Windows tarmoqlararo ekranining moslashtirilgan qoidalari. Yuqorida tavsiflangan uchta misolga qo'shimcha ravishda, Windows tarmoqlararo ekrani qoidalarining keng tarqalgan bir nechta qo'shimcha turla
Windows tarmoqlararo ekranining moslashtirilgan qoidalari. Yuqorida tavsiflangan uchta misolga qo'shimcha ravishda, Windows tarmoqlararo ekrani qoidalarining keng tarqalgan bir nechta qo'shimcha turlari mavjud, ular orasida:
Muayyan tizim xizmati uchun qoida yaratish;
Uchinchi tomon protokoli uchun qoida yaratish;
Qoidalarni faqat tanlangan IP manzillarga qo'llash.
Tizim xizmati uchun qoida yaratish.Quyidagi bosqichma-bosqich ko'rsatmalarda siz Telnet xizmati uchun kiruvchi ulanishlarni qanday rad etishni bilib olasiz. Buning uchun quyidagi amallar bajariladi:
Guruh siyosatini boshqarish muharririning tegishli tugunidan yangi kiruvchi ulanish qoidalarini yaratish masteri chaqiriladi;
Masterning birinchi sahifasida «Настраиваемые» (Custom) qoida turi tanlanadi, shundan so‘ng siz masterning keyingi sahifasiga o‘tishingiz mumkin.
E’tibor bering, bu holda «Программа» (Program) sahifasi yuqoridagi birinchi misoldagi bir xil nomdagi sahifadan biroz farq qiladi, chunki bu yerda, kompyuterda o'rnatilgan barcha dasturlarga bo’lgan yo’lni ko’rsatishdan tashqari, qoida qo’llaniladigan tizim xizmatini tanlash imkoniga ega bo’lasiz. Telnet uchun mas'ul bo'lgan asosiy dastur tlntsvr.exe ekanligi ma'lum bo'lganligi sababli, belgi «Путь программы» (This program path) opsiyasiga o'rnatiladi va matn maydoniga "%systemroot%system32tlntsvr.exe" kiritiladi. Ta’kidlash zarurki, ushbu dastur nafaqat telnet xizmati bilan ishlashi mumkin, shuning uchun bu holda qoida doirasini cheklash uchun xizmatlarni tanlashning mahsus tugmasi, ya’ni «Службы» (Services) bo'limidagi «Настроить» (Customize) tugmasini ishlatishingiz kerak bo'ladi.
1.10-rasmda ko'rib turganingizdek, ushbu tugmani bosish orqali oldingizda yangi dialog oynasi paydo bo'ladi, uning yordamida siz bir vaqtning o'zida barcha mumkin bo'lgan dastur va xizmatlarni tanlashingiz, faqat xizmatlarni tanlashingiz, ma'lum bir xizmatni ko'rsatishingiz yoki siz ko'rsatgan mezonlar asosida bir nechta xizmatlarni tanlashingiz mumkin. Guruh siyosatining boshqa tarkibiy qismlarida bo'lgani kabi, ushbu ro'yxat faqat guruh siyosati ob'ekti yaratiladigan va kompyuterda o'rnatilgan xizmatlarni tanlash imkonini beradi. Ushbu nuqta GPO ob'ektlarini rejalashtirish va amalga oshirishda juda muhim bo'lishi mumkin. Ushbu misolda belgini «Применять к службе» (Apply to this service)ga o’rnatamiz va Telnet xizmatini tanlaymiz;
1.10-rasm. Telnet xizmatini tanlash «Протокол и порты» (Protocols and Ports) sahifasi, aslida, o'zgarishsiz qolishi mumkin. Ya'ni, protokol turi sifatida har qanday protokol qolishi mumkin, bu esa mahalliy va masofaviy portlarni o'rnatish imkoniyati yo'qligini bildiradi.
