部署基于Windows2008防火墙策略提升域安全
基于Windows Server 2008的DC,无论在功能上还是安全性上都是有了非常大的提升。同时,我们也知道Windows Server 2008的防火墙也是异常强大。毫无疑问,在Windows Server 2008的DC上部署防火墙策略无疑会极大地提升整个域的安全性。下面笔者搭建环境,结合实例进行防火墙策略部署的一个演示。 1、在DC上部署防火墙策略 (1).配置防火墙策略 点击“开始”在搜索栏中输入“gpmc.msc”打开GPMC的组策略管理工具。依次展开DC域定位到本域的“默认域策略”位置,双击选中该项然后依次点击“Action”→“Edit”进入域策略的编辑窗口。依次点击“Computer Configuration”→“Windows Settings”→“Security Settings”→“Windows Firewall with Advanced Security”,双击打开“Windows Firewall Properties”可以在右侧看到防火墙策略的预览,从中可以了解“Domain Profile”、“Private Profile”、“Public Profile”的配置状态。(图1) 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' src="http://new.51cto.com/files/uploadimg/20090330/1004570.jpg"> 点击“Windows Firewall Properties”打开防火墙属性窗口,默认情况下防火墙并没有配置,所有的各项需要我们根据需要进行设置。因为我们是进行域防火墙的配置,所以定位到“Domain Profile”标签页下。比如我们要配置防火墙使得其阻止所有对内的连接以防网络攻击,而允许所有对外的连接,可以进行这样的配置:开启防火墙设置其状态“Firewall State”为“On (recommended)”,设置“Inbound connections”为“Block (default)”,设置“Outbound connections”为“Allow (default)”。(图2) 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' src="http://new.51cto.com/files/uploadimg/20090330/1004571.jpg">点击“Customize Settings for the Domain Profile”右侧的“Customize”我们进行防火墙策略的自定义设置。在设置对话框中,我们将“Apply local firewall rules”和“Apply local connections security rules”都设置为“No”,以禁止本地防火墙规则的合并实现统一的域防火墙策略,最后单击“OK”退出自定义设置。(图3) 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' src="http://new.51cto.com/files/uploadimg/20090330/1004572.jpg"> 返回到GPMC组策略编辑器主窗口,可以看到在“Windows Firewall with Advanced Security”项下有三个子项。我们还需要对“Inbound Rules”规则进行详细的部署,点击该规则,默认情况下是没有“Inbound Rules”规则的。执行“Active”→“New Rule”弹出新规则创建向导,规则类型“Rule Type”我们选择“Custom”,针对的程序“Program”我们选择“All programs”,协议和端口“Protocol and Ports”选择“Any”,范围“Scope”选择“Any”,该规则对所有的Inbound连接做一个允许设置“Action”为“Allow the connection”,策略是应用于域“Profile”只勾选“Domain”,最后为规则起一个名称“Allow all traffic”并加入描述语句“ctocio test”。上述设置完成后单击“Finnish”就完成了“Inbound Rules”的创建。(图4) 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="部署基于Windows 2008防火墙策略提升域安全" src="http://winsystem.ctocio.com.cn/imagelist/2009/083/rj43ns361147.jpg" width=494 height=387> 下面我们还需要创建“Connection Security Rules”即连接安全规则,用于针对连接中的防火墙安全检测和隔离,同样返回到GPMC组策略编辑器主窗口,选中“Connection Security Rules”执行“Active”→“New Rule |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |