Trong bài trước, tôi đã giới thiệu cách cấu hình tường lửa nâng cao trong Windows Server 2008 bằng snap-in MMC. Trong bài này, tôi sẽ giới thiệu cách cấu hình tương tự Windows 2008 Server Advanced Firewall nhưng bằng giao diện dòng lệnh (CLI) sử dụng tiện ích netsh. Có rất nhiều lý do bạn muốn thực hiện điều này, hãy cùng tìm hiểu..
Định nghĩa tiện ích netsh cho tường lửa
Trong Windows 2008 Server, bạn thấy có một tường lửa cao cấp cho máy chủ cơ sở . Đây là một số đặc tính mới mà tôi đã đề cập trong bài Cấu hình tường lửa nâng cao trong Windows Server 2008 bằng snap-in MMC:
-
New GUI interface – Snap-in MMC sẵn có để cấu hình tường lửa.
-
Bi-directional – Các bộ lọc lưu lượng ra vào.
-
Works better with IPSEC – Các quy luật của tường lửa và các cấu hình mã hóa IPSec đã được tích hợp với nhau.
-
Advanced Rules configuration – Bạn có thể thiết lập các quy luật cho các tài khoản và nhóm Windows Active Directory (AD), nguồn và đích đến cho các địa chỉ IP động, các số giao thức, nguồn và đích đến cho các cổng TCP/UDP , ICMP, IPv6, và các giao diện của Windows Server.
Netsh advfirewall là một dòng lệnh sử dụng cho cấu hình Windows 2008 Server Advanced Firewall.Lý do CLI được sử dụng cho cấu hình tường lửa Windows?
Trong khi một số người thích dùng giao diện snap-in MMC để cấu hình tường lửa thì một số người khác lại thích dùng CLI bởi những lý do sau:
-
Nhanh hơn – Khi biết cách sử dụng các lệnh netsh advfirewall, sẽ khiến cho việc truy cập vào giao diện màn hình nhanh hơn.
-
Khả năng biên tập – Bạn có thể biên tập lại các lệnh chính bằng công cụ này.
-
Làm việc khi giao diện màn hình không hiển thị - Cũng như công cụ CLI, bạn có thể sử dụng netsh advfirewall khi màn hình không hiển thị, ví dụ: Window Server 2008 Core.
Lệnh nào được sử dụng với netsh advfirewall?
Dưới đây là 9 lệnh quan trọng nhất mà bạn cần biết khi dùng lệnh netsh advfirewall.
Lệnh help (?)
Đây là câu lệnh được dùng nhiều nhất. Bất cứ khi nào bạn gõ lệnh ?, lệnh này sẽ cho phép bạn nhìn thấy toàn bộ tất cả các tùy chọn có trong lệnh tương ứng (xem hình 1)
Hình 1: Tùy chọn help trong netsh advfirewall
Lệnh consec (kết nối an toàn tới profile cần thiết)
Các thông tin kết nối sẽ cho phép bạn tạo ra IPSEC VPNs giữa hai hệ thống. Nói cách khác, câu lệnh consec cho phép bảo đảm các lưu lượng thông tin đi qua tường lửa được giới hạn hay được lọc.
Tùy chọn lệnh này sẽ tạo ra cách cấu hình kết nối an toàn như sau:
netsh advfirewall> consec
netsh advfirewall consec>
Tại đây, nếu gõ lệnh ? bạn sẽ thấy có 6 tình huống khác nhau trong netsh advfirewall consec (xem hình 2).
Nếu gõ lệnh? ở đây, bạn có thể thay đổi thông tin bảo mật bằng các lệnh sau:
-
Add: Thêm vào quy tắc bảo mật các kết nối mới
-
Delete: Xóa đi một quy tắc bảo mật kết nối .
-
Dump: Lệnh này không làm việc trong ngữ cảnh này.
-
Help: Hiển thị tất cả các lệnh .
-
Set: Thiết lập giá trị mới cho một quy tắc đã có.
