部署基于Windows2008防火墙策略提升域安全
| ”弹出创建向导。设置规则类型“Rule Type”为“Isolation”(隔离),设置“Requirements”为“Request authentication for inbound and outbound connections”对inbound和outbound的所有连接进行一个验证,验证方法为默认设置“Authentication Method”为“Default”,同样是基于域的设置“Profile”为“Domain only”,最后为该规则起一个名称例如“Request connection security”并输入描述语句“ctocio test”即可。(图5)
通过上面的操作,我们在DC中就部署好了一条用来限制内部连接的防火墙策略。下面可关闭GPMC的组策略管理工具,对组策略进行刷新。打开命令提示符,输入命令“gpupdate /force”,稍等片刻组策略更新完毕。(图6)
2、效果演示 为了验证上面DC上防火墙策略部署的效果,我们登录一台域成员计算机。为了使DC中部署防火墙策略在域内马上生效,我们同样首先在计算机上命令提示符运行命令“gpupdate /force”刷新组策略。刷新完毕后我们看看该策略是否已经更新,点击“开始”在搜索栏中输入wf.msc打开客户端的Windows高级防火墙工具,可以看到域内的这台客户端已经把防火墙刷新过来了。(图7)
下面我们做个检测,看看规则的应用效果。思路是这样的:在DC上共享一个文件夹(例如C:\ctocio)在部署防火墙之前DC上的该文件夹是可以被客户端访问的。我们所要做的是在部署完防火墙策略后,在客户端上访问该共享文件夹,如果访问失败说明我们的防火墙策略部署成功了。我们在客户端执行“开始”→“运行”,然后输入“\\192.168.1.1\ctocio”回车后如图所示提示:访问失败,不能找到该共享文件夹。(图8)
除此之外,防火墙还能监控到域内主机之间的访问记录。在Windows高级防火墙窗口才左侧依次展开“Monitoring”→“Security Associations”,然后点击下面的“Quick Mode”可在右侧列出防火墙监控到的信息。从图所示,本地主机192.168.1.2和DC即192.168.1.1之间有访问,其实就是对我们上面访问DC中的共享文件夹的一个防火墙记录。双击该记录弹出一个对话框,从中可以看到更加详细的记录如IP地址、Port等,其实这也是我们在DC中部署防火墙是设置过的。(图9)
总结:上面的演示只是基于Windows Server 2008的DC防火墙策略部署的一个实例,其实在还有很多有趣实用的功能需要大家在实战中去挖掘,相信这样的搭配一定会帮你打造更加安全的系统、网络环境。 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
