Theo mặc định, Tường lửa của Windows với Bảo mật nâng cao chặn Yêu cầu tiếng vọng ICMP (Ping) khỏi mạng. Trong bài đăng này, chúng tôi sẽ hướng dẫn bạn cách cho phép Ping (yêu cầu ICMP Echo) thông qua Tường lửa Windows của bạn sử dụng Command Promp t hoặc thông qua Tường lửa của Windows với giao diện người dùng bảo mật nâng cao .
Tôi có nên bật ICMP không?
Đối với nhiều quản trị viên mạng, họ coi Giao thức Thông báo Kiểm soát Internet (ICMP) là một rủi ro bảo mật và do đó, vì là một biện pháp bảo mật, nên ICMP phải luôn bị chặn ở tường lửa. ICMP được biết đến rộng rãi là có một số vấn đề bảo mật liên quan đến nó, và chỉ vì lý do đó, ICMP nên bị chặn; vẫn không có lý do gì để chặn tất cả lưu lượng ICMP!
Tôi nên cho phép những loại ICMP nào?
Ngoài Loại 3 và Loại 4 - lưu lượng ICMP thiết yếu duy nhất bạn cần để cho phép vào và ra khỏi tường lửa trên PC chạy Windows 10/11, mọi thứ khác đều là tùy chọn hoặc phải bị chặn. Lưu ý rằng để gửi yêu cầu ping, bạn cần cho phép loại 8 OUT và loại 0 IN.
Cho phép Ping (yêu cầu ICMP Echo) thông qua Tường lửa của Windows
Nói chung, cách thức hoạt động của lệnh ping giữa các công cụ mạng khác, chỉ đơn giản là gửi các gói đặc biệt được gọi là Yêu cầu tiếng vang của giao thức thông báo điều khiển Internet (ICMP) tới một thiết bị mục tiêu, sau đó đợi thiết bị nhận đó phản hồi và gửi lại ICMP Echo Trả lời gói tin. Hành động ping này ngoài việc kiểm tra xem thiết bị kết nối mạng có đang hoạt động hay không, nó còn đo thời gian phản hồi và đưa ra kết quả để bạn xem xét.
Chúng tôi có thể cho phép Ping (yêu cầu ICMP Echo) thông qua Tường lửa của bạn trên PC Windows 10 hoặc Windows 11 theo một trong hai cách. Chúng ta sẽ khám phá chủ đề này theo các phương pháp được nêu bên dưới như sau.
Lưu ý :Nếu bạn đã cài đặt phần mềm bảo mật của bên thứ ba trên hệ thống của mình hoặc chỉ cài đặt một loại chương trình tường lửa chuyên dụng của bên thứ ba khác, bạn sẽ cần mở các cổng trong tường lửa đó thay vì Tường lửa tích hợp sẵn của Windows.
1] Cho phép Ping (yêu cầu ICMP Echo) thông qua Tường lửa trên PC Windows qua Tường lửa Windows với Giao diện người dùng bảo mật nâng cao
Để cho phép Ping (yêu cầu ICMP Echo) thông qua Tường lửa trên PC Windows qua Tường lửa Windows với giao diện người dùng Bảo mật nâng cao, hãy làm như sau:
- Nhấp vào Bắt đầu hoặc nhấn phím Windows trên bàn phím.
- Nhập tường lửa windows , rồi chọn Tường lửa của Bộ bảo vệ Windows từ đầu kết quả tìm kiếm.
- Nhấp vào Cài đặt nâng cao ở phía bên trái của cửa sổ Bảng điều khiển mở ra.
- Trong ngăn bên trái, nhấp chuột phải vào Quy tắc đến và chọn Quy tắc mới .
- Trong Quy tắc đến mới cửa sổ, chọn Tùy chỉnh .
- Nhấp vào Tiếp theo .
- Trên Quy tắc này có áp dụng cho tất cả các chương trình hoặc các chương trình cụ thể không? , hãy đảm bảo rằng nút radio được chọn cho Tất cả các chương trình .
- Nhấp vào Tiếp theo .
- Trên cổng và giao thức nào, quy tắc này áp dụng? , nhấp vào Loại giao thức thả xuống và chọn ICMPv4 .
- Nhấp vào Tùy chỉnh nút.
- Trong phần Tùy chỉnh cài đặt ICMP cửa sổ, chọn Loại ICMP cụ thể tùy chọn.
- Trong danh sách các loại ICMP, hãy bật Yêu cầu tiếng vọng .
- Nhấp vào OK .
- Quay lại T o quy tắc này áp dụng cho cổng và giao thức nào? , nhấp vào Tiếp theo .
