云南龙网

  1. 首页 > 云知道 > >

图 部署基于Windows2008防火墙策略提升域安全

云知道

基于Windows Server 2008的DC , 无论在功能上还是安全性上都是有了非常大的提升 。同时 , 我们也知道Windows Server 2008的防火墙也是异常强大 。毫无疑问 , 在Windows Server 2008的DC上部署防火墙策略无疑会极大地提升整个域的安全性 。下面笔者搭建环境 , 结合实例进行防火墙策略部署的一个演示 。1、在DC上部署防火墙策略
(1).配置防火墙策略
点击“开始”在搜索栏中输入“gpmc.msc”打开GPMC的组策略管理工具 。依次展开DC域定位到本域的“默认域策略”位置 , 双击选中该项然后依次点击“Action”→“Edit”进入域策略的编辑窗口 。依次点击“Computer Configuration”→“Windows Settings”→“Security Settings”→“Windows Firewall with Advanced Security” , 双击打开“Windows Firewall Properties”可以在右侧看到防火墙策略的预览 , 从中可以了解“Domain Profile”、“Private Profile”、“Public Profile”的配置状态 。(图1)
【图 部署基于Windows2008防火墙策略提升域安全】
点击“Windows Firewall Properties”打开防火墙属性窗口 , 默认情况下防火墙并没有配置 , 所有的各项需要我们根据需要进行设置 。因为我们是进行域防火墙的配置 , 所以定位到“Domain Profile”标签页下 。比如我们要配置防火墙使得其阻止所有对内的连接以防网络攻击 , 而允许所有对外的连接 , 可以进行这样的配置:开启防火墙设置其状态“Firewall State”为“On (recommended)” , 设置“Inbound connections”为“Block (default)” , 设置“Outbound connections”为“Allow (default)” 。(图2)


点击“Customize Settings for the Domain Profile”右侧的“Customize”我们进行防火墙策略的自定义设置 。在设置对话框中 , 我们将“Apply local firewall rules”和“Apply local connections security rules”都设置为“No” , 以禁止本地防火墙规则的合并实现统一的域防火墙策略 , 最后单击“OK”退出自定义设置 。(图3)
返回到GPMC组策略编辑器主窗口 , 可以看到在“Windows Firewall with Advanced Security”项下有三个子项 。我们还需要对“Inbound Rules”规则进行详细的部署 , 点击该规则 , 默认情况下是没有“Inbound Rules”规则的 。执行“Active”→“New Rule”弹出新规则创建向导 , 规则类型“Rule Type”我们选择“Custom” , 针对的程序“Program”我们选择“All programs” , 协议和端口“Protocol and Ports”选择“Any” , 范围“Scope”选择“Any” , 该规则对所有的Inbound连接做一个允许设置“Action”为“Allow the connection” , 策略是应用于域“Profile”只勾选“Domain” , 最后为规则起一个名称“Allow all traffic”并加入描述语句“ctocio test” 。上述设置完成后单击“Finnish”就完成了“Inbound Rules”的创建 。(图4)
下面我们还需要创建“Connection Security Rules”即连接安全规则 , 用于针对连接中的防火墙安全检测和隔离 , 同样返回到GPMC组策略编辑器主窗口 , 选中“Connection Security Rules”执行“Active”→“New Rule”弹出创建向导 。设置规则类型“Rule Type”为“Isolation”(隔离) , 设置“Requirements”为“Request authentication for inbound and outbound connections”对inbound和outbound的所有连接进行一个验证 , 验证方法为默认设置“Authentication Method”为“Default” , 同样是基于域的设置“Profile”为“Domain only” , 最后为该规则起一个名称例如“Request connection security”并输入描述语句“ctocio test”即可 。(图5)
通过上面的操作 , 我们在DC中就部署好了一条用来限制内部连接的防火墙策略 。下面可关闭GPMC的组策略管理工具 , 对组策略进行刷新 。打开命令提示符 , 输入命令“gpupdate /force” , 稍等片刻组策略更新完毕 。(图6)

推荐阅读


上一篇:怎样用芝麻养花

下一篇:分辨库存胎的方法 怎样识别轮胎的各个参数