệp và máy in, Máy tính từ xa, v.v.). Chỉ cần chọn dịch vụ, cho biết có cho phép hay chặn dịch vụ đó không, chọn cấu hình và thế là xong.

Tùy chọn này rất tiện lợi khi bạn muốn nhanh chóng bật hoặc hạn chế một dịch vụ nội bộ mà không cần phải tìm hiểu xem dịch vụ đó sử dụng cổng và giao thức nào trong từng trường hợp. Về cơ bản, hệ thống sẽ tạo ra một số quy tắc cụ thể bao trùm dịch vụ đó.

các những nguyên tắc tập quán Đây là những tùy chọn toàn diện nhất và cung cấp khả năng kiểm soát cao nhất. Chúng cho phép bạn chỉ định tất cả các tham số: chương trình (hoặc tất cả các chương trình), loại dịch vụ, giao thức IP (với danh sách TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route, v.v.), sự kết hợp giữa các cổng cục bộ và từ xa, địa chỉ IP nguồn và đích (bao gồm cả phạm vi và mạng con), và các điều kiện bổ sung.

Trong các giao thức như ICMPv4 hoặc ICMPv6, bạn có thể lựa chọn xem có nên Chúng hỗ trợ tất cả các loại ICMP. hoặc chỉ một số thông báo nhất định (yêu cầu phản hồi, trả lời phản hồi, hết thời gian, v.v.). Bạn thậm chí có thể định nghĩa các loại và mã cụ thể không xuất hiện trong danh sách chung.

Ngoài ra, khi xác định địa chỉ IP trong phần phạm vi, trình hướng dẫn cho phép thêm toàn bộ phạm vi hoặc mạng con (ví dụ: 192.168.10.0/24) để thu hẹp hơn nữa phạm vi các thiết bị có thể sử dụng quy tắc đó, cả cục bộ và từ xa.

Các quy tắc ICMP đến trên máy chủ

Việc có cho phép lưu lượng ICMP đến máy chủ hay không là một quyết định chiến lược. quy tắc ICMP đến Nó cho phép thiết bị phản hồi các tín hiệu ping và một số thông báo chẩn đoán mạng nhất định, điều này rất hữu ích cho các tác vụ quản trị, nhưng cũng có thể cung cấp thông tin cho kẻ tấn công.

Để tạo quy tắc ICMP đến trong tường lửa Windows, hãy mở bảng điều khiển nâng cao, sau đó vào... Quy tắc nhập cảnh và một quy tắc tùy chỉnh mới được tạo ra. Trong phần chương trình, bạn thường chọn "Tất cả chương trình".

Trên màn hình giao thức, hãy chọn ICMPv4 hoặc ICMPv6 Điều này phụ thuộc vào ngăn xếp mạng được sử dụng. Nếu bạn đang làm việc với cả IPv4 và IPv6, bạn sẽ cần tạo một quy tắc cho mỗi loại. Tùy chọn tùy chỉnh cho phép bạn chọn các loại ICMP cụ thể mà bạn muốn cho phép (chỉ yêu cầu/phản hồi echo, hoặc một tập hợp rộng hơn).

Tiếp theo, phạm vi (các địa chỉ IP nào có thể được ping), hành động (thường là cho phép kết nối) và cấu hình mạng mà quy tắc sẽ có hiệu lực được xác định. Cuối cùng, một tên mô tả được gán cho quy tắc để dễ nhận biết.

Quy tắc dịch vụ hoặc chương trình đến và đi

Trong một số trường hợp, mong muốn là để cho một Dịch vụ cụ thể, lắng nghe lưu lượng truy cập đến cho phép chương trình truy cập vào bất kỳ cổng nào cần thiết, hoặc ngược lại: ngăn chặn chương trình giao tiếp với thế giới bên ngoài thông qua bất kỳ cổng nào.

Đối với phần đầu vào, một quy tắc tùy chỉnh được tạo, "Đường dẫn chương trình này" được chọn và tệp thực thi dịch vụ được chỉ định. Sau đó, có thể tùy chỉnh để quy tắc chỉ áp dụng cho các dịch vụ được lưu trữ trong tệp thực thi đó, bằng cách chọn dịch vụ theo tên viết tắt của nó.

