محمد گنجی

سلام مجدد به دوستان
بحث را با فایروال ویندوز ادامه می‌دهیم.

گفتیم که با رفتن به برگۀ Advanced و قسمت Logging می‌توانیم تعیین کنیم که فعالیت‌های فایروال در یک فایل ثبت و نگهداری شوند که آدرس این فایل به صورت پیش‌فرض X:\WINDOWS\pfirewall.log می‌باشد.
بیایید مختصرا نگاهی به این فایل داشته باشیم و ببینیم چه فیلدهایی را در خود ذخیره می‌کند. با باز کردن فایل مورد نظر متوجه می‌شویم که این مقادیر برای هر ارتباط در آن نگهداری می‌شوند :

ابتدا این نوشته‌ها را می‌بینیم که در واقع سرشناسۀ فایل مورد نظر هستند :

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local

پس از آن می‌توان گزارش ارتباطات را در فیلدهای زیر دید :

#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

قسمت‌هایی که فعلا برای ما مهم هستند ببینید. منظورم زمان، تاریخ، نوع پروتکل، آدرس مبدا و مقصد و .. هستند. بقیه هم چیز خاصی نیست و احتمالا در Network+ با آنها آشنایی پیدا کرده‌اید. بهرحال در این قسمت موارد مهم مد نظر ما زمان برقرای ارتباط، نوع پروتکل استفاده شده، اینکه ارتباط برقرار شده یا فایروال جلوی آن را گرفته و مواردی از این دست می‌باشد.

حال به نمونه‌ای از ارتباطات ثبت شده دقت کنید :

2011-01-23 20:57:29 DROP TCP 209.85.149.101 192.168.0.10 80 3061 48 SA 3208540131 3247649899 5720 - - - RECEIVE
2011-01-23 20:57:30 DROP TCP 209.85.149.101 192.168.0.10 80 3061 48 SA 3208540131 3247649899 5720 - - - RECEIVE
2011-01-23 20:57:30 CLOSE UDP 192.168.0.10 4.2.2.4 3363 53 - - - - - - - - -
2011-01-23 20:57:30 CLOSE UDP 192.168.0.10 4.2.2.4 13018 53 - - - - - - -

تفسیر این خطوط با خود شما
این فایل را می‌توانید به راحتی داخل نرم‌افزاری مثل اکسل ببرید و گزارشات و جستجوهای دلخواه خود را در آن پیاده‌سازی نمایید. همانند شکل زیر :

استثنا کردن یک برنامه یا سرویس در فایروال ویندوز
خوب برویم سراغ یکی از موارد پرکاربرد و آن تعریف استثنا یا Exception در فایروال ویندوز است مساله‌ای که در هر فایروال دیگری هم قطعا با آن برخورد خواهید داشت.
گفتیم که به صورت پیش‌فرض ویندوز هر ترافیک درخواست نشده و ناخوانده‌ای را بلوکه می‌کند. اما این مساله در بسیاری از اوقات مشکل‌ساز می‌ود چرا که برنامه‌ها و سرویس‌هایی هستند که می‌خواهیم از این قائده مستثنی باشند.
برای مثال فرض کنید روی رایانۀ خود فایل‌هایی را به اشتراک گذاشته‌اید و بقیه می‌خواهند به سیستم شما وصل شده و آنها را بردارند. این کار از طریق سرویس Files And Printer Sharing امکان‌پذیر است اما اگر فایروال جلوی آن را گرفته باشد این کار عملا امکان‌پذیر نیست. بنابراین باید به ویندوز بگوییم که از این سرویس بگذر و فایروال را برای آن نادیده بگیر.
حتما دقت کرده‌اید که در قسمت فایروال ویندوز گزینه‌ای به نام Exception وجود دارد. برخی سرویس‌های مهم و پرکاربرد مثل همین Sharing و Remote Desktop در این بخش دیده می‌شوند و شما فقط کافیست که تیک کنار آنها را بزنید تا به عنوان استثنا در نظر گرفته شوند.
قبل از اینکه مراحل اضافه کردن یک استثنا برای برنامه یا پورت خاصی را شرح دهیم به این نکته دقت داشته باشید که این کار (تعریف استثنا) هم به صورت کلی یا Global و هم جداگانه برای هر ارتباط (Per Connection) قابل انجام است. بنابراین اگر می‌خواهید تعریف فقط برای یک اتصال خاص انجام شود به سراغ برگۀ Advanced بروید، Connection خود را انتخاب کنید و سپس استثنا را تعریف کنید. تصویر زیر را ببینید :

کاربرد این مساله هم مشخص است. فرض کنید شما دو کارت شبکه دارید که یکی به اینترنت و دیگری به شبکۀ داخلی وصل است. از سوی دیگر شما میزبان یک وب سایت هم روی رایانۀ خود هستید و می‌خواهید این سایت فقط برای کاربران شبکۀ داخلی شما قابل رویت باشد. بنابراین تعریف استثنای مربوطه یعنی پورت 80 (اگر فرض بر HTTP باشد) فقط باید روی ارتباط شما با شبکۀ داخلی انجام شود.
مطلب مهم دیگر آن است که بدانید بسته و باز بودن یک پورت در حالت کلی و یا روی یک اتصال در کنار هم چه نتیجه‌ای خواهد داشت و در واقع الگوی تصمیم ‌گیری در این میان چیست. پس جدول زیر را با دقت ببینید

