Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Tin Tức F.A.Q Lịch Khai Giảng Học Phí Việc Làm Liên Hệ

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > THÔNG BÁO - TIN TỨC - TUYỂN DỤNG > KHO LAB NHẤT NGHỆ
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc

KHO LAB NHẤT NGHỆ Tập trung các bài LAB, hướng dẫn bằng hình ảnh, video, flash.

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Ðề tài đã khoá
 
Ðiều Chỉnh
  #1  
Old 18-01-2008, 08:19
Mr.Hieu's Avatar
Mr.Hieu Mr.Hieu vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Oct 2006
Nơi Cư Ngụ: Seattle - WA
Tuổi: 28
Bài gởi: 1,312
Thanks: 13
Thanked 640 Times in 124 Posts
Deploying Policies for Windows Firewall

Deploying Policies for Windows Firewall with Advanced Security

I. Giới thiệu: Tường lửa trong Windows Server 2003 SP1 đã trở thành lựa chọn thiết yếu cho các máy chủ mặc dù nó mới chỉ chặn được các tấn công vào. Trong Windows Server 2008 thì việc cài đặt sẵn tường lửa đã được nâng cấp lên rất nhiều, được Microsoft gọi là “Windows Firewall with Advanced Security”.

II. Mục đích:
Windows Firewall with Advanced Security (WFAS) là một nhân tố quan trọng trong chiến lược phòng thủ có chiều sâu, để bảo vệ các máy tính trong hệ thống. Hiện nay, nhiều công ty bảo mật mạng sử dụng phương pháp "đề phòng từ ngoài/chủ quan ở bên trong". Họ thiết lập một hàng rào bao bọc mạng bằng tường lửa và các hệ thống IPS nhằm tránh mọi sự tấn công nguy hiểm trên Internet. Một số tính năng mới của WFAS :

Thiết lập các Inbound and Outbound firewall rule
Tạo các Group Policy Object (GPO) cấu hình tường lửa để triển khai cho hàng loạt máy tính
Tạo các Isolation rule để chỉ định máy tính nào bị cô lập với các máy tính khác dựa trên các thành viên trong cơ sở hạ tầng Active Directory
Tạo các Connection security rules để cách ly các máy server

III. Chuẩn bị:

- Một máy Windows Server 2008, đã nâng cấp thành Domain Controller (DC) với tên miền là NhatNghe.edu

- Hai máy Domain member :

+ Một máy Windows Server 2008, đã join domain NhatNghe.edu
+ Một máy Windows Vista, đã join domain NhatNghe.edu

- Các thông số IP



IV. Thực hiện:

1. Cài đặt:

a. Cấu hình MBRSRV thành Telnet Server và cài đặt feature Group Policy Management (thực hiện trên MBRSRV)

- Click phải Computer > Manage



- Cửa sổ Server Manager > Click phải Features > Add Features



- Hộp thoại Select Features > chọn Group Policy Management và Telnet Server > Next



- Hộp thoại Confirm Installation Selections > Install



- Hộp thoại Installation Results > Close



- Start > Programs > Administrative Tools > Services

- Click phải Telnet > Properties



- Hộp thoại Telnet Properties > chọn Automatic > Apply



- Hộp thoại Telnet Properties > chọn Start > Apply > OK



b. Cấu hình CLIENT thành Telnet Client (thực hiện trên CLIENT)

- Start > Settings > Control Panel



- Cửa sổ Control Panel > Click phải Programs and Features > Open



- Cửa sổ Programs and Features > Chọn Turn Windows features on or off



- Cửa sổ Windows features > Chọn Telnet Client > OK


thay đổi nội dung bởi: Mr.Hieu, 18-01-2008 lúc 08:41
Đã có 7 người gửi lời cảm ơn Mr.Hieu vì bài viết hữu ích này:
Sponsored links
  #2  
Old 18-01-2008, 08:29
Mr.Hieu's Avatar
Mr.Hieu Mr.Hieu vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Oct 2006
Nơi Cư Ngụ: Seattle - WA
Tuổi: 28
Bài gởi: 1,312
Thanks: 13
Thanked 640 Times in 124 Posts
2. Triển khai các cài đặt cơ bản bằng cách sử dụng Group Policy

a. Tạo các OU và di chuyển các Computer Account vào trong OU tương ứng (thực hiện trên máy DC)


- Start > Programs > Administrative Tools > Active Directory Users and Computers



- Cửa sổ Active Directory Users and Computers > Click phải nhatnghe.edu > New > Organizational Unit (tạo 2 OU)




