Firewall

1. Firewall là gì?
2. Tôi có thể sử dụng Firewall trên Windows XP cùng với sản phẩm VNPT MegaSecurity được không?
3. Sự khác nhau giữa  các Profile và các Rule trên Firewall là gì?
4. Làm thế nào để thay đổi Profile Firewall trên phần mềm VNPT MegaSecurity?
5. Làm thế nào để tôi thêm các Rule mới cho firewall? 
6. Làm thế nào tôi có thể xác định được một IP subnet?
7. Khi nào tôi phải tạo một dịch vụ Firewall mới cho một Rule?
8. Làm thế nào tôi có thể tạo một Rule sử dụng dịch vụ mà không có trong danh sách liệt kê?
9. Làm thế nào tôi có thể thay đổi các Rule của Firewall?
10. Làm thế nào tôi có thể mở một Port qua Firewall?
11. Tại sao phần FTP trên máy tính của tôi không làm việc sau khi tôi cài phần mềm VNPT MegaSecurity?
12. Tôi có một số máy tính nối mạng với nhau tại nhà. Làm cách nào tôi có thể cho phép hai máy tính có thể xem file lẫn nhau?
13. Tôi có thể dùng một TV card kỹ thuật số cùng với phần mềm VNPT MegaSecurity được không?
14. Làm thế nào tôi có thể cho phép tạm thời tất cả các lưu lượng mạng vào ra?

Firewall được dùng để bảo vệ máy tính của bạn bằng cách cho phép các Lưu lượng (traffic) an toàn và chặn các lưu lượng không an toàn từ Internet.

Thông thường, Firewall cho phép tất cả lưu lượng từ máy tính của bạn ra Internet, nhưng chặn tất cả lưu lượng truy cập từ Internet vào máy tính của bạn trừ khi bạn thiết lập cho phép một số trường hợp riêng được đi vào.  Bằng cách chặn các lưu lượng từ ngoài vào (inbound), Firewall bảo vệ máy tính của bạn  chống lại các phần mềm độc hại, ví dụ như sâu máy tính (worms) và ngăn chặn những đối tượng truy cập trái phép vào máy tính của bạn.

Không.Bạn không thể sử dụng đồng thời chức năng Firewall sẵn có của Windows XP cùng với phần mềm VNPT MegaSecurity. Phần mềm VNPT MegaSecurity đã có chức năng Firewall. Nếu bạn sử dụng hai chương trình Firewall đồng thời sẽ dễ dẫn đến máy tính của bạn bị treo. Tuy nhiên, bạn có thể sử dụng thiết bị tường lửa phần cứng (router) cùng với sản phẩm này.

Chức năng Firewall của phần mềm VNPT MegaSecurity chứa đựng nhiều Profile cho phép bạn thiết lập các chính sách bảo mật linh hoạt hơn hoặc nghiêm ngặt hơn. Các Profile Firewall cho phép bạn ngay lập tức thay đổi mức bảo vệ theo nhu cầu của bạn. Các Profile Firewall sẽ được tự động cập nhật để đảm bảo rằng bạn được bảo vệ chống lại các dạng mới nhất của những chương trình gây hại cũng như các cuộc tấn công trên Internet. Mỗi Profile bao gồm một tập các quy luật (Rule) được cấu hình trước trên Firewall. Mỗi người dùng có thể tạo ra các Rule riêng để có thể bổ sung vào các profile sẵn có của firewall.

Để thay đổi Profile của Firewall, bạn thực hiện như sau:

1. Trên cửa sổ giao diện chính, Kích Status.
2. Tại mục Firewall, kích vào mục liên kết, hiển thị loại Profile đang sử dụng (mặc định là Normal). Cửa sổ Change firewall profile sẽ mở ra.
3. Đọc các mô tả của Profile cẩn thận
4. Chọn loại Profile thích hợp từ danh sách sổ xuống và kích OK.

Cửa sổ Status bây giờ cho thấy cấu hình tường lửa mới. Các Rule và các thiết lập kiểm soát ứng dụng thay đổi theo loại Profle bạn đã lựa chọn.

Trước khi bắt đầu tạo ra một Rule mới, bạn hãy chọn loại Profile Firewall mà bạn muốn thêm các Rule.

Bắt đầu tạo một Rule mới

Bạn gõ vào một tên Rule và chọn xem Rule này từ chối hay cho phép lưu lượng đi qua.

