View RSS Feed

محمد گنجی

جلسه 24- آشنایی با فایروال ویندوز و نکات و تنظیمات مربوط به آن – بخش دوم

Rating: 8 votes, 4.50 average.
توسط - 2011-01-29 - 12:04 PM (بازدید: 8722)
  
سلام مجدد به دوستان
بحث را با فایروال ویندوز ادامه می‌دهیم.

گفتیم که با رفتن به برگۀ Advanced و قسمت Logging می‌توانیم تعیین کنیم که فعالیت‌های فایروال در یک فایل ثبت و نگهداری شوند که آدرس این فایل به صورت پیش‌فرض X:\WINDOWS\pfirewall.log می‌باشد.
بیایید مختصرا نگاهی به این فایل داشته باشیم و ببینیم چه فیلدهایی را در خود ذخیره می‌کند. با باز کردن فایل مورد نظر متوجه می‌شویم که این مقادیر برای هر ارتباط در آن نگهداری می‌شوند :

ابتدا این نوشته‌ها را می‌بینیم که در واقع سرشناسۀ فایل مورد نظر هستند :

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local

پس از آن می‌توان گزارش ارتباطات را در فیلدهای زیر دید :


#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

قسمت‌هایی که فعلا برای ما مهم هستند ببینید. منظورم زمان، تاریخ، نوع پروتکل، آدرس مبدا و مقصد و .. هستند. بقیه هم چیز خاصی نیست و احتمالا در Network+ با آنها آشنایی پیدا کرده‌اید. بهرحال در این قسمت موارد مهم مد نظر ما زمان برقرای ارتباط، نوع پروتکل استفاده شده، اینکه ارتباط برقرار شده یا فایروال جلوی آن را گرفته و مواردی از این دست می‌باشد.

حال به نمونه‌ای از ارتباطات ثبت شده دقت کنید :


2011-01-23 20:57:29 DROP TCP 209.85.149.101 192.168.0.10 80 3061 48 SA 3208540131 3247649899 5720 - - - RECEIVE
2011-01-23 20:57:30 DROP TCP 209.85.149.101 192.168.0.10 80 3061 48 SA 3208540131 3247649899 5720 - - - RECEIVE
2011-01-23 20:57:30 CLOSE UDP 192.168.0.10 4.2.2.4 3363 53 - - - - - - - - -
2011-01-23 20:57:30 CLOSE UDP 192.168.0.10 4.2.2.4 13018 53 - - - - - - -


تفسیر این خطوط با خود شما
این فایل را می‌توانید به راحتی داخل نرم‌افزاری مثل اکسل ببرید و گزارشات و جستجوهای دلخواه خود را در آن پیاده‌سازی نمایید. همانند شکل زیر :




استثنا کردن یک برنامه یا سرویس در فایروال ویندوز
خوب برویم سراغ یکی از موارد پرکاربرد و آن تعریف استثنا یا Exception در فایروال ویندوز است مساله‌ای که در هر فایروال دیگری هم قطعا با آن برخورد خواهید داشت.
گفتیم که به صورت پیش‌فرض ویندوز هر ترافیک درخواست نشده و ناخوانده‌ای را بلوکه می‌کند. اما این مساله در بسیاری از اوقات مشکل‌ساز می‌ود چرا که برنامه‌ها و سرویس‌هایی هستند که می‌خواهیم از این قائده مستثنی باشند.
برای مثال فرض کنید روی رایانۀ خود فایل‌هایی را به اشتراک گذاشته‌اید و بقیه می‌خواهند به سیستم شما وصل شده و آنها را بردارند. این کار از طریق سرویس Files And Printer Sharing امکان‌پذیر است اما اگر فایروال جلوی آن را گرفته باشد این کار عملا امکان‌پذیر نیست. بنابراین باید به ویندوز بگوییم که از این سرویس بگذر و فایروال را برای آن نادیده بگیر.
حتما دقت کرده‌اید که در قسمت فایروال ویندوز گزینه‌ای به نام Exception وجود دارد. برخی سرویس‌های مهم و پرکاربرد مثل همین Sharing و Remote Desktop در این بخش دیده می‌شوند و شما فقط کافیست که تیک کنار آنها را بزنید تا به عنوان استثنا در نظر گرفته شوند.
قبل از اینکه مراحل اضافه کردن یک استثنا برای برنامه یا پورت خاصی را شرح دهیم به این نکته دقت داشته باشید که این کار (تعریف استثنا) هم به صورت کلی یا Global و هم جداگانه برای هر ارتباط (Per Connection) قابل انجام است. بنابراین اگر می‌خواهید تعریف فقط برای یک اتصال خاص انجام شود به سراغ برگۀ Advanced بروید، Connection خود را انتخاب کنید و سپس استثنا را تعریف کنید. تصویر زیر را ببینید :





