विंडोज फ़ायरवॉल को कॉन्फ़िगर करना (Configuring the Windows Firewall):
विंडोज सर्वर ऑपरेटिंग सिस्टम में एक अंतर्निहित स्टेटफुल फ़ायरवॉल शामिल है जिसे विंडोज फ़ायरवॉल कहा जाता है।
एक स्टेटफुल फ़ायरवॉल का नाम इसलिए रखा गया है क्योंकि यह किसी विशेष कनेक्शन की स्थिति के आधार पर जानकारी को ट्रैक और बनाए रख सकता है; यदि कंप्यूटर A का कोई उपयोगकर्ता कंप्यूटर B के वेब सर्वर से जुड़ा है, तो एक स्टेटफुल फ़ायरवॉल सभी नेटवर्क ट्रैफ़िक की अनुमति दे सकता है जो कंप्यूटर A और कंप्यूटर B के बीच उस “बातचीत” से संबंधित है।
विंडोज फ़ायरवॉल विंडोज सर्वर 2008 की सभी नई स्थापनाओं पर डिफ़ॉल्ट रूप से सक्षम है, और इसे विंडोज फ़ायरवॉल कंट्रोल पैनल एप्लेट, उन्नत सुरक्षा एमएमसी स्नैप-इन (पहले चर्चा की गई) के साथ नया विंडोज फ़ायरवॉल या समूह नीति ऑब्जेक्ट्स के माध्यम से मैन्युअल रूप से प्रबंधित किया जा सकता है। एक सक्रिय निर्देशिका वातावरण में।
Windows Server 2008 में Windows फ़ायरवॉल का डिफ़ॉल्ट कॉन्फ़िगरेशन सभी अवांछित इनबाउंड ट्रैफ़िक को ब्लॉक कर देगा; अर्थात्, एक दूरस्थ नेटवर्क होस्ट से कंप्यूटर तक पहुँचने का प्रयास करता है जिसे स्थानीय सर्वर के व्यवस्थापक द्वारा विशेष रूप से अधिकृत नहीं किया गया है।
फ़ायरवॉल सेटिंग्स कॉन्फ़िगर करें (Configure Firewall Settings):
विंडोज फ़ायरवॉल के सबसे बुनियादी विन्यास को विंडोज फ़ायरवॉल कंट्रोल पैनल एप्लेट में प्रबंधित किया जा सकता है, जिसे विंडोज कंट्रोल पैनल से या सर्वर मैनेजर एमएमसी स्नैप-इन के माध्यम से एक्सेस किया जा सकता है। विंडोज फ़ायरवॉल एप्लेट नीचे चित्र में दिखाया गया है।
Windows फ़ायरवॉल नियंत्रण कक्ष एप्लेट से, आप निम्न कॉन्फ़िगरेशन आइटम प्रबंधित कर सकते हैं:
विंडोज फ़ायरवॉल को चालू या बंद करें (Turn the Windows Firewall on or off)-
Windows फ़ायरवॉल को पूरी तरह से बंद करने की अनुशंसा नहीं की जाती है, क्योंकि आप अवांछित इनबाउंड ट्रैफ़िक से सुरक्षा खो रहे हैं।
विंडोज फ़ायरवॉल के माध्यम से एक प्रोग्राम को अनुमति दें (Allow a program through the Windows Firewall) –
यदि आप जानते हैं कि आपके Windows Server 2008 कंप्यूटर का उपयोग दूरस्थ क्लाइंट द्वारा किया जा रहा है, तो आप Windows फ़ायरवॉल कॉन्फ़िगरेशन में अपवादों को कॉन्फ़िगर कर सकते हैं जो कुछ प्रकार के इनबाउंड ट्रैफ़िक की अनुमति देगा।
विंडोज फ़ायरवॉल चालू या बंद करें हाइपरलिंक पर क्लिक करके, आपको नीचे के चित्र में दिखाए गए स्क्रीन पर ले जाया जाएगा। यहां से, आप विंडोज फ़ायरवॉल को तीन राज्यों में से एक में कॉन्फ़िगर कर सकते हैं:
ऑन (On) –
यह विंडोज फ़ायरवॉल का डिफ़ॉल्ट कॉन्फ़िगरेशन है। आपके द्वारा परिभाषित किसी भी अपवाद से मेल खाने वाले ट्रैफ़िक को छोड़कर, किसी भी अवांछित इनबाउंड नेटवर्क ट्रैफ़िक को अवरुद्ध कर दिया जाएगा।
ऑन, आने वाले सभी कनेक्शनों को ब्लॉक करें (On, block all incoming connections) –
आने वाले सभी कनेक्शनों को ब्लॉक करें के आगे एक चेकमार्क लगाकर, आप विंडोज फ़ायरवॉल को आने वाले सभी ट्रैफ़िक को ब्लॉक करने के लिए बाध्य करेंगे, जिसमें आपके द्वारा बनाए गए अपवादों से संबंधित किसी भी ट्रैफ़िक को ब्लॉक करना शामिल है।