Để bắt đầu việc tạo Rule, bạn thực hiện như sau

Chọn địa chỉ IP

Bạn có thể áp dụng các Rule cho tất cả các kết nối mạng hoặc chỉ áp cho các địa chỉ IP hoặc địa chỉ mạng cụ thể.

Chú ý: Tùy chọn IPv6-related chỉ có thể được sử dụng nếu hệ điều hành máy tính của bạn là Microsoft Windows Vista hoặc Windows 7.

Để chọn địa chỉ IP:

1. Chọn một trong những lựa chọn sau:
   1. 1. Trong hộp thoại Addresses, chọn một tùy chọn trên phần Type:
         
         

         Loại	Địa chỉ ví dụ
         IP address	192.168.5.16
         DNS name	www.example.com
         IP range	192.168.1.1-192.168.1.63
         IP subnet	192.168.88.0/29
         MyDNS	[mydns]
         MyNetwork	[mynetwork]
         IPv6 address	2001:db8:85a3:8d3:1319:8a2e:370:733
         IPv6 range	2001:db8:1234:: - 2001:db8:1234:FFFF:FFFF:FFFF:FFFF:FFFF
         IPv6 subnet	2001:db8:1234::/48

      2. Gõ vào địa chỉ trong trường Address
      3. Để thêm một địa chỉ vào trong danh sách các địa chỉ, Kích Add to list
      4. Lặp lại các bước từ trên để thêm tất cả các địa chỉ cần thiết vào trong danh sách địa chỉ.
      5. Kích OK
   • Để áp dụng các Rule cho cả IPv4 và địa chỉ IPv6, chọn Any IP address.
   • Để áp dụng các Rule cho tất cả các địa chỉ IPv4, chọn Any IPv4 address.
   • Để áp dụng các Ruke cho tất cả các địa chỉ IPv6, chọn Any IPv6 address.
   • Để áp dụng các Rule theo địa chỉ IP và các mạng cụ thể, chọn Custom và kích Edit. Hộp thoại Addresses sẽ mở ra.
2. Kích Next

Nếu bạn muốn xác định theo một IP subnet, sử dụng Classless Inter-Domain Routing (CIDR). Nó là một tiêu chuẩn bao gồm địa chỉ mạng và subnet mask. Ví dụ:

Chọn dịch vụ và hướng truy cập (services and direction)

Chọn các dịch vụ mà các Rule của Firwall áp dụng và hướng truy cập của lưu lượng.

Để chọn dịch vụ và hướng truy cập

1. Chọn các dịch vụ mà bạn muốn áp dụng Rule:
   • Nếu bạn muốn áp dụng Rule cho tất cả các lưu lượng theo IP, chọn All IP traffic trên danh sách.
   • Nếu dịch vụ bạn cần không có trong danh sách, trước hết, bạn phải tạo ra nó
     Biểu tượng xuất hiện trong cột Direction cho các dịch vụ bạn lựa chọn.
     

     Hướng	Mô tả
     	Dịch vụ được cho phép hoặc bị từ chối theo cả hai hướng.
     	Dịch vụ được cho phép hoặc bị từ chối nếu nó là từ Internet đến máy tính của bạn (inbound).
     	Dịch vụ được cho phép hoặc từ chối nếu nó là từ máy tính của bạn ra Internet (outbound).

2. Đối với mỗi dịch vụ, chọn hướng lưu lượng truy cập mà Rule áp dụng. Hướng là từ máy tính của mình ra Internet hoặc ngược lại. Để chọn hướng, nhấp vào biểu tượng ở cột Direction.
3. Kích Next.

Chọn tùy chọn cảnh báo (Alerting options)

Bạn có thể chọn các hình thức cảnh báo cho bạn khi Firewall từ chối hoặc cho phép các lưu lượng vào ra.

Để chọn tùy chọn cảnh báo

1. Bạn chọn một trong các tùy chọn sau:
   • Nếu bạn không muốn được cảnh báo, hãy chọn No alert. Trong trường hợp này sẽ không có cảnh báo nào được ghi vào log, cũng như không có cửa sổ cảnh báo xuất hiện. này sẽ không. Bạn chỉ nên chọn tùy chọn này nếu bạn tạo một Rule cho phép lưu lượng đi qua.
   • Nếu bạn muốn ghi cảnh báo vào hệ thống log, hãy chọn Log.
   • Nếu bạn muốn ghi cảnh báo vào hệ thống log và đồng thời cho phép hiển thị hộp thoại cảnh báo, hãy chọn Log and pop-up. Lưu ý rằng, trong trường hợp này, bạn phải cho phép chức nang alert pop-up trong hộp thoại Firewall alerts.
   • Trong trường Alert text, nhập một mô tả dạng cảnh báo để có thể xem được trong alert log and hộ thoại cảnh bảo.
2. Nhấp Next.