کاربرد این مساله هم مشخص است. فرض کنید شما دو کارت شبکه دارید که یکی به اینترنت و دیگری به شبکۀ داخلی وصل است. از سوی دیگر شما میزبان یک وب سایت هم روی رایانۀ خود هستید و می‌خواهید این سایت فقط برای کاربران شبکۀ داخلی شما قابل رویت باشد. بنابراین تعریف استثنای مربوطه یعنی پورت 80 (اگر فرض بر HTTP باشد) فقط باید روی ارتباط شما با شبکۀ داخلی انجام شود.
مطلب مهم دیگر آن است که بدانید بسته و باز بودن یک پورت در حالت کلی و یا روی یک اتصال در کنار هم چه نتیجه‌ای خواهد داشت و در واقع الگوی تصمیم ‌گیری در این میان چیست. پس جدول زیر را با دقت ببینید





تعریف استثنا برای یک برنامه
کار بسیار راحت است. به برگۀ تعریف استثنا بروید (در حالتی که مد نظرتان است؛ سراسری یا برای یک اتصال خاص). کلید Add Program را بزنید و برنامۀ مد نظر خود را آدرس‌دهی کرده و معرفی نمایید.
کاربرد این قضیه در مورد برنامه‌هایی است که با شبکه و اینترنت زیاد کار دارند. برای مثال وقتی Teamviewer را نصب یا برای اولین بار اجرا می‌کنید به شما می‌گوید که برای دستیابی به عملکرد صحیح باید این برنامه را به صورت استثنا تعریف کنید چرا که با شبکه زیاد کار دارد و نباید جلوی ترافیک آن گرفته شود. (و البته معمولا با زدن کلید OK خود برنامه به صورت خودکار این کار را برای شما انجام می‌دهد)
برای مثال به تصویر زیر دقت کنید. برنامۀ Cleartool می‌گوید که برای کارکرد صحیح نیاز به عبور از فایروال دارد و نباید بلوکه شود.





تعریف استثنا برای یک پورت
این مطلب نیز کاربرد بسیار زیادی دارد. خیلی اوقات شما باید راه را برای اتصال از طریق یک سرویس و پورت مورد نظر آن باز کنید و برنامۀ خاصی مد نظر نیست. برای مثال یک وب دارید که پیش فرض پیکربندی شده و از همان پورت TCP 80 استفاده می‌کند. خوب ! برنامۀ خاصی مد نظر نیست اما این پورت باید باز شود و یا بهتر بگوییم در فایروال به عنوان استثنا تعریف گردد.
باز هم مراحل کار ساده است. این بار کلید Add Port را بزنید. نامی برای این پورت انتخاب کرده، شماره و نوع آن (TCP,UDP) را وارد کنید. به همین سادگی


تعریف محدوده یا Scope برای استثناها
یکی از مواردی که کاربرد زیادی دارد و اکثر تازه‌کارها هم به آن بی‌توجه هستند بحث تعریف یک محدوده یا Scope برای استثناهای تعریف شده است. اجازه بدهید با یک مثال مساله را کاملا شفاف نمایم.
شما ادمین شبکه‌ای هستید که در آن چند رنج آدرس وجود دارد و به اینترنت هم وصل است. رنج آدرس شما 192.168.10.x است با پوشش شبکۀ /24 و بقیه از 192.168.11.x هستند تا 192.168.15.x. خوب ! صورت مساله چیست ؟ شما سرورهایی دارید که باید با Remote Desktop به آنها وصل بشوید و مدیریت شان کنید و این یعنی سرویس و پورت RDP باید روی سرور مربوطه باز شود. اما یک خطر و ریسک امنیتی وجود دارد ! با این کار شما راه را برای اتصال همه به سمت سرور باز کرده‌اید ! اینجاست که محدوده‌بندی به کمک شما می‌آید.
پس از تعریف یک استثنا می‌بینید که در قسمت پایین بخشی به نام Change Scope دارد. آن را کلیک کنید تا گزینه‌های زیر ظاهر شوند :



گزینۀ اول که قطعا افتضاح است . هر شبکه و رایانه‌ای حتی آنها که در اینترنت هستند.
گزینۀ دوم کمی بهتر است. می‌گوید آنهایی که فقط در همان رنج آدرس و S/M من هستند. شاید برای برخی دوستان این سوال پیش بیاید که مگر از آدرس‌های دیگر می‌توان به این آدرس وصل شد. جواب مثبت است و در بحث‌های مسیردهی یا Routing به آن خواهیم رسید.
گزینۀ سوم پیشرفته‌ترین حالت است و شما در آن دقیقا می‌گویید چه آدرسی و چه رنج‌هایی می‌توانند از این طریق به سیستم وصل شوند و در واقع این استثنا برای آنها معتبر است.