सॉफ़्टवेयर समस्या का निवारण करने के लिए, या यदि किसी वायरस या मैलवेयर के अन्य भाग ने आपके नेटवर्क पर दूरस्थ मशीनों को संक्रमित कर दिया है, तो आप Windows Server 2008 कंप्यूटर पर सभी सेवाओं के लिए नेटवर्क ट्रैफ़िक को अस्थायी रूप से अस्वीकार करने के लिए इस विकल्प का चयन कर सकते हैं।
बंद (Off) –
जैसा कि ऊपर कहा गया है, इस कॉन्फ़िगरेशन की अनुशंसा नहीं की जाती है क्योंकि आप Windows फ़ायरवॉल से संबद्ध सभी नेटवर्क सुरक्षा खो देते हैं।
नीचे चित्र में दिखाए गए अपवाद टैब से, आप अपवाद बना सकते हैं जो विशिष्ट सेवाओं, .EXE फ़ाइलों, या TCP या UDP पोर्ट नंबरों को भेजे गए इनबाउंड ट्रैफ़िक की अनुमति देगा। यहां सूचीबद्ध विंडोज सर्वर 2008 विंडोज फ़ायरवॉल में कई पूर्व-कॉन्फ़िगर किए गए अपवाद हैं:
बिट्स पीरकैचिंग (BITS Peercaching)-
एक ही सबनेट में बैकग्राउंड इंटेलिजेंट ट्रांसफर सर्विस (BITS) क्लाइंट को उनके BITS कैश में फ़ाइलें साझा करने की अनुमति देता है।
COM1 नेटवर्क एक्सेस (COM1 Network Access) –
COM1 घटकों के दूरस्थ सक्रियण की अनुमति देता है।
कोर नेटवर्किंग (Core Networking):
बुनियादी IPv4 और IPv6 कनेक्टिविटी (डिफ़ॉल्ट रूप से सक्षम) के लिए आवश्यक बुनियादी पोर्ट की अनुमति देता है।
वितरित लेनदेन समन्वयक (Distributed Transaction Coordinator) :
लेन-देन से संबंधित संसाधनों को अद्यतन करने वाले लेन-देन का समन्वय करता है, जैसे डेटाबेस और संदेश ट्रैकिंग सिस्टम।
फ़ाइल और प्रिंटर साझा करना (File and Printer Sharing) :
स्थानीय कंप्यूटर पर कॉन्फ़िगर किए गए फ़ाइल शेयरों के लिए इनबाउंड एक्सेस की अनुमति देता है।
आईएससीएसआई सेवा (iSCSI Service):
iSCSI स्टोरेज एरिया नेटवर्क द्वारा उपयोग के लिए iSCSI सर्वर और उपकरणों तक पहुंच की अनुमति देता है।
प्रमुख प्रबंधन सेवा (Key Management Service):
Microsoft उत्पादों के लाइसेंस अनुपालन पर नज़र रखने के लिए उपयोग किया जाता है।
नेट लॉगऑन सेवा (Netlogon Service):
सक्रिय निर्देशिका डोमेन नियंत्रकों और क्लाइंट के बीच एक सुरक्षित कनेक्शन बनाए रखने के लिए उपयोग किया जाता है।
प्रसार खोज (Network Discovery) :
विंडोज विस्टा और विंडोज सर्वर 2008 में नया, मेजबानों को यूनिवर्सल प्लग एंड प्ले (यूपीएनपी) और प्रकाशन नेटवर्क सेवाओं से संबंधित अन्य सेवाओं के माध्यम से नेटवर्क पर अन्य कंप्यूटरों द्वारा दी जा रही नेटवर्क सेवाओं की खोज करने की अनुमति देता है।
प्रदर्शन लॉग और अलर्ट (Performance Logs and Alerts) :
प्रदर्शन लॉग और अलर्ट सेवा के लिए दूरस्थ पहुँच की अनुमति देता है।
दूरस्थ प्रशासन (Remote Administration) :
कंप्यूटर प्रबंधन MMC स्नैप-इन जैसी व्यवस्थापन उपयोगिताओं के लिए दूरस्थ पहुँच की अनुमति देता है।
दूरवर्ती डेस्कटॉप (Remote Desktop) :
रिमोट डेस्कटॉप कंसोल तक पहुंच की अनुमति देता है, जो डिफ़ॉल्ट रूप से टीसीपी पोर्ट 3389 पर चलता है।
रिमोट इवेंट लॉग मैनेजमेंट (Remote Event Log Management) :
