اطلاعاتی در ارتباط با پروفایلهای مختلف دیوارآتش در ویندوز سرور2019

هنگامی که کارت شبکهای در یک کامپیوتر یا سرور به شبکهای وصل شود، دیوارآتش ویندوز به آن کارت شبکه و اتصال سه پروفایل مختلف اختصاص میدهد. شاید در گذشته با چنین حالتی روبرو شده باشید یا حتا متوجه این موضوع نشده اید. وقتی لپتاپ خود را به وایفای یک کافی شاپ محلی وصل میکنید، آیا ویندوز از شما سؤال میکند که قصد اتصال به شبکه عمومی، کاری یا خانگی را دارید؟ این پرسشی است که دیوارآتش ویندوز از شما میپرسد و قصد دارد بر اساس پاسخی که میدهید پروفایل مناسب را برای اتصال به شبکه جدید اعمال کند.

سه پروفایل مختلف دیوارآتش

اصلی ترین دلیلی که باعث میشود به کارتهای شبکه و اتصالات شبکه پروفایلهای مختلف دیوارآتش را اختصاص دهید این است که درنظر دارید قواعد و معیارهای مختلف دسترسی و مجوزهایی که برای انجام برخی از کارها روی یک شبکه عمومی امکان پذیر است و کارهایی که فقط باید در یک شبکه خصوصی انجام شود را مشخص میکنید. به طور موثر از شما سؤال میشود که چقدر به شبک های که قصد اتصال به آن را دارید اعتماد دارید؟ به عنوان مثال، هنگامی که لپتاپ شما به شبکه شرکت متصل است، احتمالاً کمی راحتتر میتوانید از لپتاپ خود در مقایسه با زمانی که به اینترنت هتل متصل میشوید استفاده کنید. با تعیین خط مشیهای سختگیرانه در زمان اتصال به وا یفای هتل یک مکانیسم امنیتی محکمتر پیرامون لپتاپ خود میکشید تا هکرها به راحتی موفق نشوند به لپتاپ شما نفوذ کنند. اجازه دهید به شکل اجمالی این سه پروفایل را بررسی کنیم.
Domain Profile تنها پروفایلی است که نمیتوانید برای تخصیص آن را انتخاب کنید. این تنها شخصی است که شما نمی توانید انتخاب کنید که اختصاص دهید. Domain Profile تنها زمانی فعال است که یک کامپیوتر متصل به دامنه به تازگی به شبکهای متصل شده است که یک کنترل کننده دامنه برای آن دامنه در دسترس باشد. بنابراین، برای هر کامپیوتر یا دستگاه شرکتی که درون شبکه شرکت قرار دارد، پروفایل فوق فعال خواهد بود.
Private Profile هنگامی که به شبکه جدیدی متصل میشوید، پیغامی ظاهر میشود تا شما مکانی که قصد اتصال به آن را دارید مشخص کنید. اگر گزینه های Home یاWork را انتخاب کنید، به ارتباطی که ساخته خواهد شد پروفایلPrivate تخصیص پیدا میکند.
Public Profile هنگامی که پیغام اتصال به شبکه ظاهر شود و گزینهPublic را انتخاب کنید، یک پروفایل عمومی دیوارآتش برای آن ارتباط انتخاب میشود. همچنین اگر به دلایلی چنین پیغامی نشان داده نشود، گزینهای را انتخاب نکنید یا پنجره انتخاب تعیین وضعیت را ببنیدید، ویندوز برای اتصالی که ایجاد خواهد شد پروفایلPublic را اختصاص میدهد، زیرا پروفایل فوق حالت پیش فرض است و هر اتصالی که برای آن پروفایلی تعیین نشده باشد ،پروفایل عمومی اختصاص داده میشود. در نسخه های جدیدتر ویندوز به ویژه ویندوز 10 ، معمولا پیغامی مبنی بر انتخاب پروفایل عمومی را مشاهده نمیکنید و از شما در ارتباط با نوع شبکهای که قصد اتصال به آ ن را دارید سوالی نمیشود، به جای آنکه از شما این سوال پرسیده میشود که آیا به کامپیوتر خود اجازه میدهید با سایر دستگاهها در شبکه جدید ارتباط برقرار کند. به لحاظ فنی، هنوز هم نوع پرسش یکسان است و شما تصمیم میگیرد که ارتباط بر مبنای یک پروفایل خصوصی ایجاد شود یا یک پروفایل عمومی. هر اتصال شبکه پروفایل خاص خود را دارد، اما نکتهای که مهم است این است که شما میتوانید بیش از یک پروفایل دیوارآتش را در یک لحظه در یک سیستم فعال کنید. به عنوان مثال، سرور شرکت ممکن است به طور همزمان به شبکه سازمانی و همچنین اینترنت عمومی متصل باشد. درونWFAS شما هر دو گزینهDomain Profile و Public Profile را مشاهده میکنید که فعال هستند.