Thậm chí còn có tùy chọn để điều chỉnh loại SID dịch vụ sử dụng lệnh sc sidtype Điều này ảnh hưởng đến cách dịch vụ đó có thể được sử dụng trong các quy tắc tường lửa. Việc thay đổi nó thành RESTRICTED có thể ngăn dịch vụ khởi động, vì vậy cần thực hiện cẩn thận và chỉ khi thực sự cần loại bảo vệ này.

Đối với phần xuất hàng, quy trình tương tự nhưng tạo ra một quy tắc thoátNếu bạn muốn chặn hoàn toàn chương trình đó truy cập Internet, hãy xác định đường dẫn đến tệp thực thi, đặt hành động là "Chặn kết nối" và chọn các cấu hình bạn muốn hạn chế.

Cấu hình đặc biệt cho RPC và cổng động

Các dịch vụ sử dụng RPC (Cuộc gọi thủ tục từ xa) Lưu lượng truy cập này có thể đặc biệt nhạy cảm vì chúng sử dụng các cổng động do hệ thống chỉ định trong quá trình hoạt động. Để cho phép lưu lượng truy cập này đi qua tường lửa Windows một cách có kiểm soát, thông thường cần phải tạo hai quy tắc cụ thể.

Người đầu tiên tiến đến Dịch vụ gán điểm cuối RPCTệp này nằm trong thư mục %systemroot%\system32\svchost.exe. Quy tắc được tùy chỉnh để áp dụng cho dịch vụ RpcSs, giao thức được đặt là TCP và tùy chọn "RPC Endpoint Mapper" được chọn cho cổng cục bộ.

Quy tắc thứ hai được tạo ra cho Dịch vụ mạng hỗ trợ RPC Chúng ta muốn cho phép truy cập bằng cách chỉ định đường dẫn đến tệp thực thi chứa nó, đồng thời liên kết nó với dịch vụ cụ thể đó. Trong trường hợp này, "cổng động RPC" được chọn cho cổng cục bộ.

Trong cả hai quy tắc, phạm vi (các địa chỉ IP được cho phép), hành động (cho phép kết nối) và cấu hình đều được điều chỉnh. Bằng cách này, chỉ các thiết bị và dịch vụ đáp ứng các điều kiện này mới có thể tận dụng tính năng chuyển tiếp cổng RPC.

Ghi nhật ký, kiểm tra và khắc phục sự cố tường lửa Windows

Khi có sự cố xảy ra, nhật ký tường lửa và các sự kiện kiểm tra là bằng chứng cho thấy điều đó. nguồn thông tin đầu tiênNên cấu hình việc thu thập nhật ký đúng cách trước khi bạn cần sử dụng nó.

Trong thuộc tính tường lửa, trên mỗi tab cấu hình, bạn có thể tùy chỉnh... đường dẫn tệp nhật kýKích thước tối đa tính bằng KB, và liệu có ghi lại các gói tin bị mất, kết nối thành công, hay cả hai. Trong môi trường máy chủ, thường nên ghi lại cả hai để có cái nhìn tổng quan rõ ràng.

Mặt khác, với công cụ dòng lệnh auditpol.exe Có thể kích hoạt các tiểu mục kiểm toán cụ thể, chẳng hạn như thay đổi chính sách, để hệ thống tạo ra các sự kiện chi tiết khi chính sách tường lửa hoặc IPsec được sửa đổi.

Khi điều tra một vấn đề, việc thu thập trạng thái mạng sẽ rất hữu ích. netstat -ano > netstat.txt và danh sách các quy trình với danh sách nhiệm vụ > danh sách nhiệm vụ.txtBằng cách đối chiếu PID của các tiến trình trong tasklist với các kết nối đang hoạt động trong netstat, người ta có thể tìm ra chương trình nào đang sử dụng một cổng cụ thể.

Trong các trường hợp phức tạp, Microsoft cung cấp các tập lệnh như sau: TSS.ps1 Thu thập các dấu vết nâng cao của Công cụ Lọc Windows (WFP), sau đó đóng gói chúng vào một tệp ZIP và có thể được phân tích hoặc gửi đến bộ phận hỗ trợ kỹ thuật.

Công cụ bên ngoài: SimpleWall và các tường lửa của bên thứ ba

Tường lửa tích hợp sẵn trong Windows hoạt động tốt, nhưng thường bị người dùng bỏ qua. một giao diện trực quan hơn và các thông báo rõ ràng khi một ứng dụng cố gắng truy cập internet lần đầu tiên. Đó là lúc các giải pháp của bên thứ ba phát huy tác dụng.