Kiểm tra và chấp nhận Rule

Kiểm tra và chấp nhận Rule mớ:

1. Kiểm tra tổng quan Rule. Nếu thấy cần thay đổi, kích Previous.
2. Khi bạn hài lòng với Rule mới, kích Finish.

Rule mới của bạn giờ đây được hiển thị trên danh sách các Rule trên tab Rules, và mặc định nó tự động ở tình trạng bật. Nếu bạn tạo nhiều Rule, bạn có thể xác định thứ tự ưu tiên cho chúng.

Bạn có thể phải làm điều này nếu bạn đang tạo một Rule để áp cho một chương trình tuy nhiên định nghĩa dịch vụ trên firewall chưa có sẵ.

Dịch vụ này định nghĩa các giao thức (protocol) và các cổng (port) chương trình sử dụng. Để tìm hiểu thông tin này, hãy tham khảo tài liệu của chương trình.

Để tạo một dịch vụ trên firewall:

1. Trên giao diện chính của phần mềm, kích Settings.
2. Chọn Network Connections>Firewall.
3. Kích Tab Services.
4. Kích Add. Hộp thoại Add new service sẽ xuất hiện.
5. Trong trường Name, nhập tên cho dịch vụ đang thiết lập. nên dùng tên mà bạn có thể dễ dàng nhận ra.
6. Trong list Protocol, bạn chọn giao thức dịch vụ:
   • ICMP (1)
   • TCP (6)
   • UDP (17)
     Nếu bạn muốn sử dụng giao thức IP khác, hãy nhập số giao thức từ 0-255 trong trường này.
7. Nếu dịch vụ sử dụng giao thức TCP hay UDP, xác định Initiator ports (port khởi tạo) của dịch vụ. Nếu tài liệu hướng dẫn chương trình không đề cập đến các port khởi tạo, bạn có thể sử dụng bất kỳ port nào với số từ 1023 trở lên.
   • Thêm vào các port.
     • Để thêm vào một port đơn, gõ vào số port trong trường Single. Ví dụ: 1024.
     • Để thêm vào một dãy port, gõ vào số của port thấp nhất và port cao nhất trong trường Range. Ví dụ: 1024-65535.
   • Kích Add to list.
   • Lập lại các bước trên để thêm vào các port cần thiết
   • Kích OK.
8. Nếu dịch vụ sử dụng giao thức TCP hay UDP, xác định responder ports (port trả lời) của dịch vụ. Responder ports thường được đề cập trong tài liệu của phần mềm.
   • Kích Edit, bên cạnh trường responder ports.
   • Thêm vào các port.
     • Để thêm vào một port đơn, gõ vào số port trong trường Single.
     • Để thêm vào một dãy port, gõ vào số của port thấp nhất và port cao nhất trong trường Range.
   • Kích Add to list.
   • Lập lại các bước trên để thêm vào các port cần thiết
   • Kích OK.
9. Nếu dịch vụ dùng giao thức ICMP, định nghĩa loại (Type) và mã (Code) của dịch vụ. Kích Edit để gõ vào các giá trị trong các trường Type và Code. Các giá trị được phép nhập vào là từ 0-255.
10. Nếu bạn dùng dịch vụ này và cho phép luồng lưu lượng đi vào, bạn cũng có thể định nghĩa bạn có muốn cho phép cả các lưu lượng Broadcast và Multicast hay không. Loại lưu lượng này thường được tạo ra khi bạn sử dụng các chương trình như là web radio hoặc TV. Để cho phép chúng, bạn chọn Allow Broadcasts và Allow multicasts. Thường thì người sử dụng không chọn các chức năng này.
11. Trong hộp thoại Add new service, kích OK.

Dịch vụ bạn mới tạo ra sẽ được hiển thị trong danh sách dịch vụ trên tab Services. Để từ chối hoặc cho phép các lưu lượng mà dịch vụ đã định nghĩa, bạn cần đưa dịch vụ này vào trong một Rule của Firewall.

Bạn có thể phải tạo mới một dịch vụ firewall và các Rule nếu bạn muốn chơi trò chơi mạng, hoặc sử dụng một dịch vụ để kết nối máy tính từ xa Virtual Network Computing (VNC)

Ví dụ, đối với VNC bạn cần tạo hai dịch vụ firewall để mở các port sau đây:

Port TCP 5500, 5800, 5900, Initiator port > 1024.

Port UDP 5500, 5800, 5900, Initiator port > 1024

1. Tạo một dịch vụ theo giao thức TCP với các chi tiết sau đây:
   1. Mô tả dịch vụ: VNCTCP
   2. Giao thức: TCP (6)
   3. Initiator Port, range: 1023-65535
   4. Responder Port: 5500, 5800 và 5900
2. Tạo một dịch vụ theo giao thức UDP với các chi tiết sau đây:
   1. Mô tả dịch vụ: VNCUDP.
   2. Chọn giao thức: UDP (17)
   3. Initiator Port, range: 1023-65535
   4. Responder Port: 5500, 5800 và 5900
3. Tạo một Rule cho firewall với các chi tiết sau đây:
   1. Tên Rule: VNC
   2. Chọn loại Rule: Allow
   3. Chọn IP Addresses: Any IP Address
   4. Chọn dịch vụ: VNCTCP và VNCUDP. Kích chuột vào giữa biểu tượng hình máy tính và quả cầu cho đến khi dấu mũi tên có hai đầu xuất hiện.
   5. Alert type: No alert
4. Để áp dụng Rule, thiết lập VNC là được phép trong application control
   1. Chọn: Network connections > Application control.
   2. Kích tab Applications.
   3. Kích Add.
   4. Kích Browse và chọn file vncviewer.exe.
   5. Dưới Outbound (client) connection, chọn Allow
   6. Dưới Inbound (server) connection, Allow
   7. Kích OK

Bây giờ bạn sẽ nhìn thấy Rule mới được thêm vào trong sanh sách các Rule và đang ở tình trạng bật. Bây giờ bạn có thể thử lại chương trình VNC của bạn.

9. Làm thế nào tôi có thể thay đổi các Rule của Firewall?

Bạn chỉ có thể thay đổi các Rule do chính bạn tao ra.

Để thay đổi một Rule, bạn thực hiện như sau:

1. Trên cửa sổ giao diện chính, kích Settings.

2. Chọn Network connections > Firewall.

3. Kích tab Rules.

4. Chọn Rule và kích Details. Cửa sổ hội thoại Rule details sẽ mở ra.

5. Tạo các thay đổi cẩn thiết trong mỗi bước và tiếp tục di chuyển đến bước tiếp theo bằng cách kích Next.

6. Trong cửa sổ hội thoại Rule details, kiểm tra các thay đổi bạn đã làm.

7. Kích Finish để kết thúc.

Các thay đổi bạn đã thực hiện được áp vào Rule.

10. Làm thế nào tôi có thể mở một Port qua Firewall?

Bạn có thể mở một Port qua Firewall nếu bạn muốn cho phép một số lưu lượng Internet và bạn biết số của Port bạn muốn mở.

Bạn không cần phải thêm các Rule của riêng bạn đến tất cả các Profile của Firewall. Chọn firewall profile bạn muốn them vào Rule mới trước khi bạn mở Port.

Khi bạn mở một Port qua Firewall, bạn tạo một Rule mới và hai dịch vụ mới.

1. Trên cửa sổ giao diện chính, kích Tasks.

2. Kích Open firewall port.

3. Trong trường Name, gõ vào tên của Rule mới.

4. Trong trường Port number, chỉ định Responder port của Rule. Responder port thường được đề cập trong tài liệu phần mềm.

5. Kích OK.

Rule mới được thêm vào danh sách các Rule của Firewall và hai dịch vụ mới được tạo trên danh sách dịch vụ của Firewall ứng với hai giao thức TCP và UDP theo số Port đã chỉ định.

11. Tại sao phần FTP trên máy tính của tôi không làm việc sau khi tôi cài phần mềm VNPT MegaSecurity?

Bạn phải thêm vào một Rule chiều outbound (ra ngoài) cho Profile của Firewall. Để tạo một Rule mới cho phần mềm FTP, bạn thực hiện như sau:

1. Trên cửa sổ giao diện chính, kích Settings.

2. chọn Network connections > Firewall.