از طرف دیگر، بخشNetwork and Sharing Center را در سرور خود باز کنید، پروفایلها فهرست شده را مشاهده میکنید که به سادگی میتوانید اعلام دارید یک کارت شبکه از چه پروفایلی استفاده میکند.

به وجود اوردن یک قاعده جدید ورودی در دیوارآتش

اکنون میدانیم درون کنسولWFAS چه قابلیتها و تنظیماتی قرار دارد، پس اجازه دهید ازWFAS برای ساخت یک قاعده جدید استفاده کنیم. برای ساخت قاعده جدید در سرور خود باید دسترسی بهRDP را فعال کنید تا بتوانید به شکل ساده تری سرور را کنترل کنید. با این حال با فعا ل سازیRDP از هر نقطه از شبکه دسترسی بهRDP وجود دارد. در نتیجه نه تنها از طریق شبکه خودRDP دسترسی خواهیم داشت، بلکه امکان دسترسی از راه دور از طریق اینترنت امکانپذیر است. بدون شکل این اتفاق، مشکل بزرگی است، زیرا هر شخصی قادر است سرور ما را پیدا کند، پیغام ورودRDP را مشاهده کند و از طریق یک حمله جستوجوی فراگیر به سرور ما وارد شود. برای ای نکه این مشکل را برطرف کنیم باید به شکلی پیکربندی کنیم که دسترسی از طریق کارت شبکه خارجی امکان پذیر نباشد. به عبارت دقیقتر قصد داریم دسترسی به شکل داخلی فعال باشد و بتوانیم از درون شبکه به سرورخود دسترسی داشته باشیم، خوشبختانهWFAS یک راهکار ساده برای ساخت یک قاعده دیوارآتش برای محدود کردن دسترسی خارجی بهRDP دارد. برای دسترسی به تنظیمات پیشرفته دیوارآتش فرمان wf.msc را اجرا کنید و به بخشInbound Rules بروید.در این بخش تمامی قواعد ورودی دیوارآتش که روی سرور تنظیم شدهاند را مشاهده میکنید. روی گزینهInbound Rules راست کلیک کنید و گزینهNew Rule را انتخاب کنید …. با انجام این کار پنجرهای ظاهر میشود که اجازه ساخت قواعد جدید را میدهد. صفحه اول مکانی است که برای مشخص کردن نوع قاعد های که قصد ایجاد آن را داریم استفاده میشود. شما میتوانید قاعدهای را ایجاد کنید که ترافیک را برای یک برنامه خاص تغییر دهد یا میتوانید گزینهPredefined را انتخاب کنید و فهرستی از پروتکلهای از پیش تعریف شده را مشاهده کنید .در اینجا ما قصد داریم به درستی بدانیم قاعد های که قصد ایجاد آن را داریم قرار است چه کاری انجام دهد، زیرا به دنبال ساخت یک قاعده سفارشی هستیم و دلیلی برای تعریف یک پروتکل نداریم به دلیل این که میدانیم کهRDP ازپروتکلTCP و درگاه 3389 استفاده میکند. بنابراین، قصد داریم درگاه فوق را انتخاب کنیم و سپس دکمهNext را کلیک کنیم.

در مرحله سوم باید مشخص کنیم پورتی که آن را انتخاب کرده ایم اجازه دارد ترافیکی را عبور دهد یا خیر. گزینه دوم در این صفحه اجازه میدهد ترافیک تنها در صورتی که توسط پروتکلIPsec تایید شده است، انتقال پیدا کند. یک گزینه کارآمد به شرطی که پروتکلIPsec قبلا نصب شده باشد. به دلیل این وابستگی بیشتر افراد از گزینه یاد شده استفاده نمیکنند. به عنوان مثال، اکنون ما در حال کار باRDP هستیم، اما قصد داریم آ ن را روی کارتهای شبکه مسدود کنیم، بنابراین گزینه مسدود کردن اتصال را انتخاب میکنیم.

