Tường lửa cho hệ thống mạng – Chọn lựa và cấu hình tường lửa cá nhân trong hệ thống mạng

06/05/2013 17:53

Tường lửa cá nhân được thiết kế để lọc dữ liệu đi vào hay đi ra khỏi máy tính.

Virus có thể tấn công vào máy của bạn bằng nhiều con đường khác nhau, ngoài kết nối mạng, như qua đĩa mềm, đĩa CD, đĩa flash USB… Tường lửa cá nhân thì khác, nó được thiết kế để lọc dữ liệu đi vào hay đi ra khỏi máy tính, nên khi máy tính của bạn là một thiết bị độc lập, không kết nối gì với ai, thì tường lửa cá nhân sẽ chẳng có tác dụng gì cả. Vì thế, nếu máy tính của bạn không nối mạng, bạn chỉ cần một chương trình chống virus, mà không cần phải dùng đến tường lửa cá nhân (Personal Firewall). Ngoài ra, thì bạn cũng cần lưu ý, tường lửa hệ thống chỉ giúp bạn ngăn chặn các tấn công từ bên ngoài hệ thống vào mạng nội bộ bên trong, chứ không thể giúp bạn ngăn chặn các tấn công từ các máy tính ở cùng mạng LAN với bạn. Tường lửa cá nhân mới có thể giúp bạn việc đó.

Có rất nhiều chương trình tường lửa cá nhân trên thị trường, trong đó nổi trội là các sản phẩm có trả phí như Kaspersky Internet Security, Symantec Endpoint Protection, các bản miễn phí như Comodo Firewall, ZoneAlarm, hay tường lửa có sẵn trong hệ điều hànhvà mỗi loại tường lửa cá nhân sẽ có những ưu khuyết điểm riêng của mình.

Với các máy tính xách tay thường xuyên kết nối với các mạng khác nhau cũng như sử dụng kết nối không dây, giải pháp tường lửa phần cứng dùng cổng USB mang tên Personal Firewall for Notebook 64183A của hãngKensington là một giải pháp khá tiện lợi. Ưu điểm của thiết bị này là dễ cài đặt và dễ sử dụng. Khi dùng laptop ở nơi công cộng như quán cà phê Wifi, bạn chỉ việc cắm thiết bị vào cổng USB và máy tính của bạn sẽ xuất hiện một tường lửa bảo vệ. Khi không cần dùng đến tường lửa nữa, thì bạn chỉ việc tháo thiết bị USB ra là xong.

Thực ra các tường lửa cá nhân đã được thiết kế dành cho người sử dụng không có nhiều kinh nghiệm về mạng. Do đó, sau khi cài đặt và sử dụng chế độ hoạt động mặc định, thì người dùng thông thường không phải cấu hình gì cả. Việc cấu hình thêm chỉ xảy ra khi bạn cần cho phép các người dùng khác từ mạng ngoài truy cập ngược trở vào các dịch vụ bên trong máy tính của mình. Sau đây là những tình huống thường gặp:

Tắt mở tường lửa có sẵn trong Windows 7

Từ Windows XP, Windows Vista cho đến phiên bản Windows 7 hiện nay, hãng Microsoft đã tích hợp sẵn một tường lửa cá nhân trong hệ điều hành của người dùng cá nhân. Điều khác biệt đầu tiên trong tường lửa của Windows 7 so với hai phiên bản Windows trước là ta có thể tắt hay mở tường lửa cho từng kiểu kết nối. Ví dụ như chúng ta chỉ tắt tường lửa với các kết nối trong gia đình hay ở nơi làm việc (Home or work network location), mà vẫn giữ nguyên tường lửa khi kết nối ở nơi công cộng (Public network location) như tại các quán Café Wifi… Trong các phiên bản trước, việc tắt mở tường lửa sẽ ảnh hưởng đến toàn bộ mọi kết nối trong máy tính.

Để tắt hay mở tường lửa, bạn chọn menu Start, gõ vào thanh tìm kiếm lệnh từ khóa “Firewall” rồi chọn ứng dụng Windows Firewall. Ở menu cạnh trái, bạn chọn mục Turn Windows Firewall On or Off. Người dùng thường tắt tính năng tường lửa mặc định này trong Windows khi đã cài một chương trình tường lửa chuyên dụng khác.

Cho phép người dùng bên ngoài truy cập vào dịch vụ bên trong tường lửa Windows

Mặc định, tường lửa trong Windows 7 có một danh sách các ứng dụng mà người dùng bên ngoài có thể tự do đi xuyên qua firewall để truy cập vào bên trong. Trong cửa sổ Windows Firewall như trên, bên cạnh trái, bạn chọn mục Allow a program or feature through Windows Firewall. Trong cửa sổ danh sách các ứng dụng vừa hiện ra, bạn có thể đánh dấu chọn ở cạnh trái của một ứng dụng hay tính năng bất kỳ để cho phép người dùng bên ngoài sử dụng nó mà không bị tường lửa ngăn cản. Thao tác bỏ dấu chọn sẽ loại ứng dụng đó khỏi tính năng này. Bạn cũng có thể quyết định chỉ mở tường lửa cho ứng dụng đã chọn với dạng kết nối mạng nào, Home/Work hay Public. Ví dụ như để cho phép người dùng mạng LAN trong gia đình có thể điều khiển từ xa máy tính của bạn, nhưng ngăn tính năng đó khi ngồi tại quán café Wifi, bạn đánh dấu bên trái mục Remote Desktop, đánh dấu mục Home/Work và tắt dấu chọn mục Public.