- Trên trang xuất hiện, chọn nút radio cho Bất kỳ địa chỉ IP nào trong tùy chọn Quy tắc này áp dụng cho những địa chỉ IP cục bộ nào? và Quy tắc này áp dụng cho những địa chỉ IP từ xa nào? phần.
Nếu muốn, bạn có thể định cấu hình các địa chỉ IP cụ thể mà PC của bạn sẽ phản hồi yêu cầu ping. Các yêu cầu ping khác bị bỏ qua.
- Về phần Bạn nên thực hiện hành động nào khi kết nối phù hợp với các điều kiện đã chỉ định? , hãy đảm bảo rằng nút radio được chọn cho Cho phép kết nối tùy chọn.
- Nhấp vào Tiếp theo .
- Trên Khi nào quy tắc này áp dụng , chọn / bỏ chọn các tùy chọn có sẵn theo yêu cầu của bạn.
- Nhấp vào Tiếp theo .
- Ở màn hình cuối cùng, bạn cần đặt tên cho quy tắc mới của mình và cung cấp mô tả theo tùy chọn. Bạn nên thêm ICMPv4 vào tên quy tắc để phân biệt với ICMPv6 quy tắc mà bạn cũng sẽ tạo.
- Nhấp vào Hoàn tất nút.
Bây giờ, bạn có thể tiếp tục và tạo quy tắc ICMPv6 bằng cách lặp lại các bước ở trên, nhưng lần này ở phần Quy tắc này áp dụng cho cổng và giao thức nào? , nhấp vào Loại giao thức thả xuống và chọn ICMPv6 thay vào đó .
- Thoát khỏi Tường lửa của Bộ bảo vệ Windows khi hoàn tất.
Nếu bất cứ lúc nào bạn muốn tắt quy tắc, hãy mở Tường lửa của Windows với Bảng điều khiển bảo mật nâng cao, chọn Quy tắc đến ở bên trái và tìm các quy tắc bạn đã tạo trong ngăn giữa, nhấp chuột phải vào quy tắc và chọn Tắt . Các quy tắc này cũng có thể bị xóa - nhưng tốt nhất là bạn chỉ cần tắt các quy tắc đó đi, để bạn có thể kích hoạt lại dễ dàng và nhanh chóng mà không cần tạo lại.
2] Cho phép Ping (yêu cầu ICMP Echo) thông qua Tường lửa trên PC Windows bằng Command Prompt
Đây là cách nhanh nhất để tạo ngoại lệ cho các yêu cầu ping trên Windows 11/10.
Để cho phép Ping (yêu cầu ICMP Echo) thông qua Tường lửa trên PC Windows bằng Command Prompt, hãy làm như sau:
- Nhấn phím Windows + R để gọi hộp thoại Run.
- Trong hộp thoại Chạy, nhập cmd rồi nhấn CTRL + SHIFT + ENTER để mở Command Prompt ở chế độ quản trị / nâng cao.
- Trong cửa sổ nhắc lệnh, nhập hoặc sao chép và dán lệnh bên dưới và nhấn Enter để tạo ngoại lệ ICMPv4 .
netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=allow
- Để tạo ngoại lệ ICMPv6 , hãy chạy lệnh bên dưới:
netsh advfirewall firewall add rule name="ICMP Allow incoming V6 echo request" protocol=icmpv6:8,any dir=in action=allow
Các thay đổi có hiệu lực ngay lập tức mà không cần khởi động lại hệ thống.
- Để tắt yêu cầu ping cho ngoại lệ ICMPv4 , hãy chạy lệnh bên dưới:
netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=block
- Để tắt yêu cầu ping cho ngoại lệ ICMPv6 , hãy chạy lệnh bên dưới:
netsh advfirewall firewall add rule name="ICMP Allow incoming V6 echo request" protocol=icmpv6:8,any dir=in action=block
Nếu bất cứ lúc nào bạn muốn tắt một quy tắc nhưng quên tên của quy tắc, bạn có thể chạy lệnh bên dưới để xem danh sách tất cả các quy tắc:
netsh advfirewall firewall show rule name=all
Đó là cách cho phép Ping (yêu cầu ICMP Echo) thông qua Tường lửa của Windows!
Tấn công ICMP là gì?
Một cuộc tấn công ICMP (còn được gọi là một cuộc tấn công lũ lụt Ping), là một cuộc tấn công Từ chối Dịch vụ (DoS) phổ biến, trong đó tác nhân đe dọa cố gắng áp đảo một thiết bị được nhắm mục tiêu bằng ICMP echo-request (ping).