# XI. Windows Firewall

## 1. What is Windows Firewall?

Tường lửa Windows là một công cụ bảo mật cho phép chặn hoặc cho phép các gói mạng đến máy chủ và các gói mạng gửi đi từ máy chủ trong khuôn khổ các quy tắc nhất định. 

Điều này sẽ dễ dàng chặn các kết nối độc hại bằng các quy tắc được tạo trên tường lửa Windows. Đồng thời, các điểm đích được xác minh là kết nối an toàn có thể được thêm vào các kết nối mạng được phép thông qua các quy tắc mới. 

Tường lửa Windows là một trong những phương pháp bảo vệ cơ bản nhất được sử dụng để ngăn chặn kẻ tấn công truy cập vào hệ thống. Tường lửa Windows cung cấp khả năng bảo vệ hiệu quả chống lại các mối đe dọa có thể đến từ bên ngoài mạng của chúng tôi với các quy tắc được thêm vào. 

Vì những kẻ tấn công biết khả năng chặn kết nối mạng của tường lửa Windows nên chúng thường tập trung vào việc vô hiệu hóa tường lửa hoặc cố gắng thêm các quy tắc của riêng mình vào trong số các quy tắc tường lửa để vượt qua tường lửa và đạt được khả năng ra lệnh và kiểm soát giao tiếp với máy chủ. 

Chúng tiếp tục cuộc tấn công bằng cách gửi lệnh đến hệ thống mục tiêu từ máy chủ chỉ huy và kiểm soát. Những kẻ tấn công thường sử dụng phương pháp này để đảm bảo tính bền vững trong hệ thống. 

Trong khi phát hiện các mối đe dọa, các nhà phân tích SOC nên theo dõi chặt chẽ các quy tắc tường lửa để phát hiện xem có bất kỳ quy tắc tường lửa mới nào được thêm vào do một cuộc tấn công hay không. Họ cũng nên đảm bảo rằng tường lửa không bị tắt.

## 2. What is Firewall Rule?

Firewall Rule: Một quy tắc trong Windows Defender Firewall chứa một tập hợp các điều kiện được sử dụng để xác định xem gói mạng có được phép đi qua tường lửa hay không.

## 3. Inbound And Outbound Rules

Quy tắc gửi đến sẽ lọc lưu lượng truy cập đi từ mạng đến máy tính cục bộ dựa trên các tham số của quy tắc. Đối với các quy tắc gửi đi, lưu lượng truy cập được gửi từ máy tính cục bộ vào mạng phải được lọc theo quy tắc lọc.

## 4. Firewall Rules Management with the Graphical User Interface (GUI)

<figure><img src="/files/4qqQtcuouwY5T26LOjFG" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/bBBYYBnfqIrM9VcmSsTw" alt=""><figcaption></figcaption></figure>

Khi tường lửa Windows được mở lần đầu tiên, một cửa sổ như cửa sổ trên sẽ xuất hiện. Chúng ta có thể thấy các quy tắc gửi đến và gửi đi riêng biệt từ menu bên trái trong cửa sổ này.

<figure><img src="/files/Z6s017yrkgkgQiThGjAF" alt=""><figcaption></figcaption></figure>

Như đã thấy trong ảnh chụp màn hình ở trên, chi tiết về các quy tắc được viết để quản lý lưu lượng truy cập vào đã được hiển thị thành công.<br>

<figure><img src="https://ld-images-2.s3.us-east-2.amazonaws.com/Windows+Fundamentals/images/fw4.png" alt=""><figcaption></figcaption></figure>

Như đã thấy trong ảnh chụp màn hình ở trên, chi tiết về các quy tắc được viết để quản lý lưu lượng đi đã được hiển thị thành công.

### Creating a new firewall rule

Việc tạo một quy tắc mới trên Windows Firewall application khá dễ dàng. Đối với điều này, tùy chọn "New Rule" ở phần bên phải của ứng dụng sẽ được sử dụng.&#x20;

Ví dụ: hãy thêm quy tắc chặn tất cả các gói đến trên cổng "TCP 4444" làm quy tắc lưu lượng truy cập vào. Trước hết, bạn nên vào phần "Inbound Rules" từ menu bên trái, sau đó áp dụng các bước theo thứ tự bằng nút "New Rule":

<figure><img src="/files/FepW0jKLTUN4M2L3mwkt" alt=""><figcaption></figcaption></figure>

Sau khi nhấp vào tùy chọn "New Rule", cấu hình cần thiết sẽ được thực hiện tương ứng.

