用组策略部署Windows防火墙

新客网 XKER.COM 2007-01-13 来源： 收藏本文

返回控制台窗口后，在“firewall”策略集中可以看到“域配置文件”和“标准配置文件”两个策略子集(图1)。其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用。



　　图1

　　显然，我们需要在域配置文件中进行策略的设置。下面简单地说说如何对其中的子策略进行安全配置:

　　保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙，不受客户机本地策略的影响。

　　不允许例外:未配置;这个可以让客户机自行安排。

　　定义程序例外:已启用;即按照程序文件名定义例外通信，这样可以集中配置机房中允许运行的网络程序等。

　　允许本地程序例外:已禁用;如果禁用则Windows防火墙的“例外”设置部分将呈灰色。

　　允许远程管理例外:已禁用;如果不允许客户机进行远程管理，那么请禁用。

　　允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用，那么应该启用。

　　允许ICMP例外:已禁用;如果希望使用Ping命令，则必须启用。

　　允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能。

　　允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。

　　阻止通知:已禁用。

　　允许记录日志:未配置;允许记录通信并配置日志文件设置。

　　阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。

　　定义端口例外:已启用;按照TCP和UDP端口指定例外通信。

　　允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。

　　现在，让我们通过“定义端口例外”项来介绍一下如何进行具体配置。首先，在“域配置文件”设置区域中，双击“Windows防火墙:定义端口例外”项，在弹出的属性窗口中单击“已启用→显示”，并进行“添加”。接着，使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。

　　提示:port是指端口号码;transport是指TCP或UDP;scope中的“*”表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串。

　　完成上述设置后，保存策略为“firewall”文件。现在，就得进行非常重要的一步操作，在“命令提示符”窗口中运行“Gpupdate /force”命令强制组策略设置应用到域网络中已经登录的计算机。

• ·快速配置Cisco PIX Firewall技巧
• ·Juniper防火墙配置备份与恢复
• ·部署代理防火墙的优势与缺陷
• ·用防火墙构筑起银行安全屏障
• ·轻松解决Windows防火墙配置问题
• ·安装防火墙软件需要注意的十二个事项
• ·选择防火墙策略：为了更好的屏蔽攻击
• ·安全之防火墙概念与访问控制列表
• ·基于C/S架构的分布式防火墙
• ·专家谈企业防火墙的安全防护配置
• ·有路由器也需要使用防火墙
• ·代理防火墙连接故障安全处理策略
• ·让你的系统无懈可击 史上优秀防火墙一览
• ·使用GUI来配置Linux系统防火墙
• ·浅析防火墙与路由器的安全配置
• ·建立防火墙的主动性网络安全防护体系