Hình 2: Tùy chọn netsh advfirewall consec
Lệnh Show
Bạn dùng lệnh Show để liệt kê ra tường lửa sẽ làm gì tiếp theo. Có 3 tùy chọn đối với lệnh này:
-
Show alias sẽ liệt kê các bí danh.
-
Show helper liệt kê những người trợ giúp cấp cao.
-
Show mode thông báo tường lửa đang hoạt động hay không hoạt động.
Export
Bạn nên xuất tất cả các cấu hình hiện tại của tường lửa vào một file. Lệnh này sẽ rất hữu dụng bởi vì bạn có thể sao lưu tất cả các thiết lập file và khôi phục lại chúng khi không thích các cấu hình mới mình đã tạo ra.
Lệnh Firewall
Với lệnh này bạn có thể thêm các quy tắc trong và ngoài mới cho tường lửa. Lệnh này cũng cho phép thay đổi các quy tắc trên tường lửa.
Hình 3: Lệnh netsh advfirewall firewall
Trong lệnh firewall có 4 lệnh quan trọng sau:
-
Add: Thêm các quy tắc tường lửa trong và ngoài.
-
Delete: Xóa một quy tắc.
-
Set: Thiết lập một giá trị mới cho các quy tắc đã được thiết lập.
-
Show: Hiển thị một quy tắc tường lửa được chỉ định.
Sau đây là một ví dụ lệnh Add và Delete:
Thêm một quy tắc cho messenger.exe
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\programfiles\messenger\msmsgs.exe” action=allow
Xóa tất cả các quy tắc trong ở cổng 21
netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21
Import
Lệnh import cho phép nhập vào các cấu hình cho tường lửa từ một file. Với lệnh này bạn có thể nạp vào một file mà bạn đã xuất. Ví dụ:
netsh advfirewall import “c:\advfirewall.wfw”
Reset
Lệnh này sẽ xác lập lại điều khoản tường lửa trở về mặc định. Hãy cần thận với lệnh này bởi vì ngay khi bạn gõ lệnh này thì nó sẽ xác lập lại điều khoản mà không hỏi xem bạn có đồng ý hay không. Đây là một ví dụ:
netsh advfirewall reset
Set
Lệnh Set sẽ thay đổi trạng thái tường lửa thành các thông tin khác nhau. Có 6 loại nội dung cho lệnh này:
Hình 4: netsh advfirewall set
-
Set allprofiles: Thay đổi xác lập của tất cả profile.
-
Set currentprofile: Thay đổi xác lập cho profilehiện tại.
-
Set domainprofile: Thay đổi xác lập cho profiledomain
-
Set global: Thiết lập chung của tường lửa.
-
Set privateprofile: Thay đổi xác lập thông tin cá nhân.
-
Set publicprofile: Thay đổi xác lập thông tin chung.
Ví dụ lệnh set:
- Tắt tường lửa cho tất cả các profile:
netsh advfirewall set allprofiles state off
- Thiết lập mặc định để khóa kết nối vào và cho phép kết nối ra trên tất cả các profile:
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
- Bật chế độ quản lý từ xa trên tất cả các profile:
netsh advfirewall set allprofiles settings remotemanagement enable
- Đăng nhập các kết nối trên tất cả các profile:
netsh advfirewall set allprofiles logging droppedconnections enable
Show
Lệnh show sẽ hiển thị toàn bộ thiết lập mà bạn đã thực hiện đối với tất cả profile khác.
Kết luận
Trong bài này, chúng ta đã nhận biết các lệnh chính cần thiết để cấu hình tường lửa Windows 2008 với lệnh netsh advfirewall. Bây giờ bạn cần phải quyết định sẽ dùng giao diện người dùng hay là các lệnh để cấu hình tường lửa. Cả hai phương pháp trên đều có các tùy chọn giống nhau. Các dòng lệnh giao diện sẽ không khác nhiều so với tường lửa windows 2008 khi mà bạn đã biết các lệnh.