<figure><img src="/files/UyNLslaxuDxmMDR9trjn" alt=""><figcaption></figcaption></figure>

Trong phần này, loại quy tắc phải được xác định là "Port".

<figure><img src="/files/E9Vccb6rJJQgmMbwuyGz" alt=""><figcaption></figcaption></figure>

Trong phần này, hãy đánh dấu tùy chọn "TCP" và ghi thông tin cổng là "4444".

<figure><img src="/files/n7OZjHtyRg1zLRJ7jSP8" alt=""><figcaption></figcaption></figure>

Phần này tiếp tục bằng cách chọn tùy chọn "Block the connection".

<figure><img src="/files/7ODCS0LJByENqvfEtSrw" alt=""><figcaption></figcaption></figure>

Trong phần này, chúng ta cần xác minh profiles mà quy tắc sẽ được áp dụng. Hãy tiếp tục với tất cả đã chọn.

<figure><img src="/files/2b940uV1AjRiaX3B0h1q" alt=""><figcaption></figcaption></figure>

Trong phần này, tên của quy tắc phải được nhập, hãy đặt tên cho quy tắc là "**TCP Port 4444 Block**" và tiếp tục.\ <br>

<figure><img src="https://ld-images-2.s3.us-east-2.amazonaws.com/Windows+Fundamentals/images/fw11.png" alt=""><figcaption></figcaption></figure>

Như đã thấy trong ảnh chụp màn hình ở trên, quy tắc tường lửa đã được thêm thành công. Quy tắc này được bật khi nó được tạo và nó có thể bị tắt ở phần dưới bên phải của cửa sổ ứng dụng nếu cần.<br>

<figure><img src="https://ld-images-2.s3.us-east-2.amazonaws.com/Windows+Fundamentals/images/fw12.png" alt=""><figcaption></figcaption></figure>

## 5. Firewall Rules Management with Command Line

Việc quản lý Windows firewall rules cũng có thể được thực hiện thông qua command line. Để làm điều này, lệnh "**netsh**" được sử dụng.&#x20;

Ví dụ: hãy liệt kê tất cả các quy tắc tường lửa bằng lệnh "<mark style="color:red;">**netsh advfirewall firewall show rule name=all**</mark>":

<figure><img src="/files/JNOOMKFoXbjhOJHY8SJ5" alt=""><figcaption></figcaption></figure>

### Displaying the information of the firewall rule

Để hạn chế đầu ra khi đầu ra lệnh dài, các lệnh tạo ra đầu ra ngắn hơn có thể được áp dụng trong các thao tác được thực hiện thông qua dòng lệnh.&#x20;

Ví dụ, thay vì in tất cả các quy tắc trên màn hình trong ví dụ trước, bạn chỉ có thể xem thông tin của quy tắc được đặt tên. Lệnh được áp dụng cho việc này như sau: "<mark style="color:red;">**netsh advfirewall firewall show rule name="TCP Port 4444 Block"**</mark>"

<figure><img src="/files/a3WhEgnJnb9KzaL0mud2" alt=""><figcaption></figcaption></figure>

### Deleting a firewall rule

Có thể xóa quy tắc tường lửa thông qua dòng lệnh. Ví dụ: hãy xóa quy tắc chúng tôi đã tạo từ giao diện đồ họa thông qua dòng lệnh bằng lệnh "<mark style="color:red;">**netsh advfirewall firewall delete rule name="TCP Port 4444 Block"**</mark>":

<figure><img src="/files/EbkNifVpWOykFfEIXSDb" alt=""><figcaption></figcaption></figure>

**Netsh Command:** [**https://ss64.com/nt/netsh.html**](https://ss64.com/nt/netsh.html)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/os/windows-fundamentals/xi.-windows-firewall.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.