فایروال درونی ویندوز توانایی ساختن دستورات قدرتمند فایروال را دارد.درفایروال ویندوز بلوکه کردن برنامه ها از دسترسی به اینترنت , استفاده از یک whitelist برای کنترل دسترسی های شبکه, محدود کردن ترافیک برایIP آدرس ها و پورت های مشخص و غیره همه بدون نصب فایروال دیگری امکانپذیر است.
دسترسی به Interface ( واسط )
راه های مختلفی برای بالا آوردن فایروال ویندوز وجود دارد. یکی از راه های معمول استفاده از گزینه Windows Firewall در control panel و سپس کلیک کردن بر روی لینک Advanced settings در قاب سمت چپ می باشد.
شما همچنین می توانید “Windows Firewall” را درون search box در Start menu تایپ کنید و سپس برنامه Firewall with Advanced Security را انتخاب نمایید.
پیکربندی Network Profiles
فایروال ویندوز شامل سه پروفایل مختلف است که شما می توانید rule های (قوانین) مختلفی را برای شبکه های خصوصی و عمومی بکار ببرید:
- Domain Profile: هنگامی که کامپیوتر شما به یک Domain متصل است از آن استفاده می شود.
- Private Profile: هنگامی که کامپیوتر شما به یک شبکه خصوصی از قبیل یک شبکه خانگی یا کاری متصل است ازآن استفاده می شود.
- Public Profile: هنگامی که به یک شبکه عمومی از قبیل یک public Wi-Fi access point یا اتصال مستقیم به اینترنت متصل هستید از آن استفاده می شود.
ویندوز هنگامی که برای اولین بار به یک شبکه وصل می شود می پرسد که آیا شبکه عمومی است یا خصوصی.یک کامپیوتر ممکن است از چندین پروفایل بسته به موقعیت استفاده کند. برای مثال یک لپ تاپ تجاری هنگامی که در سر کار به یک Domain وصل می شود ممکن است از domain profile استفاده کند و هنگامی که به شبکه خانگی وصل می شود از private profile استفاده کند.
برای پیکربندی پروفایل فایروال بر روی لینک Windows Firewall Properties کلیک کنید.firewall properties ویندوز شامل یک دکمه مجزا برای هر پروفایل است. ویندوز به طور پیش فرض برای همه ی پروفایل ها inbound connections را بلوکه می کند و به outbound connections اجازه عبور می دهد. اما شما می توانید همه ی outbound connections ها را بلوکه کنید و قوانینی را بسازید که به نوع خاصی از اتصالات اجازه عبور می دهد. این تنظیمات پروفایل مشخص می کند که شما می توانید تنها از یک whitelist روی شبکه های مشخص استفاده کنید.
اگر شما outbound connections ها را بلوکه کنید، هنگامی که یک برنامه بلوکه می شود اخطاری را دریافت نخواهید کرد.
ساختن یک Rule
برای سختن یک قانون فهرست inbound Rules یا outbound Rules را در سمت چپ پنجره انتخاب کنید و بر روی لینک New Rule در سمت راست کلیک کنید.فایروال ویندوز چهار نوع از قانون ها را پیشنهاد می کند:
- Program: بلوکه کردن یا اجازه دادن به یک برنامه
- Port: بلوکه کردن یا اجازه دادن به یک پورت، رنج پورت یا پروتکل
- Predefined: استفاده از یک قانون فایروال از پیش تعیین شده درون ویندوز
- Custom: ترکیبی از برنامه، پورت و IP address را برای بلوکه کردن یا اجازه دادن مشخص می کند.
مثال 1: بلوکه کردن یک برنامه
ما می خواهیم یک برنامه مشخص را از ارتباط برقرار کردن با اینترنت بلوکه کنیم.در لیست outbound Rules ابتدا برروی لینک New Rule کلیک کنید. سپس در صفحه Rule type گزینه program را انتخاب کرده و دکمه Next را بزنید.
در صفحه ی program از دکمه Browse استفاده کنید و فایل اجرایی (*.exe) برنامه ای که می خواهید انتخاب کنید.