تعریف Ping به عنوان استثنا در فایروال
گمان می‌کنم تنها جایی که به آن نپرداختیم برگۀ ICMP در برگۀ Advanced است. می‌دانیم که دستور Ping دستور ساده‌ای است که می‌تواند در بررسی وضعیت رایانه‌ها و دیگر تجهیزات کمک فراوانی به یک مدیر شبکه بنماید. این دستور با پروتکل ICMP کار می‌کند و توضیح در خصوص آن فراوان است. چیزی که در اینجا به دنبال آن هستیم تعریف Ping به عنوان استثنا است.

گفتیم که پیش‌فرض همۀ ترافیک‌ها بلوکه می‌شوند پس درخواست Ping از رایانه هم شامل این مساله می‌شود. وقتی شما رایانه‌ای را Ping می‌کنید یک Echo به سمت آن می‌فرستید که برمی‌گردد و شما از سلامت آن مطمئن می‌شود. بنابراین در برگۀ مذکور با زدن تیک کنار عبارت Allow Incoming Echo Request اجازه می‌دهیم که یک درخواست به سمت رایانۀ ما بفرستد و جواب آن را دریافت کند و به عبارت ساده‌تر بتواند ما را Ping کند.
بقیۀ موارد را اگر خواستید می‌توانید خودتان در کتاب 70-270 مطالعه کنید.



موفق باشید و تا جلسۀ بعد خدانگهدار
شدیدا منتظر نظرات شما، امتیازهایتان تا ببینم کدام مطلب به درد بخورتر بوده و مطالب تکمیلی و ایرادهای وارده به این مطالب هستم.
kavehashoori، isfahany، idmidm و 7 نفر دیگر سپاسگزاری کرده‌اند.
Attached Thumbnails پیوست

Updated 2011-01-29 at 12:08 PM by th95

دسته ها
Windows Server

نظر

  1. شناسه تصویری azad nk
    سپاسگذارم از کوشش فراوان شما
  2. شناسه تصویری mohammadi4
    ممنون از مطالب مفیدتان ، چند سوال :
    فایروال ویندوز چقدر مطمئنه ؟ یه ویروس می تونه خودشو استثنا کنه؟
    فایروال ویندوز XP که تعریفی نداره (درست می گم؟) ، به نظر شما داخل ویندوز 7 از فایروال خودش استفاده کنیم بهتره یا از سکوریتی های آنتی ویروس هایی چون کسپر و نود 32 ؟
    یه سوال تخصصی که شاید پرسیدنش اینجا جایز نباشه ، چرا وقتی nat رو رو ویندوز سرور راه اندازی می کنیم ، فایر وال ویندوز دیگه قابل استفاده نیست؟ یه توضیح کوچولو از پشت صحنه این حالت.
    پاورقی : به نظر این حقیر اگه روی آموزش ویندوز سرور تمرکز کنید کارگاه آموزشی شما (که الان بیشتر جزوه نویسیه) پر رونق تر میشه و دعای ما تازه واردها همیشه پشت سرتونه .
  3. شناسه تصویری th95
    فایروال ویندوز چقدر مطمئنه ؟ یه ویروس می تونه خودشو استثنا کنه؟
    مطمئنه ! مشکلی نیست ! ولی خوب وقتی اپدیت نباشی آنتی ویروست به روز نباشه و ... هر چیزی ممکنه

    فایروال ویندوز XP که تعریفی نداره (درست می گم؟) ، به نظر شما داخل ویندوز 7 از فایروال خودش استفاده کنیم بهتره یا از سکوریتی های آنتی ویروس هایی چون کسپر و نود 32 ؟
    یعنی چی تعریفی نداره ؟ روی یک سیستم شخصی هیچ مشکلی نیست ! ولی بهرحال برنامه هایی مثل آنچه شما گفتید حرفه ای تر هستند ! مکانیسمهای بهتری دارند ! سریع ترند ! امکانات بیشتری دارند و .. توی ویندوز 7 که خوب شما میتونی خیلی قشنگ اصلا رول تعریف کنی و فایروال واقعا یک تکان اساسی نسبت به ایکس پی خورده


    چرا وقتی nat رو رو ویندوز سرور راه اندازی می کنیم ، فایر وال ویندوز دیگه قابل استفاده نیست؟ یه توضیح کوچولو از پشت صحنه این حالت.
    خود NAT فایروالینگ رو هم انجام میده ! NAT Server هستش که میدونه چی به چیه و چی رو NAT کرده و فرستاده بیرون ! فقط بسته ای حق ورود داره که خودش اون رو NAT کرده باشه و منتظر جوابش باشه



    به نظر این حقیر اگه روی آموزش ویندوز سرور تمرکز کنید کارگاه آموزشی شما (که الان بیشتر جزوه نویسیه) پر رونق تر میشه و دعای ما تازه واردها همیشه پشت سرتونه .
    قرار بود طبق سرفصل ها بریم جلو ! باور کن خیلی از مدیران شبکه هنوز این مسایل رو در مورد کلاینتهاشون نمیدونند. ضمنا چند جلسه (شاید دو سه تا) بیشتر از ایکس پی نمونده ! بعد میریم رو ویندوز سرور !

