当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 用组策略部署Windows防火墙

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 用组策略部署Windows防火墙


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 39 ::
收藏到网摘: n/a

  在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说,如果让网管为网内计算机逐一进行配置的话,工作量会非常大,而且在细节配置上也容易出错。那么,如何才能提高规模化环境内的防火墙配置效率呢?

  Windows防火墙是Windows XP SP2中一个极为重要的安全设计,它可以有效地协助我们完成计算机的安全管理。今天,笔者将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内计算机配置防火墙的效率。

  为什么要集中部署

  首先,我们要了解组策略对Windows防火墙的作用是什么。组策略可以决定本地管理员级别的用户是否可以对Windows防火墙进行各种设置,可以决定Windows防火墙的哪些功能被“禁用”或“允许”……

  显然,上述几个功能正好能够配合域功能进行机房的安全管理,这就为组策略能够批量化部署机房的Windows防火墙打下了基础。此时,所有客户机的Windows防火墙的应用权限将统一归域管理员管理,本地管理员对Windows防火墙的任何设置要在域管理员的“批准”下方可进行。此外,域管理员还可使用组策略来完成所有客户机的Windows防火墙配置,而不必逐台进行了。

  用组策略部署防火墙

  在明白了集中部署的好处后,现在让我们一步步实现。请大家先了解一下本文的测试环境“Windows Server 2003域服务器+Windows XP SP2客户机”。本文将介绍如何在Windows Server 2003域服务器管理的机房中的客户机(Windows XP SP2)上,对所有安装了Windows XP SP2的客户机进行Windows防火墙的集中部署。

  提示:为什么不是在域服务器中进行组策略的新建与配置,而是在客户机上运行?其实这很容易理解,Windows Server 2003操作系统(中文版)中还没有Windows防火墙,所以无法进行配置。但是,这一点将会随着Windows Server 2003 SP1中文正式版的推出而得到彻底解决。

  OK!现在让我们开始实际操作。首先,在Windows XP SP2客户机的“运行”栏中输入“MMC”命令并回车,在打开的“控制台”窗口中,依次单击“文件→添加/删除管理单元”,添加“组策略对象编辑器”。

  在弹出的“欢迎使用组策略向导”界面中,点击“浏览”按钮并在“浏览组策略对象”窗口中的空白处单击鼠标右键,在弹出的菜单中选择“新建”,并命名为“firewall”即可返回控制台窗口。

  提示:客户机的当前登录账户必须具有管理员权限,方可新建GPO(组策略对象)。因此,临时解决这个问题的方法就是在DC中将客户机的账户添加到Administrators组,接着客户机临时使用管理员账户登录系统并进行GPO配置即可。

  返回控制台窗口后,在“firewall”策略集中可以看到“域配置文件”和“标准配置文件”两个策略子集(图1)。其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用。



  显然,我们需要在域配置文件中进行策略的设置。下面简单地说说如何对其中的子策略进行安全配置:

  保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙,不受客户机本地策略的影响。

  不允许例外:未配置;这个可以让客户机自行安排。

  定义程序例外:已启用;即按照程序文件名定义例外通信,这样可以集中配置机房中允许运行的网络程序等。

  允许本地程序例外:已禁用;如果禁用则Windows防火墙的“例外”设置部分将呈灰色。

  允许远程管理例外:已禁用;如果不允许客户机进行远程管理,那么请禁用。

  允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用,那么应该启用。

  允许ICMP例外:已禁用;如果希望使用Ping命令,则必须启用。

  允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能。

  允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。

  阻止通知:已禁用。

  允许记录日志:未配置;允许记录通信并配置日志文件设置。

  阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。

  定义端口例外:已启用;按照TCP和UDP端口指定例外通信。

  允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。

  现在,让我们通过“定义端口例外”项来介绍一下如何进行具体配置。首先,在“域配置文件”设置区域中,双击“Windows防火墙:定义端口例外”项,在弹出的属性窗口中单击“已启用→显示”,并进行“添加”。接着,使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。

  提示:port是指端口号码;transport是指TCP或UDP;sco