स्थानीय ईवेंट लॉग को दूरस्थ रूप से देखने और प्रबंधन की अनुमति देता है।
दूरस्थ अनुसूचित कार्य प्रबंधन (Remote Scheduled Tasks Management) –
स्थानीय कंप्यूटर पर कार्य शेड्यूलर को दूरस्थ रूप से देखने और प्रबंधन की अनुमति देता है।
दूरस्थ सेवा प्रबंधन (Remote Service Management) –
स्थानीय सेवाओं के दूरस्थ प्रबंधन की अनुमति देता है।
रिमोट वॉल्यूम मैनेजमेंट (Remote Volume Management) –
स्थानीय डिस्क और वॉल्यूम के दूरस्थ प्रबंधन की अनुमति देता है।
रूटिंग और रिमोट एक्सेस (Routing and Remote Access)-
आने वाले आरएएस और वीपीएन कनेक्शन की अनुमति देता है।
सुरक्षित सॉकेट टनलिंग प्रोटोकॉल (Secure Socket Tunneling Protocol) –
एसएसटीपी का उपयोग करके आने वाले कनेक्शन की अनुमति देता है, एक नई सुविधा जो वीपीएन कनेक्शन को 443 के सुरक्षित एसएसएल पोर्ट पर अनुमति देती है, जिसे एचटीटीपीएस भी कहा जाता है।
एसएनएमपी ट्रैप (SNMP Trap) –
एसएनएमपी ट्रैप सेवा से संबंधित यातायात को स्थानीय कंप्यूटर द्वारा प्राप्त करने की अनुमति देता है।
विंडोज फ़ायरवॉल रिमोट मैनेजमेंट (Windows Firewall Remote Management)-
Windows Server 2008 में नया, यह स्थानीय कंप्यूटर पर Windows फ़ायरवॉल को दूरस्थ कंसोल से प्रबंधित करने की अनुमति देता है।
विंडोज मैनेजमेंट इंस्ट्रुमेंटेशन (डब्लूएमआई) (Windows Management Instrumentation (WMI)):
प्रबंधनीय और स्क्रिप्ट योग्य घटकों और कक्षाओं के एक सेट का उपयोग करके विंडोज कंप्यूटर के दूरस्थ प्रबंधन की अनुमति देता है।
विंडोज रिमोट मैनेजमेंट (Windows Remote Management) –
WS-प्रबंधन प्रोटोकॉल का उपयोग करके दूरस्थ प्रबंधन की अनुमति देता है।
विंडोज सुरक्षा कॉन्फ़िगरेशन विज़ार्ड (Windows Security Configuration Wizard)-
सुरक्षा कॉन्फ़िगरेशन विज़ार्ड के लिए दूरस्थ पहुँच की अनुमति देता है।
Windows फ़ायरवॉल में अपवादों को निम्न में से किसी एक क्षेत्र से आने वाले ट्रैफ़िक की अनुमति देने के लिए कॉन्फ़िगर किया जा सकता है; यानी, स्रोत आईपी पता या पतों की श्रेणी जिसमें से आने वाले ट्रैफ़िक की अनुमति होगी:
नोट करें (TAKE NOTE) :
आप देखेंगे कि आप इस इंटरफ़ेस से इन अंतर्निर्मित अपवादों के गुणों को संशोधित नहीं कर सकते हैं। इन अपवादों को केवल उन्नत सुरक्षा MMC स्नैप-इन के साथ Windows फ़ायरवॉल का उपयोग करके संशोधित किया जा सकता है, जिसकी चर्चा IPSec अनुभाग में और बाद में इस अनुभाग में की गई है।
कोई भी कंप्यूटर (इंटरनेट सहित) (Any computer (including those on the Internet)) :
किसी भी स्रोत आईपी पते से आने वाले ट्रैफ़िक की अनुमति देता है।
केवल मेरा नेटवर्क (सबनेट) (My network (subnet) only) :
गंतव्य के आईपी पते और सबनेट मास्क के आधार पर, गंतव्य होस्ट के समान नेटवर्क पर स्रोत आईपी पते से आने वाले ट्रैफ़िक की अनुमति देता है।
IP पतों की एक विशिष्ट श्रेणी (A specific range of IP addresses) :
सीआईडीआर नोटेशन के आधार पर एक स्रोत आईपी पता श्रेणी से आने वाले ट्रैफ़िक की अनुमति देता है, जैसे कि 192.168.1.0/24, 192.168.2.32/28, आदि।
