基于Windows Server 2008的DC，無論在功能上還是安全性上都是有了非常大的提升。同時，我們也知道Windows Server 2008的防火墻也是異常強(qiáng)大。毫無疑問，在Windows Server 2008的DC上部署防火墻策略無疑會極大地提升整個域的安全性。下面筆者搭建環(huán)境，結(jié)合實例進(jìn)行防火墻策略部署的一個演示。

　　1、在DC上部署防火墻策略

　　(1).配置防火墻策略

　　點擊“開始”在搜索欄中輸入“gpmc.msc”打開GPMC的組策略管理工具。依次展開DC域定位到本域的“默認(rèn)域策略”位置，雙擊選中該項然后依次點擊“Action”→“Edit”進(jìn)入域策略的編輯窗口。依次點擊“Computer Configuration”→“Windows Settings”→“Security Settings”→“Windows Firewall with Advanced Security”，雙擊打開“Windows Firewall Properties”可以在右側(cè)看到防火墻策略的預(yù)覽，從中可以了解“Domain Profile”、“Private Profile”、“Public Profile”的配置狀態(tài)。 

　　部署基于Windows 2008防火墻策略提升域安全

　　點擊“Windows Firewall Properties”打開防火墻屬性窗口，默認(rèn)情況下防火墻并沒有配置，所有的各項需要我們根據(jù)需要進(jìn)行設(shè)置。因為我們是進(jìn)行域防火墻的配置，所以定位到“Domain Profile”標(biāo)簽頁下。比如我們要配置防火墻使得其阻止所有對內(nèi)的連接以防網(wǎng)絡(luò)攻擊，而允許所有對外的連接，可以進(jìn)行這樣的配置：開啟防火墻設(shè)置其狀態(tài)“Firewall State”為“On (recommended)”，設(shè)置“Inbound connections”為“Block (default)”，設(shè)置“Outbound connections”為“Allow (default)”。 

　　部署基于Windows 2008防火墻策略提升域安全

　　點擊“Customize Settings for the Domain Profile”右側(cè)的“Customize”我們進(jìn)行防火墻策略的自定義設(shè)置。在設(shè)置對話框中，我們將“Apply local firewall rules”和“Apply local connections security rules”都設(shè)置為“No”，以禁止本地防火墻規(guī)則的合并實現(xiàn)統(tǒng)一的域防火墻策略，最后單擊“OK”退出自定義設(shè)置。 

　　部署基于Windows 2008防火墻策略提升域安全

　　返回到GPMC組策略編輯器主窗口，可以看到在“Windows Firewall with Advanced Security”項下有三個子項。我們還需要對“Inbound Rules”規(guī)則進(jìn)行詳細(xì)的部署，點擊該規(guī)則，默認(rèn)情況下是沒有“Inbound Rules”規(guī)則的。執(zhí)行“Active”→“New Rule”彈出新規(guī)則創(chuàng)建向?qū)В��?guī)則類型“Rule Type”我們選擇“Custom”，針對的程序“Program”我們選擇“All programs”，協(xié)議和端口“Protocol and Ports”選擇“Any”，范圍“Scope”選擇“Any”，該規(guī)則對所有的Inbound連接做一個允許設(shè)置“Action”為“Allow the connection”，策略是應(yīng)用于域“Profile”只勾選“Domain”，最后為規(guī)則起一個名稱“Allow all traffic”并加入描述語句“ctocio test”。上述設(shè)置完成后單擊“Finnish”就完成了“Inbound Rules”的創(chuàng)建。 

　　部署基于Windows 2008防火墻策略提升域安全

　　下面我們還需要創(chuàng)建“Connection Security Rules”即連接安全規(guī)則，用于針對連接中的防火墻安全檢測和隔離，同樣返回到GPMC組策略編輯器主窗口，選中“Connection Security Rules”執(zhí)行“Active”→“New Rule”彈出創(chuàng)建向?qū)АＴO(shè)置規(guī)則類型“Rule Type”為“Isolation”(隔離)，設(shè)置“Requirements”為“Request authentication for inbound and outbound connections”對inbound和outbound的所有連接進(jìn)行一個驗證，驗證方法為默認(rèn)設(shè)置“Authentication Method”為“Default”，同樣是基于域的設(shè)置“Profile”為“Domain only”，最后為該規(guī)則起一個名稱例如“Request connection security”并輸入描述語句“ctocio test”即可。 

　　部署基于Windows 2008防火墻策略提升域安全

　　通過上面的操作，我們在DC中就部署好了一條用來限制內(nèi)部連接的防火墻策略。下面可關(guān)閉GPMC的組策略管理工具，對組策略進(jìn)行刷新。打開命令提示符，輸入命令“gpupdate /force”，稍等片刻組策略更新完畢。 

　　部署基于Windows 2008防火墻策略提升域安全

　　2、效果演示

　　為了驗證上面DC上防火墻策略部署的效果，我們登錄一臺域成員計算機(jī)。為了使DC中部署防火墻策略在域內(nèi)馬上生效，我們同樣首先在計算機(jī)上命令提示符運行命令“gpupdate /force”刷新組策略。刷新完畢后我們看看該策略是否已經(jīng)更新，點擊“開始”在搜索欄中輸入wf.msc打開客戶端的Windows高級防火墻工具，可以看到域內(nèi)的這臺客戶端已經(jīng)把防火墻刷新過來了。 

　　部署基于Windows 2008防火墻策略提升域安全

　　下面我們做個檢測，看看規(guī)則的應(yīng)用效果。思路是這樣的：在DC上共享一個文件夾(例如C:\ctocio)在部署防火墻之前DC上的該文件夾是可以被客戶端訪問的。我們所要做的是在部署完防火墻策略后，在客戶端上訪問該共享文件夾，如果訪問失敗說明我們的防火墻策略部署成功了。我們在客戶端執(zhí)行“開始”→“運行”，然后輸入“\\192.168.1.1\ctocio”回車后 提示：訪問失敗，不能找到該共享文件夾。

　　部署基于Windows 2008防火墻策略提升域安全

　　除此之外，防火墻還能監(jiān)控到域內(nèi)主機(jī)之間的訪問記錄。在Windows高級防火墻窗口才左側(cè)依次展開“Monitoring”→“Security Associations”，然后點擊下面的“Quick Mode”可在右側(cè)列出防火墻監(jiān)控到的信息。如本地主機(jī)192.168.1.2和DC即192.168.1.1之間有訪問，其實就是對我們上面訪問DC中的共享文件夾的一個防火墻記錄。雙擊該記錄彈出一個對話框，從中可以看到更加詳細(xì)的記錄如IP地址、Port等，其實這也是我們在DC中部署防火墻是設(shè)置過的。

　　部署基于Windows 2008防火墻策略提升域安全

　　總結(jié)：上面的演示只是基于Windows Server 2008的DC防火墻策略部署的一個實例，其實在還有很多有趣實用的功能需要大家在實戰(zhàn)中去挖掘，相信這樣的搭配一定會幫你打造更加安全的系統(tǒng)、網(wǎng)絡(luò)環(huán)境。

關(guān)鍵字：Server 2008、防火墻、策略