Masterning navbatdagi sahifasi - butunlay yangi sahifa «Область» (Scope) - bu bosqichda uni o'zgartirish mumkin emas, chunki biz bu haqda biroz keyinroq batafsilroq gaplashamiz. Hozircha to'g'ridan-to'g'ri keyingi sahifaga o'tamiz;
Oldingi misollardan tanish bo'lgan «Действие» (Action) sahifasida kerakli harakat tanlanadi. Ushbu misolda vazifa kiruvchi Telnet ulanishlarini blokirovka qilish bilan bog'liq bo'lganligi sababli, bu erda belgini «Блокировать подключение» (Block the connection) opsiyasiga o'rnatiladi;
Masterning keyingi sahifasi «Профиль» (Profile) sahifasi bo'lib, unda qoida qo'llaniladigan profillarni tanlash odat holdir. Ushbu misolda barcha uchta Profil uchun bayroqlar o'rnatiladi, undan so'ng masterning so'nggi sahifasiga o'tishingiz mumkin;
«Имя» (Name) sahifasida siz faqat yaratilgan qoida nomini, masalan, «Telnet deny» deb ko'rsatishingiz va yangi Windows tarmoqlararo ekrani qoidasi uchun barcha o'zgarishlarni saqlashingiz kerak.
Endi ushbu qoidaning ishlayotganligini tekshirish vaqti keldi. Buning uchun buyruq satri oynasini oching va telnet <Telnet server nomi> ni kiriting. 1.11-rasmda ko'rib turganingizdek, biz dir kabi oddiy buyruqlarni kiritishga, ya'ni katalogni ko'rib chiqishga ham erisholmadik. Telnet-serveriga ulanishga urinayotganda, Windows PowerShell buyruqlar qobig'i 23-port yordamida serverga ulanishning iloji yo'qligini ko'rsatuvchi xatolik yuz berdi.
1.11-rasm. Telnet-serveriga ulanishdagi xatolik
Uchinchi tomon protokoli uchun qoidalar yaratish. Tizim xizmatlari uchun qoidalar yaratishdan tashqari, muayyan protokollar va portlar uchun qoidalar ham yaratishingiz mumkin. Yuqoridagi namoyishlardan birida ko’rsatilganidek, port uchun qoidalar yaratish yordamida sizga bir yoki bir nechta TCP / UDP portlarini tanlash imkoniyati beriladi. Biroq, ICMP, IGMI yoki L2TP kabi har qanday begona protokol uchun kiruvchi trafikka nisbatan yangi qoida yaratishingiz kerak bo'lsa nima qilish mumkin? Avvalgi misolda bo'lgani kabi, bunday vazifani hal qilish uchun siz Windows tarmoqlararo ekranining maxsus qoidalarini yaratish imkoniyatidan foydalanishingiz kerak.
Quyidagi misolda qanday qilib barcha ICMP-v4 trafigini bloklashingiz mumkinligini ko'rib chiqamiz. Shunday qilib:
1. Guruh siyosatini boshqarish muharririda tafsilotlar panelining kontekst menyusidan yangi kirish qoidasini yaratish variantini tanlang;
2. Masterning birinchi sahifasida, yuqorida aytib o'tilganidek, belgini «Настраиваемые» (Custom) variantiga o'rnatishingiz va masterning ikkinchi sahifasiga o'tishingiz kerak;
3. Bu yerda, «Программа» (Program) sahifasida, yuqorida qo'yilgan vazifa shartlariga ko'ra, ICMP-v4 protokoli uchun barcha kiruvchi trafik bloklanishi kerakligi sababli, belgini «Все программы» (All Programs) opsiyasiga o’rnatishimiz va «Далее» (Next) tugmasini bosish kerak;
4. «Порты» (Ports) sahifasiga o'tganingizdan so'ng, «Тип протокола» (Protocol Type) birinchi ochiladigan ro'yxatidan kerakli protokol turini tanlashingiz mumkin. E'tibor bering, Microsoft eng keng tarqalgan transport sathi protokollarini qo'shish orqali ko'plab ma'murlarning hayotini sezilarli darajada soddalashtirishga harakat qilgan. Ularga quyidagilarni kiritish mumkin:
IPv6 Hop-by-Hop opsiyasi, HOPOPT nomi bilan ham tanilgan, 0 raqami ostida ro‘yxatdan o‘tgan;
Xato xabarlarini yuborish uchun foydalaniladigan 1-raqam ostidagi Internet Control Message Protocol (ICMP-v4) boshqaruv xabari protokoli, aslida aynan shu holat bizni qiziqtiradi;
Internet Group Management Protocol – IGMP (2-raqam) guruh ma'lumotlarini uzatishni boshqarish protokoli;