नोट करें (TAKE NOTE) :
आपके पास अंतर्निहित अपवादों के दायरे को संशोधित करने की क्षमता है।
निम्नलिखित अभ्यास में आप एक निष्पादन योग्य प्रोग्राम के साथ-साथ 101 एक टीसीपी पोर्ट दोनों के लिए फ़ायरवॉल अपवाद तैयार करेंगे।
विंडोज फ़ायरवॉल को कॉन्फ़िगर करें (Configure the Windows Firewall) :
तैयार हो जाओ।
यह मानता है कि आप स्थानीय व्यवस्थापक विशेषाधिकारों के साथ Windows Server 2008 कंप्यूटर पर साइन इन हैं।
- स्टार्ट बटन पर क्लिक करें, फिर कंट्रोल पैनल पर क्लिक करें।
- Windows फ़ायरवॉल एप्लेट पर डबल-क्लिक करें।
- विंडोज फ़ायरवॉल स्क्रीन प्रकट होती है। विंडोज फ़ायरवॉल के माध्यम से एक प्रोग्राम की अनुमति दें पर क्लिक करें।
- Windows फ़ायरवॉल सेटिंग्स स्क्रीन प्रकट होती है। अपवाद टैब पर क्लिक करें। आपको वह स्क्रीन दिखाई देगी जो चित्र में दिखाई गई थी।
- प्रोग्राम जोड़ें बटन पर क्लिक करें। एक प्रोग्राम जोड़ें स्क्रीन प्रकट होती है।
- Internet Explorer निष्पादन योग्य के लिए इनबाउंड कनेक्शन की अनुमति देने के लिए अपवाद बनाने के लिए इंटरनेट एक्सप्लोरर पर क्लिक करें।
- ओके पर क्लिक करें। आप देखेंगे कि इंटरनेट एक्सप्लोरर अपवादों की सूची में जोड़ा गया है, इसके आगे एक चेकमार्क है जो इंगित करता है कि यह सक्षम है।
- पोर्ट जोड़ें पर क्लिक करें। आप ऊपर दिये गए चित्र में दिखाई गई स्क्रीन देखेंगे।
- नाम: फ़ील्ड में, HTTP दर्ज करें। पोर्ट नंबर: फ़ील्ड में, 80 दर्ज करें। टीसीपी प्रोटोकॉल का चयन करें, और फिर ओके पर क्लिक करें।
Windows Server 2008 में एक नई सुविधा है जो आपको Windows फ़ायरवॉल के भीतर नई सुविधाओं को कॉन्फ़िगर करने की अनुमति देती है, जिसमें शामिल हैं:
इनबाउंड और आउटबाउंड कनेक्शन दोनों को नियंत्रित करने की क्षमता (The ability to control both inbound and outbound connections) :
विंडोज फ़ायरवॉल के पिछले संस्करणों ने आपको केवल इनबाउंड ट्रैफ़िक को नियंत्रित करने की अनुमति दी थी।
कनेक्शन सुरक्षा नियमों के रूप में IPSec के साथ एकीकरण (Integration with IPSec in the form of Connection Security Rules) :
पिछले संस्करणों में, IPSec और Windows फ़ायरवॉल को पूरी तरह से अलग-अलग कॉन्फ़िगर किया गया था, जिससे अप्रत्याशित या मुश्किल-से-समस्या निवारण व्यवहार हो सकता है।
अंतर्निहित अपवादों का बारीक विन्यास और निगरानी (Granular configuration and monitoring of built-in exceptions) :
Windows Server में, अंतर्निहित Windows फ़ायरवॉल अपवादों द्वारा उपयोग किए जाने वाले पोर्ट को संशोधित करना या जोड़ना संभव नहीं था।
नेटवर्क प्रोफाइल (Network profiles):
जैसा कि हमने चर्चा की है, विंडोज सर्वर 2008 तीन डिफ़ॉल्ट नेटवर्क प्रोफाइल बनाता है जिसके लिए आप डिफ़ॉल्ट व्यवहार को परिभाषित कर सकते हैं।
ऊपर द्ये गए चित्र मे आपको उन्नत सुरक्षा MMC स्नैपिन के साथ Windows फ़ायरवॉल का इनबाउंड कनेक्शन दृश्य दिखाता है; इस स्क्रीन से आप पूर्वनिर्धारित विंडोज फ़ायरवॉल अपवादों के अलग-अलग तत्वों को देख और संशोधित कर सकते हैं और साथ ही अपना खुद का बना सकते हैं।