- Hộp thoại New Object > Nhập MyMemberServer > OK



- Thao tác tương tự > Nhập MyClientComputers > OK



- Quan sát kết quả



- Cửa sổ Active Directory Users and Computers > Click phải PC116 > Move



- Hộp thoại Move > Chọn MyClientComputers > OK



- Quan sát kết quả



- Tương tự > Click phải PC118 > Move



- Hộp thoại Move > Chọn MyMemberServers > OK



- Quan sát kết quả



b. Tạo các Group Policy Object_GPO (thực hiện trên MBRSRV)

- Start > Programs > Administrative Tools > Group Policy Management



- Cửa sổ Group Policy Management > Click phải Group Policy Objects > New



- Hộp thoại New GPO > Nhập Firewall Settings for WS2008 Servers > OK



- Thao tác tương tự > Nhập Firewall Settings for Vista Clients > OK



- Quan sát kết quả



c. Bật Firewall trên các máy CLIENT (thực hiện trên MBRSRV)

- Cửa sổ Group Policy Management > Click phải Firewall Settings for Vista Clients > Edit



- Cửa sổ Group Policy Management Editor > Click phải Firewall Settings for Vista Clients > Properties



- Hộp thoại Firewall Settings for Vista Clients … Properties > Chọn Disable User Configuration settings > Hộp thoại Confirm Disable > Yes > OK



- Cửa sổ Group Policy Management Editor > Chọn Windows Firewall Properties



- Hộp thoại Windows Firewall with Advanced Security … > Tab Domain Profile > Firewall state chọn On (recommended) > OK



- Quan sát kết quả > Windows Firewall is on trong Domain Profile



d. Link GPO với OU (thực hiện trên MBRSRV)

- Cửa sổ Group Policy Management > Click phải MyClientComputers > Link an Existing GPO…



- Hộp thoại Select GPO > Chọn Firewall Settings for Vista Clients > OK



e. Kiểm tra (thực hiện trên CLIENT)

- Start > Run > cmd > OK



- Cửa sổ Command line > gpupdate /force



- Cửa sổ Command line > gpresult /scope computer > Quan sát kết quả



- Start > Programs > Administrative Tools > Windows Firewall with Advanced Security



- Cửa sổ Windows Firewall with Advanced Security > Click phải Firewall with Advanced Security on Local Computer > Properties



- Hộp thoại Windows Firewall … Properties > Tab Domain Profile > Firewall state: On (recommended) > OK



f. Local administrator tạo firewall rule à xung đột với GPO đã được áp trên CLIENT (thực hiện trên CLIENT, log on bằng quyền Local administrator)

- Mở Command line > ping pc17.nhatnghe.edu (máy DC)



- Cửa sổ Windows Firewall with Advanced Security > Click phải Outbound Rules > New Rule



- Hộp thoại Rule Type > Chọn Custom > Next



- Hộp thoại Program > Chọn All programs > Next



- Hộp thoại Protocol and Ports > Để mặc định > Next



- Hộp thoại Scope > Để mặc định > Next



- Hộp thoại Action > Để mặc định > Next



- Hộp thoại Profile > Bỏ chọn Private và Public > Next



- Hộp thoại Name > Nhập A Test Rule > Finish



- Quan sát kết quả



- Mở Command line > ping pc17.nhatnghe.edu (máy DC)



- Cửa sổ Windows Firewall with Advanced Security > Click phải A Test Rule > Disable Rule


thay đổi nội dung bởi: Mr.Hieu, 18-01-2008 lúc 08:48
Đã có 5 người gửi lời cảm ơn Mr.Hieu vì bài viết hữu ích này:
  #3  
Old 18-01-2008, 08:48
Mr.Hieu's Avatar
Mr.Hieu Mr.Hieu vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Oct 2006
Nơi Cư Ngụ: Seattle - WA
Tuổi: 28
Bài gởi: 1,312
Thanks: 13
Thanked 640 Times in 124 Posts
g. Ngăn cản các Firewall rule được tạo bởi Local administrators (thực hiện trên MBRSRV)

- Cửa sổ Group Policy Management > Click phải Firewall Settings for Vista Clients > Edit



- Cửa sổ Group Policy Management Editor > Click phải Windows Firewall with Advanced Security … > Properties



- Hộp thoại Windows Firewall with Advanced Security … Properties > Tab Domain Profile > Chọn Customize



- Hộp thoại Customize Settings for Domain Profile > Firewall settings > Display a notification > Chọn No



- Hộp thoại Customize Settings for Domain Profile > Rule merging > Apply local firewall rules > Chọn No



>Apply local connection security rules > Chọn No



- Quan sát kết quả > OK > OK



h. Kiểm tra (thực hiện trên CLIENT)

- Cửa sổ Command line > gpupdate /force



- Cửa sổ Windows Firewall with Advanced Security > Click phải A Test Rule > Enable Rule