Nếu ứng dụng bạn định chia sẽ thông qua tường lửa, nhưng chúng không có sẵn trong danh sách mặc định này, bạn hãy bấm vào nút Allow another program. Sau đó bạn chọn chương trình được phép truy cập thông qua tường lửa trong danh sách, hoặc nhấn nút Browse để lựa chọn tập tin trong thư mục trên đĩa cứng. Trong phần Network Connection Types, bạn cũng chọn đánh dấu các mục Home/WorkPublic tương tự như trên.

Khôi phục tường lửa Windows 7 về trạng thái mặc định ban đầu

Tuy nhiên, cần lưu ý nếu bạn chưa có nhiều kinh nghiệm, và lỡ tay cấu hình sai, thì kết quả có thể dẫn đến việc tạo ra những lỗ hổng bảo mật không mong muốn cho hệ thống máy tính cá nhân của mình. Khi đó, bạn chỉ việc sử dụng tính năng Restore Defaults trong Windows Firewall của Windows 7 là bạn sẽ có thể khôi phục toàn bộ cấu hình tường lửa cá nhân trở về trạng thái mặc định. Nhưng đồng thời, với cách làm này, những phần cấu hình đúng và đang sử dụng tốt trước đây trong tường lửa cũng sẽ bị xóa, dẫn đến một số ứng dụng mà người dùng bên ngoài đang truy cập được, chuyển sang trạng thái bị khóa.

Cấu hình để chương trình tường lửa cài thêm cho phép chia sẻ tài nguyên

Mỗi tiện ích tường lửa có những cấu hình mặc định khác nhau, vì thế khi chọn sử dụng phần mềm nào, bạn phải hiểu rõ chúng. Lấy một ví dụ về ứng dụng tường lửa Symantec Endpoint Protection (SEP) của hãng Symantec có cấu hình mặc định là ngăn chặn quá trình chia sẻ tập tin trong mạng. Khi thử truy cập từ một máy tính khác đến máy tính có cài đặt chương trình SEP, bạn sẽ nhận được thông báo lỗi không thể truy cập (Windows cannot access). Để giải quyết tình trạng này, bạn bấm phải chuột trên biểu tượng chiếc khiên của chương trình SEP trên khay hệ thống, rồi chọn mục Open Symantec Endpoint Protection. Cửa sổ cấu hình SEP sẽ gồm ba chức năng chính là Antivirus and Antispyware Protection, Proactive Threat Protection Network Threat Protection. Với vấn đề là việc chia sẻ tập tin trên mạng LAN bị ngăn chặn, chúng ta sẽ cần xử lý chức năng Network Threat Protection, nên bạn sử dụng nút Option ở cạnh phải chức năng này và chọn Configure Firewall Rules.

Để chia sẻ tập tin và máy in trong mạng, bạn nhấn nút Add để tạo một luật truy cập (Rule) mới với tên gợi nhớ bất kỳ, ví dụ như Chia se trong mang LAN và gõ nó vào phần Rule name. Chọn mục Action là cho phép (Allow this traffic) còn phần Firewall settings thì chọn card mạng sẽ được dùng khi chia sẻ. Đó là bất kỳ card nào cũng được (All network adapters) hay chỉ một card mạng duy nhất nào đó mà bạn đang có mà thôi. Bạn cũng có thể mở rộng thêm việc cấu hình là luật truy cập này có sẽ được áp dụng khi chương trình bảo vệ màn hình Screen Saver đang hoạt động hay không.

Chuyển sang thẻ Hosts, bạn cần xác định xem các máy tính nào trong mạng có thể truy cập vào phần chia sẻ của bạn bằng cách đi xuyên qua bức tường lửa của Symantec mà bạn đã cài đặt. Bốn lựa chọn của phần này bao gồm: Tất cả các máy tính (All hosts), một máy tính có địa chỉ MAC xác định (MAC Address), một dãy các địa chỉ IP hay địa chỉ IP của vài máy tính riêng biệt (IP address), hay một phân đoạn mạng xác định bởi vùng địa chỉ mạng (Subnet). Cách dùng Subnet là cách dùng phổ biến nhất, vì bạn chỉ cần nhập vào địa chỉ lớp mạng LAN (Subnet IP address) cùng với Subnet mask của nó.

Nếu chỉ cần cho phép chia sẻ tập tin và máy in của mình cho mọi người trong mạng LAN, bạn có thể bỏ qua phần giao thức (Protocol) bao gồm giao thức TCP/UDP và các cổng giao tiếp (Port). Phần Applications cũng gồm một danh sách các chương trình có sẵn sẽ cho phép bạn chọn lựa để xác định những ứng dụng nào sẽ được phép truy cập từ máy tính của bạn ra ngoài. Nếu không tìm thấy ứng dụng mong muốn, bạn nhấn nút Browse rồi chọn tập tin thực thi trong cây thư mục của ổ cứng.

Ngoài ra, để bảo mật hệ thống hơn, bạn cũng nên xác định thời gian mà tường lửa cho phép các lựa chọn của luật truy cập (Rule) trên có giá trị. Cách thực hiện là bạn sử dụng thẻ thời gian biểu (Scheduling). Các bước bao gồm gồm chọn Enable Scheduling, chọn mục During the time period below, nhập vào thời điểm bắt đầu cho phép người dùng bên ngoài đi xuyên qua tường lửa bắt đầu vào ngày tháng năm nào, thậm chí thời điểm nào. Và đi kèm theo đó là tham số xác định độ dài thời gian mà bạn muốn chương trình SEP đồng ý cho các máy tính được đi xuyên qua, tính từ thời điểm bắt đầu cho phép ở trên.

Sau khi hoàn tất, bạn hãy thử sử dụng một máy tính khác trong mạng và truy cập vào máy tính của mình và kiểm tra việc chia sẻ các tập tin hay thư mục trên đó.

THANH DUY – TUYẾT PHONG

Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang