فایروال ویندوز سرور

تاریخ آپدیت: 1403/10/30

فایروال چیست؟

فایروال یک تجهیز امنیتی شبکه است که برای نظارت، فیلتر و کنترل ترافیک شبکه ورودی و خروجی بر اساس قوانین امنیتی از پیش تعیین شده طراحی شده است.

فایروال ها به دو صورت سخت افزاری و نرم افزاری وجود دارند و با بررسی بسته های داده و تعیین اینکه آیا آنها را بر اساس مجموعه ای از قوانین، مجاز یا مسدود می کنند، کار می کنند.

 

چگونه فایروال ویندوز سرور کار میکند؟

فایروال ویندوز به‌عنوان یک مانع بین تجهیزات شبکه محلی و شبکه‌های خارجی عمل می‌کند.
هنگامی که تلاشی برای برقراری اتصال به یک سرور انجام می‌شود، فایروال ترافیک را رهگیری کرده و آن را با قوانین تعریف‌شده بررسی می‌کند.

تنها بسته‌های شبکه‌ای که با قوانین تنظیم‌شده مطابقت دارند اجازه عبور پیدا می‌کنند.
برای مثال، یک قانون می‌تواند ترافیک TCP را در پورت 80 مجاز کند، در حالی که سایر پورت‌ها را مسدود می‌کند.
قوانین به‌دقت تنظیم‌شده امنیت را بهینه می‌کنند و در عین حال اتصالات موردنظر را امکان‌پذیر می‌سازند.

ویندوز قوانین ورودی را برای کنترل ترافیک ورودی و قوانین خروجی را برای فیلتر کردن ترافیک خروجی ارائه می‌دهد.
این قوانین را می‌توان برای هر نمایه شبکه (Network Profile) سفارشی کرد.

 

فعال کردن فایروال ویندوز

به‌صورت پیش‌فرض، Windows Defender Firewall روشن است، اما در هر صورت، باید وضعیت فعلی را تأیید کرده و فایروال را روشن کنید.

برای انجام این کار:

  1. بر روی Node Tools در زیر Server Manager کلیک کنید.
  2. از لیست ظاهر شده، گزینه Windows Defender Firewall with Advanced Security را انتخاب کنید

 

از پنجره Group Policy Management بازشده، وضعیت فعلی پروفایل های Windows Firewall را بررسی کنید که آیا روی روشن (ON) تنظیم شده‌اند یا خیر.
در غیر این صورت، روی گزینه Windows Defender Firewall Properties کلیک کرده و سرویس را برای هر پروفایل روشن کنید.

 

قوانین فایروال

قوانین Windows Firewall به شما این امکان را می‌دهند که بسته‌های شبکه ورودی و خروجی خاص را در سرور خود مجاز یا مسدود کنید.
برای هر قانون ورودی (Inbound) یا خروجی (Outbound) می‌توانید چندین پارامتر انتخاب کنید.

یک قانون می‌تواند شامل موارد زیر باشد:

  • پورت TCP یا UDP
  • نام برنامه
  • سرویس
  • پروتکل

 

که برای هر پروفایل سرور فیلتر می‌شود.

 

گروه های پروفایل ویندوز فایروال

پروفایل های سرور ویندوز به سه دسته تقسیم می‌شوند:

  1. Domain: این پروفایل برای شبکه‌های سازمانی و شرکتی طراحی شده است که در آن‌ها یک کنترل‌کننده دامنه (Domain Controller) شناسایی میشود.
  2. Private: مربوط به اتصال شبکه خانگی یا محل کار.
  3. Public: نشان‌دهنده مکان‌های شبکه عمومی و غیرایمن.

 

ایجاد یک قانون در Windows Firewall:

برای ایجاد یک قانون جدید در فایروال، باید مراحل زیر را دنبال کنید:

مرحله 1:

    • از سمت راست بخش Inbound Rules یا Outbound Rules روی New Rule کلیک کنید.

 

 

مرحله 2:

    • از گزینه‌های Rule Type، گزینه Custom را انتخاب کنید و روی Next کلیک کنید.

 

 

مرحله 3:

    • این قانون را تنها برای یک برنامه و یا با انتخاب All programs (تمام برنامه‌ها) این قانون برای تمامی برنامه ها اجرا شود.
    • سپس روی Next کلیک کنید.

 

 

 

مرحله 4:

    • در قسمت Protocol Type، نوع پروتکل و شماره پورت موردنظر را انتخاب کنید و روی Next کلیک کنید.

مثلا میخواهید ترافیک خروجی برای پورت مقصد ۴۴۳(ترافیک وب) مجاز اعلام شود.در نتیجه باید در قسمت Remote port شماره پورت ۴۴۳ وارد شود.

 

 

مرحله 5:

    • ارتباط آدرس‌های IP را برای هر دو آدرس local و remote ip مشخص کنید و روی Next کلیک کنید.
  • Local Addresses: مربوط به آدرس‌های داخل سیستم یا سرور است.
  • Remote Addresses: مربوط به آدرس‌هایی است که از دستگاه‌های خارجی یا شبکه‌های دیگر می‌آیند.

Local Addresses (آدرس‌های محلی):

این گزینه برای مشخص کردن اینکه کدام آدرس IP محلی (در سمت سرور یا کلاینت) باید با قانون فایروال مطابقت داشته باشد، استفاده می‌شود.

به عبارت دیگر اگر سرور شما دارای چندین آدرس IP باشد، می‌توانید مشخص کنید این قانون تنها برای یک آدرس خاص local اعمال شود.

مثلاً، اگر سیستم شما دو آدرس IP داشته باشد (192.168.1.10 و 192.168.1.20)، می‌توانید قانون را فقط برای 192.168.1.10 فعال کنید.

 Remote Addresses (آدرس‌های راه دور):

این گزینه برای تعیین اینکه کدام آدرس IP خارجی (کلاینت یا سرور راه دور) باید مجاز یا مسدود شود، استفاده می‌شود.

مثلاً، ممکن است بخواهید فقط دستگاه‌های یک آدرس شبکه خاص (مانند 192.168.1.0/24) به سرور شما دسترسی داشته باشند.

 

 

 

 

 

مرحله 6:

    • اقدامی که باید روی ترافیک‌های مطابق انجام شود را انتخاب کنید (مانند Allow یا Block) و روی Next کلیک کنید.

 

 

مرحله 7:

    • پروفایل هایی که باید با قانون ایجاده شده مرتبط باشند را انتخاب کنید و روی Next کلیک کنید.

 

 

 

مرحله 8:

    • یک نام برای قانون فایروال خود وارد کنید و (در صورت نیاز) یک توضیح اختیاری اضافه کنید. سپس روی Finish کلیک کنید.

 

 

مرحله 9:

    • قانون فایروال در زبانه مربوطه (Inbound یا Outbound) بر اساس نوع ایجادشده نمایش داده می‌شود.
    • برای غیرفعال کردن یا حذف قانون:
      • قانون را  پیدا کنید، روی آن راست‌کلیک کنید و Disable Rule یا Delete را انتخاب کنید.

 

 

 

 

 

ایجاد یک قانون در فایروال از طریق ابزار Powershell:

PowerShell را باز کنید. سپس دستور زیر را ویرایش کرده و آن را با تنظیمات خود جایگزین کنید.

New-NetFirewallRule -Enabled:<True/False> -LocalPort:<port_number> -Protocol:<protocol> -Direction:<Inbound/Outbound> -Profile:<Domain/Private/Public> -Action:<Allow/Block> -DisplayName:"<Rule_Name>"

 

  • -Enabled:<True/False>: فعال یا غیرفعال کردن قانون فایروال (True برای فعال و False برای غیرفعال).
  • -LocalPort:<port_number>: شماره پورت محلی که می‌خواهید آن را باز کنید یا مسدود کنید.
  • -Protocol:<protocol>: پروتکل استفاده شده (مثل TCP یا UDP).
  • -Direction:<Inbound/Outbound>: جهت ترافیک شبکه (Inbound برای ورودی و Outbound برای خروجی).
  • -Profile:<Domain/Private/Public>: تعیین پروفایل فایروال که قانون برای آن اعمال می‌شود (Domain، Private یا Public).
  • -Action:<Allow/Block>: تعیین عمل انجام شده (Allow برای مجاز کردن ترافیک و Block برای مسدود کردن آن).
  • -DisplayName:"<Rule_Name>": نام نمایشی برای قانون فایروال که در مدیریت فایروال نمایش داده می‌شود.

 

مثلا دستور زیر برای باز کردن پورت 8080 برای ترافیک ورودی از پروتکل TCP برای تمامی پروفایل‌ها (Domain، Private، Public) است:

New-NetFirewallRule -Enabled:True -LocalPort 8080 -Protocol TCP -Direction Inbound -Profile Any -Action Allow -DisplayName "Allow inbound TCP traffic on port 8080"

 

 

Connection Security Rules:

قوانین Connection Security برای تأمین امنیت ترافیک بین دو دستگاه استفاده می‌شوند.

در سیستم‌های ویندوز برای تأمین امنیت و حفاظت از داده‌ها در حین انتقال از یک دستگاه به دستگاه دیگر استفاده می‌شود. این قوانین می‌توانند تعیین کنند که چگونه و کجا ترافیک امن عبور کند و چه شرایطی برای ارتباطات امن بین دو سیستم لازم است.

در پنل سمت چپ، روی «Connection Security Rules» کلیک کنید. در پنل سمت راست، روی «New Rule…» کلیک کنید. این گزینه جادوگر (Wizard) ایجاد قانون امنیت اتصال جدید را باز می‌کند.

نوع قانونی که می‌خواهید ایجاد کنید را انتخاب کنید. انواع رایج شامل موارد زیر است:

  • Isolation: فرض کنید دو کامپیوتر در شبکه شما باید فقط با یکدیگر ارتباط برقرار کنند، و ارتباط با سایر کامپیوترها محدود شود. با استفاده از قانون Isolation، شما می‌توانید این دو کامپیوتر را تنها بر اساس یک پارامتر احراز هویت خاص به یکدیگر متصل کنید.
  • Authentication Exemption (استثنا در احراز هویت): احراز هویت را برای کامپیوترهای خاص دور می‌زند.
  • Server-to-Server (سرور به سرور): فرض کنید دو سرور در شبکه دارید که باید داده‌هایی را به صورت امن و رمزگذاری شده بین یکدیگر ارسال کنند. در این حالت، از قانون Server-to-Server برای تأمین ترافیک بین آن‌ها استفاده می‌کنید.
  • Tunnel : اگر می‌خواهید اطلاعات بین دو دستگاه از طریق اینترنت با امنیت بالا منتقل شود، می‌توانید از یک Tunnel استفاده کنید که ارتباطات را رمزگذاری می‌کند و امنیت انتقال داده‌ها را تضمین می‌کند.
  • Custom (سفارشی): اجازه می‌دهد تنظیمات دقیق‌تری برای قانون ایجاد شود.

 

 

قوانین Connection Security   ترافیک را ایمن می‌کنند و برای رمزگذاری داده‌ها و احراز هویت ارتباطات بین دو دستگاه استفاده می‌شوند. اما برای اینکه ترافیک بتواند از فایروال عبور کند، شما باید علاوه بر این، قوانین فایروال مناسبی نیز تعریف کنید.

 

 

نکته: با توجه به سرویس های نصب شده میبایست دسترسی به برخی پورت ها و برنامه ها در فایروال مجاز اعلام شود.

در لیست زیر برخی از پورت ها و برنامه ها اشاره شده است.

DNS TCP 53
DNS UDP 53
HTTP TCP 80

HTTPS TCP 443
SMTP TCP 25
POP3 TCP 110
Control Panel
Webmail
FTP TCP 21
MSSQL TCP 1433
Remote Desktop TCP 3389

 

مقالات مرتبط

بکاپ گرفتن از هاست در Directadmin (فول بکاپ ، دیتابیس)
کاربردهای شبکه توزیع محتوا
پرداخت آفلاین و ثبت فیش در ایران سرور چگونه است؟