    الان بیشتر جزوه نویسیه
    یعنی هیچ کاربردی توش نیست ! مفاهیم خاصی گفته نمیشه !؟ فقط جزوه نویسیه !؟ ببین از این مطالب هزار تا سناریو درمیاد ! شاید رسیدیم و چند تا سناریو یا سوال رو هم بررسی کردیم اما اینطور که میگی یه ذره به نظرم بی انصافیه
  4. شناسه تصویری itpirooz
    تنکس.
    ممنون که در مورد این بخش مهم توضیحات لازم رو برامون گذاشتید.مفید واقع است.
  5. شناسه تصویری Hanif
    با سپاس
  6. شناسه تصویری Jalilzadeh
    ممنون خسته نباشید مطالبتون آموزندست.
  7. شناسه تصویری erfan_net
    سلام اقای گنجی.بابا دمت خیلی گرمه دستت طا
  8. شناسه تصویری mef
    خیلی عالی بود من مشتاقانه منتظر شروع دوره سرور 2003 هستم
  9. شناسه تصویری eng_amir68
    آقا کارت درسته به خدا.مرسی
  10. شناسه تصویری alialipour
    سلام به همگی دوستان ارجمند بچه ها واقعا خسته نباشید
  11. شناسه تصویری andishee
    سلام عالی بود فقط یک مورد که من عکس هارو نمیبینم میخواستم ببینم مشکل از منه یا لینک تصاویر
    ممنون
    موفق و سربلند باشید
  12. شناسه تصویری th95
    نقل قول نوشته اصلی توسط andishee
    سلام عالی بود فقط یک مورد که من عکس هارو نمیبینم میخواستم ببینم مشکل از منه یا لینک تصاویر
    ممنون
    موفق و سربلند باشید
    حق با شماست
    بذارید ببینیم مشکل چیه
  13. شناسه تصویری nemo598
    خیلی خوب آموزش دادید...فقط در مورد خودم باید بگم که من نمی دونم در قسمت Port number چه شماره ای رو وارد کنم(من می خوام دوتا PC رو که به هم شبکه کردم رو در فایروال Exception کنم. خواهش میکنم که در مورد شماره ی پورتها توضیح بدید...خیلی ازتون سپاسگذار میشم.
  14. شناسه تصویری th95
    نقل قول نوشته اصلی توسط nemo598
    خیلی خوب آموزش دادید...فقط در مورد خودم باید بگم که من نمی دونم در قسمت Port number چه شماره ای رو وارد کنم(من می خوام دوتا PC رو که به هم شبکه کردم رو در فایروال Exception کنم. خواهش میکنم که در مورد شماره ی پورتها توضیح بدید...خیلی ازتون سپاسگذار میشم.
    سلام
    هر پورت و سرویسی رو که دوست دارید
    معمولا Files and Printer Sharing و Ping رو باز میذارن خصوصا اولی که برای شیر کردن فایها و پرینتر و .. لازمه
  15. شناسه تصویری nemo598
    سلام
    هر پورت و سرویسی رو که دوست دارید
    معمولا Files and Printer Sharing و Ping رو باز میذارن خصوصا اولی که برای شیر کردن فایها و پرینتر و .. لازمه
    آقای گنجی عزیز، من نمی دونم چه شماره ای برای چه پورتی هست یا پورتها چه شماره ای دارند.
  16. شناسه تصویری nemo598
    نقل قول نوشته اصلی توسط mhdganji
    سلام
    هر پورت و سرویسی رو که دوست دارید
    معمولا Files and Printer Sharing و Ping رو باز میذارن خصوصا اولی که برای شیر کردن فایها و پرینتر و .. لازمه
    آقای گنجی عزیز، من نمی دونم چه شماره ای برای چه پورتی هست یا پورتها چه شماره ای دارند.
  17. شناسه تصویری isfahany
    تشکر فراوان
  18. شناسه تصویری alirezakag
    سلام آقای گنجی
    یه سوال فوری و مهم دارم!!!!!!!
    من مطلبتونو در مورد پورتها خوندم ولی چیزی که میخواستم توش نبود!
    من میخواستم که پورت27017 رو واسه سرور زدن در یک بازی باز کنم!
    نمیدونمtcp یا ...؟!!! من وقتی سرور میزنم هر دفعه پورتم تغییر میکنه مثلا از 27017 میره به 27018
    لطفا کمک کنید!!! یعنی دلیلش چیه؟ راهی هست که ثابت بمونه؟