云南龙网

  1. 首页 > 云知道 > >

全网布防 用组策略部署Windows防火墙( 二 )

云知道


允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用,那么应该启用 。
允许ICMP例外:已禁用;如果希望使用Ping命令,则必须启用 。
允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能 。
允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息 。
阻止通知:已禁用 。
允许记录日志:未配置;允许记录通信并配置日志文件设置 。
阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包 。
定义端口例外:已启用;按照TCP和UDP端口指定例外通信 。
允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置 。
现在,让我们通过“定义端口例外”项来介绍一下如何进行具体配置 。首先,在“域配置文件”设置区域中,双击“Windows防火墙:定义端口例外”项,在弹出的属性窗口中单击“已启用→显示”,并进行“添加” 。接着,使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”) 。
提示:port是指端口号码;transport是指TCP或UDP;scope中的“*”表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串 。
完成上述设置后,保存策略为“firewall”文件 。现在,就得进行非常重要的一步操作,在“命令提示符”窗口中运行“Gpupdate /force”命令强制组策略设置应用到域网络中已经登录的计算机 。
验证部署效果
完成组策略的刷新后,先来看看本机中的Windows防火墙是否响应了策略 。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”,根据这个定义,Windows防火墙的“例外”设置部分应变为灰色 。现在,让我们打开本机中的Windows防火墙,可以看到被禁用的部分已经呈灰色,这说明本机已响应组策略设置了 。
接着,再来看看DC是否响应了组策略 。在DC服务器的“运行”栏中输入“dsa.msc”命令并回车,弹出“Active Directory”窗口后,请进入“shyzhong.com”(请根据实际情况选择)的属性窗口 。在“组策略”选项卡部分可以看到保存的firewall已经自动出现在列表中了 。如果没有出现可以手工添加(图2) 。
到了这一步,可以看出整个设置是成功的 。而此后,域中任何一台使用Windows XP SP2的计算机只要登录到域,那么该计算机就会自动下载Windows防火墙的设置并开始应用 。至此,整个机房的Windows 防火墙配置操作就成功完成了 。
利用组策略集中部署SP2防火墙的操作并不复杂,但是它的效果却是一劳永逸的 。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手 。

推荐阅读


上一篇:微博登录怎么跳过手机验证

下一篇:牛拜单车要多少押金?