در صفحه Action ، “Block the connection” را انتخاب کنید. اگر همه ی applicationها را در صفحه program بلوکه کنید و سپس درحال ساختن یک whitelist ( لیست برنامه های مجاز برای عبور از فایروال) بودید، در عوض باید “Allow the connections” را انتخاب کنید.
در صفحه ی Profile ، شما می توانید Rule را برای یک پروفایل مشخص به کار ببرید. برای مثال اگر شما می خواهید برنامه تنها زمانی که به یک شبکه عمومی و یا شبکه های غیر امن دیگر وصل می شود، بلوکه شود علامت public را باقی بگذارید و دیگر علامت ها را بردارید. به طور پیش فرض ویندوز Rule ها را برای همه ی پروفایل ها به کار می برد.
در صفحه Name شما می توانید اسم قانون را نامگذاری کنید. و گزینه description (توضیح) اختیاری است.
قوانین فایروال به طور فوری اثر می کنند. قوانینی را که شما ساخته اید در یک لیست نمایش داده می شوند، و شما می توانید آنها را به آسانی غیرفعال یا حذف نمایید.
مثال 2: محدود کردن دستیابی (Access)
اگر واقعا می خواهید برنامه ای را قفل کنید، می توانید پورت ها و IP address هایی که برنامه به آن متصل است را محدود کنید. برای مثال فرض کنید که شما یک server application دارید و می خواهید که تنها توسط یک IP address مشخص دستیابی شود. از لیست Inbound Rules ، New Rule را کلیک کنید و سپس Custom rule type را انتخاب کنید.
در قاب Program، برنامه ای را که می خواهید محدودش کنید انتخاب کنید. اگر برنامه به عنوان یک Windows service در حال اجرا است،از دکمه Customize برای انتخاب سرویس از روی یک لیست استفاده کنید. برای محدود کردن همه ترافیک شبکه بر روی کامپیوتر، به منظور ارتباط برقرار کردن یک IP address مشخص یا رنج پورت، به جای تعیین یک برنامه خاص ،”All program” را انتخاب کنید.
بر روی قاب Protocol and Ports ،نوع پروتکل را انتخاب و پورت ها را مشخص کنید.برای مثال گر در حال اجرای یک web server application هستید، می توانید web server application را با وارد کردن پورت های 80 و 443 در Local port box به TCP connections محدود کنید.
تب Scope به شما اجازه ی محدود کردن IP address ها را می دهد. برای مثال اگر تنها خواهان ارتباط با سرور به وسیله ی یک IP address خاص هستید، IP address را در جعبه remote IP addresses وارد کنید.
گزینه “Allow the connection” را انتخاب کنید تا از طریق IP address و پورتی که تعیین کرده اید به اتصال اجازه دهد. مطمئن شوید که Rule های دیگری به برنامه اعمال نشده اند. برای مثال اگر قانون فایروالی دارید که به همه inboundها اجازه ترافیک به server application را می دهد، این قانون هیچ کاری انجام نمی دهد.
مابقی مراحل مانند مثال 1 می باشد. در دوره آموزش نتورک پلاس مهندس نصیری ، در قالب یک کارگاه عملی ، کار کردن با فایروال ویندوز آموزش داده شده است ، ضمن اینکه برای اینکه بتوانید بصورت حرفه ای از این فایروال استفاده کنید ، می توانید به دوره آموزش MCSA ویندوز کلاینت مهندس نصیری مراجعه کنید.
لطفا سئوال خودتون رو در قالب پست جداگانه مطرح کنید. متشکرم
سلام فرق بین remote port با local port میشه بگید در چی هست؟
لطفاََ سئوالتون رو در یک پست جداگانه ارسال کنید. با تشکر
پس اگه ما بخوایم سناریویی به این صورت پیاده کنیم که:
1-هیچ سیستمی در شبکه دامین نتونه به هیچ سیستم دیگه (در شبکه دامین) ریموت دستکتاپ بزنه اونو با Inbound Rule می بندیم؟
2- سیستمای حاضر در شبکه دامین نتونن به هیچ سیستمی در خارج از شبکه دامین ریموت بزنن، بازم اونو با Inbound Rule میبندیم!؟
3- بر عکسش اگه بخوایم از بیرون به سیستمای داخل شبکه دامینمون بتونن ریموت بزنن دسترسیشو با Inbound Rule باز می کنیم؟!
