1、在DC上部署防火墻策略

　　(1).配置防火墻策略

　　點(diǎn)擊“開始”在搜索欄中輸入“gpmc.msc”打開GPMC的組策略管理工具。依次展開DC域定位到本域的“默認(rèn)域策略”位置，雙擊選中該項(xiàng)然后依次點(diǎn)擊“Action”→“Edit”進(jìn)入域策略的編輯窗口。依次點(diǎn)擊“Computer Configuration”→“Windows Settings”→“Security Settings”→“Windows Firewall with Advanced Security”，雙擊打開“Windows Firewall Properties”可以在右側(cè)看到防火墻策略的預(yù)覽，從中可以了解“Domain Profile”、“Private Profile”、“Public Profile”的配置狀態(tài)。(圖1)

　　點(diǎn)擊“Windows Firewall Properties”打開防火墻屬性窗口，默認(rèn)情況下防火墻并沒有配置，所有的各項(xiàng)需要我們根據(jù)需要進(jìn)行設(shè)置。因?yàn)槲覀兪沁M(jìn)行域防火墻的配置，所以定位到“Domain Profile”標(biāo)簽頁下。比如我們要配置防火墻使得其阻止所有對內(nèi)的連接以防網(wǎng)絡(luò)攻擊，而允許所有對外的連接，可以進(jìn)行這樣的配置：開啟防火墻設(shè)置其狀態(tài)“Firewall State”為“On (recommended)”，設(shè)置“Inbound connections”為“Block (default)”，設(shè)置“Outbound connections”為“Allow (default)”。(圖2)

　　點(diǎn)擊“Customize Settings for the Domain Profile”右側(cè)的“Customize”我們進(jìn)行防火墻策略的自定義設(shè)置。在設(shè)置對話框中，我們將“Apply local firewall rules”和“Apply local connections security rules”都設(shè)置為“No”，以禁止本地防火墻規(guī)則的合并實(shí)現(xiàn)統(tǒng)一的域防火墻策略，最后單擊“OK”退出自定義設(shè)置。(圖3)

　　返回到GPMC組策略編輯器主窗口，可以看到在“Windows Firewall with Advanced Security”項(xiàng)下有三個子項(xiàng)。我們還需要對“Inbound Rules”規(guī)則進(jìn)行詳細(xì)的部署，點(diǎn)擊該規(guī)則，默認(rèn)情況下是沒有“Inbound Rules”規(guī)則的。執(zhí)行“Active”→“New Rule”彈出新規(guī)則創(chuàng)建向?qū)В��?guī)則類型“Rule Type”我們選擇“Custom”，針對的程序“Program”我們選擇“All programs”，協(xié)議和端口“Protocol and Ports”選擇“Any”，范圍“Scope”選擇“Any”，該規(guī)則對所有的Inbound連接做一個允許設(shè)置“Action”為“Allow the connection”，策略是應(yīng)用于域“Profile”只勾選“Domain”，最后為規(guī)則起一個名稱“Allow all traffic”并加入描述語句“ctocio test”。上述設(shè)置完成后單擊“Finnish”就完成了“Inbound Rules”的創(chuàng)建。(圖4)

分享到：