- Cửa sổ Command line > ping pc17.nhatnghe.edu (máy DC) > Quan sát kết quả



i. Giả sử trong OU Lab, có hai Client: Client1 sử dụng Windows XP và Client2 sử dụng Windows Vista. Khi tạo GPO, link với OU Lab thì cả hai Client này đều bị ảnh hưởng. Nhưng tôi chỉ muốn GPO này chỉ ảnh hưởng trên Client1 mà không ảnh hưởng trên Client2. Tạo Windows Management Instrumentation (WMI) filter (thực hiện trên MBRSRV)

- Cửa sổ Group Policy Management > Click phải WMI Filters > New



- Hộp thoại New WMI Query > Nhập Apply only to Windows XP > Add



- Hộp thoại WMI Query > Nhập Select * from Win32_OperatingSystem where Version like “5.1%” > OK



- Hộp thoại New WMI Query > Save



- Quan sát kết quả



- Cửa sổ Group Policy Management > Firewall Settings for Vista Client > Tab Scope > WMI Filtering > Chọn Apply only to Windows XP



- Hộp thoại Group Policy Management > Yes



- Kiểm tra (thực hiện trên CLIENT) > Cửa sổ Command line > Nhập gpupdate /force



- Cửa sổ Windows Firewall with Advanced Security > Click phải Windows Firewall with Advanced Security on Local Computer > Properties > Quan sát CLIENT không bị ảnh hưởng bởi GPO Firewall Settings for Vista Client



- Áp GPO cho Client sử dụng Windows Vista (thực hiện trên MBRSRV) > Cửa sổ Group Policy Management > Click phải Apply only to Windows XP > Rename



- Đổi tên thành Apply only to Windows Vista > Click phải Apply only to Windows Vista > Edit



- Hộp thoại Apply only to Windows Vista > Edit



- Hộp thoại WMI Query > Nhập Select * from Win32_OperatingSystem where Version like "6.0%" > OK



- Hộp thoại Apply only to Windows Vista > Save



- Kiểm tra (thực hiện trên CLIENT) > Cửa sổ Command line > Nhập gpupdate /force



- Cửa sổ Windows Firewall with Advanced Security > Click phải Windows Firewall with Advanced Security on Local Computer > Properties > Quan sát CLIENT bị ảnh hưởng bởi GPO Firewall Settings for Vista Client

Đã có 7 người gửi lời cảm ơn Mr.Hieu vì bài viết hữu ích này:
  #4  
Old 18-01-2008, 14:18
agdlp agdlp vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Aug 2007
Bài gởi: 99
Thanks: 3
Thanked 4 Times in 3 Posts
tuyệt vời mai lên nhất nghệ làm thử
Đã có 2 người gửi lời cảm ơn agdlp vì bài viết hữu ích này:
  #5  
Old 12-04-2008, 22:13
rendom rendom vẫn chưa có mặt trong diễn đàn
Không Thể Vắng Mặt
 
Tham gia ngày: Nov 2007
Nơi Cư Ngụ: Victo Huygo - Những Người Khốn Khổ
Tuổi: 7
Bài gởi: 3,018
Thanks: 16
Thanked 70 Times in 57 Posts
Trích:
Nguyên văn bởi Mr.Hieu View Post



- Hộp thoại Firewall Settings for Vista Clients … Properties > Chọn Disable User Configuration settings > Hộp thoại Confirm Disable > Yes > OK



- Cửa sổ Group Policy Management Editor > Chọn Windows Firewall Properties


- Hộp thoại Windows Firewall with Advanced Security … > Tab Domain Profile > Firewall state chọn On (recommended) > OK
Mr.Hieu Fix dùm 2 tấm hình trên với!
Thanks!

thay đổi nội dung bởi: rendom, 12-04-2008 lúc 22:19
Những người sau đây đã gửi lời cảm ơn rendom vì bài viết hữu ích này:
Sponsored links
Ðề tài đã khoá

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Mở

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
Registry cho IT vinhcomputer Mẹo Vặt Máy Tính 31 02-06-2010 16:03
Firewall Cisco - Firewall ISA ngoctoannet [ CISCO ] Thảo luận chung 1 26-11-2007 07:45
Cần giúp đỡ về tài liệu Linux xây dựng firewall quanghop [ LINUX ] Thảo luận chung 20 18-07-2007 10:28
Trả lời hacking & Thảo luận về hack killerGM Quản Lý Phòng Internet - Games 113 28-06-2007 12:11
thắc mắc! wuyingwei Những Vấn Đề Khác 2 27-02-2007 15:26



Múi giờ GMT +7. Hiện tại là 07:18
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Ad Management by RedTyger