و یه سوال دیگه؟
برای بستن پینگ برای کل سیستمای داخل شبکه دامین فرقی نداره که با کدوم انجامش بدیم؟ استنباطم اینه که اگه با Inbound ببندیم، بسته هنگامی که می رسه به فایروال Drop میشه و اگه با Outbound ببندیم، بسته از فایروال رد میشه و هنگام برگشت(مثلا پینگ 8.8.8.8 رو گرفتیم)، Drop میشه! درسته؟
اگه میخواین Rule مد نظرتون در محدوده آدرس های IP کامپیوتر های عضو دامین تون اعمال بشه (Domain Profile)، هیچ ترافیکی به خارج از فایروال هدایت نمیشه و ترافیکی که دست فایروال رسید طبق Rule ای که نوشتین مثلا به فایروال گفتین که کامپیوتر A با این آدرس IP نتونه به کامپیوتر B با این آدرس IP ریموت دسکتاپ بزنه. ترافیک که دست فایروال برسه میبینه خب یه ترافیک Inbound هستش توشو چک میکنه میبینه این آدرس با فلان آدرس کار داره و مطابق Rule اش جلوی برقراری ارتباط بین اون دو کامپیوتر رو میگیره.
استاد کریم پور یه سوال؟
اینکه برای بستن Rremote Desktop در کل شبکه داخلی (دامینی) با Inbound Rules اقدام میکنند، واسه اینه که درخواست (ریموت زدنه کلاینت A برای کلاینت B)، اول میره سمت فایروال و دوباره میخواد برگرده (وارد بشه به) شبکه داخلیمون؟
نه ببینید توی پست قبلی هم گفتم که وقتی ترافیک وارد شبکه میخواد بشه و از اونجا که فایروال در Edge یا لبه شبکه قرار داره پس باید اول از فایروال عبور کنه پس نتیجه میگیرم فلش باید به سمت فایروال باشه.(Inbound) برعکس این حالت هم وقتیه که ترافیک میخواد از فایروال خارج بشه و بره توی شبکه اینترنت. پس بایستی فلش رو به بیرون باشه.(Outbound)
با تشکر از استاد کریم پور و سایر دوستان.
چرا مایکروسافت آیکن inbound rule و outbound rule رو برعکس کشیده؟
به نظرتون اینا که در زیره منطقی تر نیست؟
Inbound Rule:
Outbound Rule:
بله به طور پیشفرض ترافیک های Inbound یا ورودی حق ورود به شبکه رو ندارن اما برای ترافیک های Outbound یا خروجی لازم نیست هیچ Rule ای بصورت پیشفرض بنویسین. البته اینطور نیست که برای تمام سرویس هایی که در شبکه استفاده میکنید باید Inbound rule بنویسید بلکه Rule هایی بصورت پیشفرض هنگام نصب سرویس ها در قسمت Inbound rule ها اضافه میشن تا نیاز نباشه شما Rule اضافه کنید، مگر در حالات خاصی که به شما بستگی داره که اجازه استفاده فلان IP از یک سرویس تون در شبکه رو سلب کنید یعنی اجازه ندید که یک آدرس یا رنج IP از خارج شبکه از وب سرویس یا سرویس های دیگه تون استفاده کنه.
سوال۱:
پس اگر من روی سیستمم یه وب سرور داشته باشم باید یه inbound rule بنویسم و دسترسی بدم تا وصل بشن (سیستمای داخل اینترنت) و داده هاشونو بردارن و متعاقبا نباید هیچ outbound رولی بنویسم چون قراره داده هاشونو ببرن سمت خودشون درسته؟
سوال ۲:
اگه از توی شبکه داخلیمون (هم رنج خودم) بخوان وصل بشم و بخوام محدودیت بزارم که یه عده ی خاصی وصل بشن بازم کار inbound رول هست؟
سوال۳:
اگه از توی شبکه داخلیمون (غیر هم رنج با خودم) بخوان وصل بشم و بخوام محدودیت بزارم که یه عده ی خاصی وصل بشن بازم کار inbound رول هست؟