3. Kích tab Rules.

4. Kích Add. Cửa sổ hội thoại Add new rule sẽ mở ra

5. Làm theo các chỉ dẫn trong các cửa sổ hội thoại.

6. Trong bước 3, chọn loại dịch vụ FTP / File Transfer Protocol, active mode.

7. Làm theo các chỉ dẫn trong các cửa sổ hội thoại.

8. Kích Finish Để kết thúc.

12. Tôi có một số máy tính nối mạng với nhau tại nhà. Làm cách nào tôi có thể cho phép hai máy tính có thể xem file lẫn nhau?

Bạn cần tạo ra một Rule mới trên Firewall cho việc chia sẽ file (Windows file sharing) giữa các máy tính.

Nếu trong mạng của bạn có dùng một router (thiết bị định tuyến), bạn hãy kiểm tra thiết lập cấu hình cấp địa chỉ IP động (DHCP) trên router để biết được phạm vi địa chỉ IP cấp cho các máy tính trong mạng. Tham khảo tài liệu của Router để hiểu rõ hơn.

Phần lớn, dãy địa chỉ IP dùng cho mạng tại nhà là từ 192.168.1.1 – 192.168.1.254. Nếu bạn muốn chia sẽ file giữa các máy tính, bạn phải tạo các Rule giống nhau trên các máy tính này.

Để tạo một Rule mới, bạn thực hiện như sau:

1. Trên cửa sổ giao diện chính, kích Settings.

2. chọn Network connections > Firewall.

3. Kích tab Rules.

4. Kích Add.

5. Gõ vào tên và chọn loại Rule:

   Bước	Ví dụ
   Gõ vào tên Rule	FileSharing
   Chọn loại Rule	Allow

6. Chon địa chỉ IP

   Bước	Ví dụ
   Kích Custom. Kích Edit. Chọn IP range và gõ vào các địa chỉ của các máy tính có trong mạng. Kích Add to list.	192.168.1.1 - 192.168.1.254

7. Chọn dịch vụ (services) và hướng truy cập (direction):

Step	Example
Chọn các dịch vụ mà hệ thống Windows file sharing sử dụng	SMB over TCP/IP (TCP) SMB over TCP/IP (UDP) Windows file sharing and network printers Windows network browsing ICMP / Internet Control Message Protocol
Chọn hướng truy cập chỏ cả hai dịch vụ	(from the Internet to your computer)

• Select the alerting type:

  Bước	Ví dụ
  Chọn loại cảnh báo	No alert

• Kiểm tra lại Rule và kích Finish. Rule mới của bạn sẽ được hiển thị trong danh sách các Rule của tab Rule, và tự động ở chế độ bật.

• Test lại việc chia sẽ file bằng cách sử dụng Windows file sharing để chia sẽ thư mục hoặc file và kiểm tra xem bạn có thể truy cập được thư mục hoặc file trên các máy tính khác trong mạng hay không.

Lưu ý: Nếu bạn muốn chia sẽ máy in, bạn tạo một Rule tương tự như trên. Trong trường hợp này, bạn chỉ cần tạo một Rule 'allow” theo hướng inbound (vào trong) trên máy tính có gắn máy in.

13. Tôi có thể dùng một TV card kỹ thuật số cùng với phần mềm VNPT MegaSecurity được không?

Được. Nếu hình ảnh TV bị đứng hình khi bạn dùng TV cùng với phần mềm VNPT MegaSecurity, bạn thêm TV card như là một giao diện mạng tin cậy bằng cách thực hiện như sau:

1. Trên cửa sổ giao diện chính, kích Settings.

2. Chọn Network connections > Firewall.

3. Kích tab Settings.

4. Trong danh sách Trusted network adapter, chọn TV card.

5. Kích OK.

TV card của bạn sẽ hoạt động tốt.

14. Làm thế nào tôi có thể cho phép tạm thời tất cả các lưu lượng mạng vào ra?

Chú ý: máy tính của bạn không được bảo vệ nếu bạn cho phép tất cả các lưu lượng mạng vào ra.

Để cho phép tất các lưu lượng mạng vào ra, bạn thực hiện như sau:

1. Kích chuột phải trên biểu tượng của phần tại góc phải phía dưới màn hình

2. Từ menu hiện ra, bạn chọn Unload.

3. Để cho phép tất cả các lưu lượng Internet, chọn Unload and allow all network traffic.

Để khôi phục tình trạng bảo mật trên máy tính của bạn trở lại, bạn kích chuột phải trên biểu tượng của chương trình và chọn Reload.