Một trong những lựa chọn mã nguồn mở, dung lượng thấp dành cho Windows là tường đơn giảnNó dựa vào Nền tảng Lọc Windows (WFP) nhưng không trực tiếp sửa đổi Tường lửa Windows. Thay vào đó, nó tạo ra các quy tắc riêng thông qua WFP để kiểm soát ứng dụng nào có quyền truy cập.

Trong số các tính năng của nó có: trình soạn thảo quy tắc đơn giảnCác danh sách nội bộ để chặn việc thu thập thông tin và theo dõi của Windows, nhật ký gói tin bị chặn, hỗ trợ IPv6 và hỗ trợ các dịch vụ hệ thống cũng như ứng dụng Microsoft Store.

SimpleWall cho phép bạn tạo các quy tắc vĩnh viễn hoặc tạm thời (sẽ biến mất sau khi khởi động lại), kích hoạt bộ lọc trên toàn hệ thống và phân loại chương trình là được phép, bị chặn hoặc bị chặn ngầm. Tuy nhiên, để các quy tắc của bạn có hiệu lực, SimpleWall phải đang chạy ngầm.

Ngoài SimpleWall, một số người dùng lựa chọn... tường lửa thương mại Với nhiều tính năng hơn: kiểm tra gói tin chuyên sâu, danh sách chống theo dõi được cấu hình sẵn, hộp cát, phân tích hành vi, bảng điều khiển đồ họa nâng cao và khả năng hiển thị được cải thiện về lưu lượng truy cập đi ra. Nhiều sản phẩm trong số này tích hợp với Tường lửa Windows hoặc thay thế một phần cho nó.

Hiệu năng, ưu điểm và nhược điểm của việc sử dụng tường lửa trên máy chủ

Việc sử dụng tường lửa, dù là ở cấp độ mạng biên hay hệ điều hành, đều có một số hạn chế nhỏ. chi phí trong hiệu suấtVì mỗi gói dữ liệu mạng được phân tích dựa trên một hoặc nhiều quy tắc. Điều này có thể dễ nhận thấy trên các thiết bị có phần cứng rất hạn chế hoặc rất cũ. Hãy kiểm tra... Hướng dẫn tối ưu hóa máy chủ Linux để giảm thiểu tác động.

Tuy nhiên, lợi thế của việc sở hữu một rào cản phòng thủ đầu tiên Chức năng này vô cùng quan trọng: nó giúp giảm thiểu nguy cơ bị tấn công từ bên ngoài, kiểm soát các ứng dụng có thể kết nối từ bên ngoài, tạo ra nhật ký hữu ích cho việc kiểm toán và điều chỉnh mức độ bảo vệ tùy thuộc vào việc bạn đang sử dụng mạng đáng tin cậy hay mạng công cộng.

Những nhược điểm chính, ngoài ảnh hưởng đến hiệu suất, là: độ phức tạp bảo trì (đặc biệt đối với người dùng thiếu kinh nghiệm) và cảm giác an toàn giả tạo: tường lửa không thể thay thế phần mềm diệt virus tốt, cập nhật hệ thống, hoặc tất nhiên, sự hiểu biết thông thường của người quản trị.

Hơn nữa, việc quản lý quy tắc đúng cách cần thời gian: xem xét những quy tắc đang được sử dụng, loại bỏ các quy tắc lỗi thời, ghi lại các thay đổi và xác minh rằng không có lỗ hổng nào vô tình bị bỏ sót khi thực hiện các thử nghiệm nhanh hoặc các ngoại lệ tạm thời.

Các biện pháp thực hành tốt nhất nâng cao về bảo mật tường lửa trên máy chủ

Trong môi trường máy chủ chuyên nghiệp, chỉ thiết lập bốn quy tắc rồi bỏ mặc là chưa đủ. Có rất nhiều yếu tố khác cần xem xét. thực hành tốt giúp duy trì sự kiểm soát và giảm thiểu rủi ro dài hạn.

Đầu tiên là áp dụng nguyên tắc đặc quyền tối thiểu (PoLP)Điều này áp dụng cho cả người dùng và các quy tắc. Nó tránh các quy tắc chung chung như "cho phép mọi thứ từ bất kỳ địa chỉ IP nào" và thay vào đó xác định các quy tắc được thiết kế riêng cho các địa chỉ IP hoặc mạng con cụ thể, các cổng cụ thể và các ứng dụng đã biết.