ما نمیخواهیمRDP را برای همه کارتهای شبکه مسدود کنیم، بنابراین تنظیمات صفحه بعدی حائز اهمیت هستند .در اینجا باید به دانش خود در مورد پروفایلهای دیوارآتش که پیشتر در مورد آ نها صحبت کردیم مراجعه کنیم. به این نکته دقت کنید که کارتهای داخلی متصل به دامنه شبکه پروفایلDomain را خواهند داشت. اما به هر کارت شبکهای که به شبکه داخلی وصل نیست، در حالی که کنترل کننده دامنه در دسترس است، باید پروفایل عمومی یا خصوصی را دریافت کند. اگر میخواهیمRDP را فقط در کارت شبکه خارجی غیرفعال کنیم، لازم است که این قاعده فقط برای پروفایل خصوصی و عمومی فعال باشد. در حقیقت، با نگاهی به عکسهایی که قبلاً گرفتیم، مشاهده میکنیم که کارت شبکه خارجی یک پروفایل عمومی دریافت کرده است، بنابراین در اینجا فقط باید تیک مربوط به پروفایل عمومی را بررسی کنیم تا مطمئن شویم درادامهRDP روی کارت شبکه خارجی مسدودخواهدبود.درصورتی که در آینده کارتهای شبکه بیشتری به سرور خود اضافه خواهید کرد باید مطمئن شوید که دسترسیRDP روی آ نها امکانپذیر نیست.اطمینان حاصل کنیدکه پروفایلDomain را غیر فعال کرد ه اید. اگر این موضوع رارعایت نکنید دسترسیRDP را به طور کامل مسدودخواهید کرد ودر آینده قادر به برقراری اتصال مجدد نخواهد بود ما به سادگی موفق شدیم یک قاعده جدید برای خود ایجاد کنیم و خیلی زود موفق شدیم دسترسی مستقیم به سرور با اتکا باRDP و از طریق اینترنت را غیر فعال کنیم.

ایجاد یک قاعده برای انجام پینگ(ICMP)

در اغلب موارد، مجبور هستیم قاعدهای برای تعیین وضعیت پروتکلICMP ایجاد کنیم. به عبارت دیگر، در برخی موارد مجبور هستیم دیوارآتش را به شکلی روی سرور تنظیم کنیم که توانایی پاسخگویی به درخواستها پینگ وجود داشته باشد. احتمالاً متوجه شده اید که با سیستم عاملهای جدید سرور کار ساده و عادی است که اجازه دهیم دیوارآتش به طور خودکار پینگهای(ICMP) را مسدود كند، اما ویژگی فوق برای محیط هایی که برای مشخص کردن یک آدرس آ یپی مصرف شده یا در دسترس از پینگ استفاده کنند مشکل ساز است. هنوز هم مدیران شبکه زیادی وجود دارند که آدر سهای آیپی که در شبکه خود استفاده کرده اند را یادداشت نمیکنند و هنگامی که باید سرور جدیدیی را پیکربندی کنند به سراغ پینگ میروند و تا زمانی که پیغامtime out را مشاهده نکنند اینکار را انجام م یدهند. من این را بارها دید ه ام. بدیهی است این روش خوبی برای مدیریت آدر س های آی پی نیست، اما این اتفاق رخ میدهد .متأسفانه، این روش مشکلات عدیدهای را به وجود میآورد، زیرا بیشتر نصبهای جدید ویندوز به گونهای انجام میشوند که پاسخهایICMP را مسدود میکنند. بهطور مثال ،ممکن است به یک آدرس آ ی پی پینگ کنید و پیغام time out را مشاهده کنید در حالی که سرور در واقعیت در حال استفاده از یک آدرس آی پی است. برای حل این مشکل بایدICMP را روی سرور فعال کنید، موضوعی که در شماره آینده به بررسی آن خواهیم پرداخت.

پاسخ دهید

آدرس ایمیل شما منتشر نخواهد شد. فیلدهای اجباری مشخص شده اند *
شما می توانید از این تگ های HTML و ویژگی ها استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>