??? 基于Windows Server 2008的DC,無論在功能上還是安全性上都是有了非常大的提升�����。同時(shí)�����,我們也知道Windows Server 2008的防火墻也是異常強(qiáng)大�����。毫無疑問����,在Windows Server 2008的DC上部署防火墻策略無疑會(huì)極大地提升整個(gè)域的安全性�。下面筆者搭建環(huán)境��,結(jié)合實(shí)例進(jìn)行防火墻策略部署的一個(gè)演示��。
??? 1����、在DC上部署防火墻策略
??? (1).配置防火墻策略
??? 點(diǎn)擊"開始"在搜索欄中輸入"gpmc.msc"打開GPMC的組策略管理工具�。依次展開DC域定位到本域的"默認(rèn)域策略"位置,雙擊選中該項(xiàng)然后依次點(diǎn)擊"Action"→"Edit"進(jìn)入域策略的編輯窗口��。依次點(diǎn)擊"Computer Configuration"→"Windows Settings"→"Security Settings"→"Windows Firewall with Advanced Security"����,雙擊打開"Windows Firewall Properties"可以在右側(cè)看到防火墻策略的預(yù)覽,從中可以了解"Domain Profile"���、"Private Profile"���、"Public Profile"的配置狀態(tài)。(圖1)
??? 點(diǎn)擊"Windows Firewall Properties"打開防火墻屬性窗口�,默認(rèn)情況下防火墻并沒有配置,所有的各項(xiàng)需要我們根據(jù)需要進(jìn)行設(shè)置。因?yàn)槲覀兪沁M(jìn)行域防火墻的配置����,所以定位到"Domain Profile"標(biāo)簽頁下。比如我們要配置防火墻使得其阻止所有對(duì)內(nèi)的連接以防網(wǎng)絡(luò)攻擊��,而允許所有對(duì)外的連接�,可以進(jìn)行這樣的配置:開啟防火墻設(shè)置其狀態(tài)"Firewall State"為"On (recommended)",設(shè)置"Inbound connections"為"Block (default)"���,設(shè)置"Outbound connections"為"Allow (default)"�。(圖2)
??? 點(diǎn)擊"Customize Settings for the Domain Profile"右側(cè)的"Customize"我們進(jìn)行防火墻策略的自定義設(shè)置����。在設(shè)置對(duì)話框中,我們將"Apply local firewall rules"和"Apply local connections security rules"都設(shè)置為"No"�����,以禁止本地防火墻規(guī)則的合并實(shí)現(xiàn)統(tǒng)一的域防火墻策略����,最后單擊"OK"退出自定義設(shè)置。(圖3)
??? 返回到GPMC組策略編輯器主窗口���,可以看到在"Windows Firewall with Advanced Security"項(xiàng)下有三個(gè)子項(xiàng)����。我們還需要對(duì)"Inbound Rules"規(guī)則進(jìn)行詳細(xì)的部署,點(diǎn)擊該規(guī)則���,默認(rèn)情況下是沒有"Inbound Rules"規(guī)則的�。執(zhí)行"Active"→"New Rule"彈出新規(guī)則創(chuàng)建向?qū)?�,?guī)則類型"Rule Type"我們選擇"Custom"����,針對(duì)的程序"Program"
??? 選擇"All programs"���,協(xié)議和端口"Protocol and Ports"選擇"Any"�,范圍"Scope"選擇"Any"�,該規(guī)則對(duì)所有的Inbound連接做一個(gè)允許設(shè)置"Action"為"Allow the connection",策略是應(yīng)用于域"Profile"只勾選"Domain"�,最后為規(guī)則起一個(gè)名稱"Allow all traffic"并加入描述語句"ctocio test"。上述設(shè)置完成后單擊"Finnish"就完成了"Inbound Rules"的創(chuàng)建�。(圖4)
??? 下面我們還需要?jiǎng)?chuàng)建"Connection Security Rules"即連接安全規(guī)則,用于針對(duì)連接中的防火墻安全檢測(cè)和隔離����,同樣返回到GPMC組策略編輯器主窗口�����,選中"Connection Security Rules"執(zhí)行"Active"→"New Rule"彈出創(chuàng)建向?qū)?。設(shè)置規(guī)則類型"Rule Type"為"Isolation"(隔離)��,設(shè)置"Requirements"為"Request authentication for inbound and outbound connections"對(duì)inbound和outbound的所有連接進(jìn)行一個(gè)驗(yàn)證���,驗(yàn)證方法為默認(rèn)設(shè)置"Authentication Method"為"Default"���,同樣是基于域的設(shè)置"Profile"為"Domain only",最后為該規(guī)則起一個(gè)名稱例如"Request connection security"并輸入描述語句"ctocio test"即可����。(圖5)
??? 通過上面的操作,我們?cè)贒C中就部署好了一條用來限制內(nèi)部連接的防火墻策略���。下面可關(guān)閉GPMC的組策略管理工具��,對(duì)組策略進(jìn)行刷新�。打開命令提示符��,輸入命令"gpupdate /force",稍等片刻組策略更新完畢��。(圖6)
???2����、效果演示
??? 為了驗(yàn)證上面DC上防火墻策略部署的效果,我們登錄一臺(tái)域成員計(jì)算機(jī)�。為了使DC中部署防火墻策略在域內(nèi)馬上生效,我們同樣首先在計(jì)算機(jī)上命令提示符運(yùn)行命令"gpupdate /force"刷新組策略�����。刷新完畢后我們看看該策略是否已經(jīng)更新����,點(diǎn)擊"開始"在搜索欄中輸入wf.msc打開客戶端的Windows高級(jí)防火墻工具���,可以看到域內(nèi)的這臺(tái)客戶端已經(jīng)把防火墻刷新過來了����。(圖7)
??? 下面我們做個(gè)檢測(cè)�,看看規(guī)則的應(yīng)用效果。思路是這樣的:在DC上共享一個(gè)文件夾(例如C:\ctocio)在部署防火墻之前DC上的該文件夾是可以被客戶端訪問的����。我們所要做的是在部署完防火墻策略后����,在客戶端上訪問該共享文件夾�,如果訪問失敗說明我們的防火墻策略部署成功了。我們?cè)诳蛻舳藞?zhí)行"開始"→"運(yùn)行"���,然后輸入"\\192.168.1.1\ctocio"回車后如圖所示提示:訪問失敗�����,不能找到該共享文件夾���。(圖8)
??? 除此之外,防火墻還能監(jiān)控到域內(nèi)主機(jī)之間的訪問記錄��。在Windows高級(jí)防火墻窗口才左側(cè)依次展開 "Monitoring"→"Security Associations"�����,然后點(diǎn)擊下面的"Quick
關(guān)鍵詞標(biāo)簽:Windows2008防火墻
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程