基于Windows Server 2008的DC，無論在功能上還是安全性上都是有了非常大的提升。同時，我們也知道Windows Server 2008的防火墻也是異常強大。毫無疑問，在Windows Server 2008的DC上部署防火墻策略無疑會極大地提升整個域的安全性。下面筆者搭建環境，結合實例進行防火墻策略部署的一個演示。

　　1、在DC上部署防火墻策略

　　(1).配置防火墻策略

　　點擊“開始”在搜索欄中輸入“gpmc.msc”打開GPMC的組策略管理工具。依次展開DC域定位到本域的“默認域策略”位置，雙擊選中該項然后依次點擊“Action”→“Edit”進入域策略的編輯窗口。依次點擊“Computer Configuration”→“Windows Settings”→“Security Settings”→“Windows Firewall with Advanced Security”，雙擊打開“Windows Firewall Properties”可以在右側看到防火墻策略的預覽，從中可以了解“Domain Profile”、“Private Profile”、“Public Profile”的配置狀態。(圖1)

　　

　　點擊“Windows Firewall Properties”打開防火墻屬性窗口，默認情況下防火墻并沒有配置，所有的各項需要我們根據需要進行設置。因為我們是進行域防火墻的配置，所以定位到“Domain Profile”標簽頁下。比如我們要配置防火墻使得其阻止所有對內的連接以防網絡攻擊，而允許所有對外的連接，可以進行這樣的配置：開啟防火墻設置其狀態“Firewall State”為“On (recommended)”，設置“Inbound connections”為“Block (default)”，設置“Outbound connections”為“Allow (default)”。(圖2)

　　

　　點擊“Customize Settings for the Domain Profile”右側的“Customize”我們進行防火墻策略的自定義設置。在設置對話框中，我們將“Apply local firewall rules”和“Apply local connections security rules”都設置為“No”，以禁止本地防火墻規則的合并實現統一的域防火墻策略，最后單擊“OK”退出自定義設置。(圖3)

　　

　　返回到GPMC組策略編輯器主窗口，可以看到在“Windows Firewall with Advanced Security”項下有三個子項。我們還需要對“Inbound Rules”規則進行詳細的部署，點擊該規則，默認情況下是沒有“Inbound Rules”規則的。執行“Active”→“New Rule”彈出新規則創建向導，規則類型“Rule Type”我們選擇“Custom”，針對的程序“Program”我們選擇“All programs”，協議和端口“Protocol and Ports”選擇“Any”，范圍“Scope”選擇“Any”，該規則對所有的Inbound連接做一個允許設置“Action”為“Allow the connection”，策略是應用于域“Profile”只勾選“Domain”，最后為規則起一個名稱“Allow all traffic”并加入描述語句“ctocio test”。上述設置完成后單擊“Finnish”就完成了“Inbound Rules”的創建。(圖4)

　　

分享到：

【 頂部 】 【 關閉 】