تعریف استثنا برای یک برنامه
کار بسیار راحت است. به برگۀ تعریف استثنا بروید (در حالتی که مد نظرتان است؛ سراسری یا برای یک اتصال خاص). کلید Add Program را بزنید و برنامۀ مد نظر خود را آدرس‌دهی کرده و معرفی نمایید.
کاربرد این قضیه در مورد برنامه‌هایی است که با شبکه و اینترنت زیاد کار دارند. برای مثال وقتی Teamviewer را نصب یا برای اولین بار اجرا می‌کنید به شما می‌گوید که برای دستیابی به عملکرد صحیح باید این برنامه را به صورت استثنا تعریف کنید چرا که با شبکه زیاد کار دارد و نباید جلوی ترافیک آن گرفته شود. (و البته معمولا با زدن کلید OK خود برنامه به صورت خودکار این کار را برای شما انجام می‌دهد)
برای مثال به تصویر زیر دقت کنید. برنامۀ Cleartool می‌گوید که برای کارکرد صحیح نیاز به عبور از فایروال دارد و نباید بلوکه شود.

تعریف استثنا برای یک پورت
این مطلب نیز کاربرد بسیار زیادی دارد. خیلی اوقات شما باید راه را برای اتصال از طریق یک سرویس و پورت مورد نظر آن باز کنید و برنامۀ خاصی مد نظر نیست. برای مثال یک وب دارید که پیش فرض پیکربندی شده و از همان پورت TCP 80 استفاده می‌کند. خوب ! برنامۀ خاصی مد نظر نیست اما این پورت باید باز شود و یا بهتر بگوییم در فایروال به عنوان استثنا تعریف گردد.
باز هم مراحل کار ساده است. این بار کلید Add Port را بزنید. نامی برای این پورت انتخاب کرده، شماره و نوع آن (TCP,UDP) را وارد کنید. به همین سادگی


تعریف محدوده یا Scope برای استثناها
یکی از مواردی که کاربرد زیادی دارد و اکثر تازه‌کارها هم به آن بی‌توجه هستند بحث تعریف یک محدوده یا Scope برای استثناهای تعریف شده است. اجازه بدهید با یک مثال مساله را کاملا شفاف نمایم.
شما ادمین شبکه‌ای هستید که در آن چند رنج آدرس وجود دارد و به اینترنت هم وصل است. رنج آدرس شما 192.168.10.x است با پوشش شبکۀ /24 و بقیه از 192.168.11.x هستند تا 192.168.15.x. خوب ! صورت مساله چیست ؟ شما سرورهایی دارید که باید با Remote Desktop به آنها وصل بشوید و مدیریت شان کنید و این یعنی سرویس و پورت RDP باید روی سرور مربوطه باز شود. اما یک خطر و ریسک امنیتی وجود دارد ! با این کار شما راه را برای اتصال همه به سمت سرور باز کرده‌اید ! اینجاست که محدوده‌بندی به کمک شما می‌آید.
پس از تعریف یک استثنا می‌بینید که در قسمت پایین بخشی به نام Change Scope دارد. آن را کلیک کنید تا گزینه‌های زیر ظاهر شوند :

گزینۀ اول که قطعا افتضاح است . هر شبکه و رایانه‌ای حتی آنها که در اینترنت هستند.
گزینۀ دوم کمی بهتر است. می‌گوید آنهایی که فقط در همان رنج آدرس و S/M من هستند. شاید برای برخی دوستان این سوال پیش بیاید که مگر از آدرس‌های دیگر می‌توان به این آدرس وصل شد. جواب مثبت است و در بحث‌های مسیردهی یا Routing به آن خواهیم رسید.
گزینۀ سوم پیشرفته‌ترین حالت است و شما در آن دقیقا می‌گویید چه آدرسی و چه رنج‌هایی می‌توانند از این طریق به سیستم وصل شوند و در واقع این استثنا برای آنها معتبر است.

تعریف Ping به عنوان استثنا در فایروال
گمان می‌کنم تنها جایی که به آن نپرداختیم برگۀ ICMP در برگۀ Advanced است. می‌دانیم که دستور Ping دستور ساده‌ای است که می‌تواند در بررسی وضعیت رایانه‌ها و دیگر تجهیزات کمک فراوانی به یک مدیر شبکه بنماید. این دستور با پروتکل ICMP کار می‌کند و توضیح در خصوص آن فراوان است. چیزی که در اینجا به دنبال آن هستیم تعریف Ping به عنوان استثنا است.

گفتیم که پیش‌فرض همۀ ترافیک‌ها بلوکه می‌شوند پس درخواست Ping از رایانه هم شامل این مساله می‌شود. وقتی شما رایانه‌ای را Ping می‌کنید یک Echo به سمت آن می‌فرستید که برمی‌گردد و شما از سلامت آن مطمئن می‌شود. بنابراین در برگۀ مذکور با زدن تیک کنار عبارت Allow Incoming Echo Request اجازه می‌دهیم که یک درخواست به سمت رایانۀ ما بفرستد و جواب آن را دریافت کند و به عبارت ساده‌تر بتواند ما را Ping کند.
بقیۀ موارد را اگر خواستید می‌توانید خودتان در کتاب 70-270 مطالعه کنید.

موفق باشید و تا جلسۀ بعد خدانگهدار
شدیدا منتظر نظرات شما، امتیازهایتان تا ببینم کدام مطلب به درد بخورتر بوده و مطالب تکمیلی و ایرادهای وارده به این مطالب هستم.