Một yếu tố quan trọng khác là bảo trì tường lửa và các thành phần của nó. luôn cập nhậtQuá trình này bao gồm việc áp dụng các bản vá hệ điều hành, phần mềm tường lửa vật lý, chữ ký IPS và bất kỳ bản cập nhật nào do nhà cung cấp phát hành, tốt nhất là sau khi đã thử nghiệm trong môi trường thử nghiệm.

Cuối cùng, việc triển khai là rất cần thiết. giám sát và ghi chép hiệu quảGửi nhật ký đến hệ thống SIEM, thiết lập cảnh báo cho các mẫu đáng ngờ (ví dụ: nhiều gói tin bị chặn từ cùng một địa chỉ IP) và định kỳ xem xét các báo cáo, chứ không chỉ thu thập chúng "phòng trường hợp".

Ngoài lớp logic, Bảo mật vật lý Các tính năng quan trọng của tường lửa bao gồm: thiết bị được đặt trong tủ rack kín, hạn chế quyền truy cập vào phòng kỹ thuật và sao lưu cấu hình để cho phép khôi phục nhanh chóng nếu có sự cố xảy ra sau khi thay đổi.

Các lớp bổ sung: Lọc URL, VPN, IPS, QoS và kiểm soát ứng dụng.

Hầu hết các tường lửa thế hệ mới (NGFW) hiện đại cho phép bạn kích hoạt các tính năng nâng cao bổ sung cho tính năng lọc gói cơ bản và các quy tắc IP/cổng.

El Lọc URL Nó cho phép bạn phân loại các trang web theo danh mục (phần mềm độc hại, mạng xã hội, nội dung người lớn, tải xuống P2P, v.v.) và chặn những trang web được coi là không phù hợp hoặc nguy hiểm, giúp tăng cường bảo mật và thực thi các chính sách sử dụng hợp lý.

các VPNCho dù là kết nối giữa các địa điểm hay truy cập từ xa, VPN đều dựa vào các giao thức như IPsec hoặc SSL/TLS để mã hóa lưu lượng truy cập giữa các văn phòng và người dùng từ xa. Tường lửa thường tích hợp chức năng chấm dứt các VPN này và áp dụng cùng các chính sách kiểm soát cho lưu lượng truy cập được mã hóa như đối với phần còn lại của mạng.

Un Hệ thống ngăn chặn xâm nhập (IPS) Nó kiểm tra lưu lượng truy cập trong thời gian thực để tìm kiếm các kiểu tấn công đã biết hoặc hành vi bất thường, và có thể tự động chặn các kết nối cố gắng khai thác các lỗ hổng hệ thống hoặc ứng dụng.

El điều khiển ứng dụng Nó cung cấp khả năng hiển thị toàn diện hơn nhiều so với chỉ hiển thị cổng: nó cho phép bạn quyết định ứng dụng cụ thể nào (ví dụ: Skype, Dropbox, ứng dụng trò chơi, v.v.) được phép hoặc bị chặn, ngay cả khi chúng sử dụng cổng tiêu chuẩn hoặc cổng được mã hóa.

Cuối cùng là Chất lượng dịch vụ (QoS) Nó cho phép ưu tiên lưu lượng truy cập quan trọng (thoại, hội nghị truyền hình, ứng dụng doanh nghiệp) so với các luồng ít quan trọng hơn, ngăn chặn tình trạng tải xuống hoặc sao lưu dữ liệu lớn làm tê liệt mạng lưới đối với người dùng cuối.

Hãy chăm sóc thật kỹ Cấu hình tường lửa nâng cao trên máy chủTừ thiết kế vùng và các quy tắc chi tiết đến việc sử dụng các chức năng thế hệ tiếp theo, ghi nhật ký, kiểm toán và các công cụ như SimpleWall hoặc NGFW chuyên dụng, tất cả tạo nên sự khác biệt giữa một mạng lưới "chỉ đáp ứng tạm ổn" và một cơ sở hạ tầng thực sự sẵn sàng chống lại các cuộc tấn công, phát triển mà không mất kiểm soát và đáp ứng các yêu cầu bảo mật hiện tại.