《使用域组策略及脚本统一配置防火墙》由会员分享,可在线阅读,更多相关《使用域组策略及脚本统一配置防火墙(10页珍藏版)》请在金锄头文库上搜索。
1、使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置;统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法;1 域组策略统一配置防火墙使用域管理员登录域控制器,打开“管理工具组策略管理”;在目标组织单位右击,新建GPO;第策曙营理餾聲铝鞋馬播規盲GFUA.J1.1 禁用客户端防火墙1.1.1 域策略配置右击目标0U的GPO,选择编辑GPO,选择“计算机配置策略Windows
2、设置安全设置系统服务”; I匕丘T*蔺屈 需组謙齢意連j丄負秣;GQB M-口 buvot - cua.土 一B 工 itstfli.FircwdlS*!U J爼輩隔对象朋.c:谢軍昭逢複f,”cffl:N-ir?WJJF2 & i+算机睡let iv Dirc lry.Act Diref fab _ .f. ipplititi sn Isp*ri*nce;Appla tilion ISesilityW L肚埠辰迦美讥: -一巻通 I: 事件日吉没權盘滨有建义 袁肖磁CJ川r- Xpplilaytr : Applaa m Had 軋左孔儿 rScScgrmJ 口乞daSK) c61 匕血位 q
3、覆有走义覆有走文訓i窗# l .m讥f吐三遏_p i dQ ;没有圭文塗育注文3 ini?CaL. .Interactive Seri cez Detect!un没有走文浚有定义曙f IntTT. 11- I=uri ng CICS) 1吕禁用L浚有定文仃在刃67爱看善文tnTSSSCOinF. 八 11 、L4 H-ii 1.1.2 查看客户端结果重启 XP 客户端查看结果L l .il ffl A ?VjlT i elQv n a Ii ii ii讯询亦話卩计竹24/M怙坤叭手动 芒启趟冉动 J=Sh BBL击于棺剤艮务追看遠订,和如三朗丸時谡童无庁显示储思启动胸血弘蓄1 hfal 1/1
4、 rott CcMktlLin Sharing (KSJ 很霽吗丁本地亲読 本地載务 杀hb恙强S/tlua Eh 辺4* Cofy* 轡丫能Gidt 占xyuru hirfli c重启 Win7 客户端查看结果慢用 Wi n,4WjF 賂丸1秦廉险谏护 M 讣仃机序职历蚩画迥齢胡rm5 M幵椒冊iit阳洞脅敢于甌止變舂吹左貳時通过Ihiitrh 耶客访冋如计就机。 畛痛怕问帖助呼牌讨赴乩,Windowe Font Lach& Service-逋.自动fiInteractive Services Detectiun启.手动Internet Co:lSS工P Helperk wrf 1 1 vp
5、 A M MIMS HRniS!HMn9IIIHIISMRVIRfflllllllllMIIV VIIHffilK ESHEHMIVSi _J 一三门打=匸匚M二二I工:匸亘启劲一Olji1.2 开放客户端防火墙端口 (注:首先将上面组策略中的系统服务设置还原在进行下一步的配置)1.2.1 域策略配置右击目标GPO选择编辑,选择“计算机配置策略管理模板网络网络连接Windows防火墙”,下面的子集即为 客户端防火墙配置项目,此处主要包含俩个子集 “域配置文件”和“标准配置文件”两个策略子集,其中,域配置文 件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非
6、域网络中应用;0 把心 bmft 5h frull DmsiaTi f+- L- &c4in CMtrq! B : gg4W1E畔诸舌El .Ji:组策盂速嗨SwWr QFC4组策略设置描述_ 8珂目订13让 伪目-uranm烈丄7e明上荼陥T”風牛诰吿*边舌F 言悝琅映軌成斓算机捻;J tfindowi fin=_打切机:t:控制茴檢理.BrruliCMk* 二DK5喜户達Luwui駅肴寿*帝$肿粘对等陶塔亠隸揮邑计擁當SW SSL M畫谡舌E6 - TCTITm亦咗艮陋霜 着台習能窑医軀势喷匪机交件=i - kSi -j WinJvwx 05火堆- 庁列制冒醸姜郴昭”,師火眉:兗謀tt側集
7、辑鈕世置一長求;至少 Vlel4#tx IT Fro-fe-ES-ionsal5F2Sit:53畑砒垃制酒息弥税口口!门诸寒 芸型齐用工耳可以便用ICMP 恫旦耒磚定其何计算赠优悉“例 M- fine皱用回迢滴求消冬。如需 汗启用诜许入詁凹昼谙求消息- 粪塑则山亦工励J錨胆止宙 上挺冇的珀吨左医的 回畀:碍汞消團宦不会現止曲苯讦 鼻扎上运行的讹笈竜的出施回 雅诵求靖息。如罢启用此芾晞专殳屈世:厢籬 料4肪火惘吒苗芯讣笛桃叢遴 戒損收郸些ITL1T涓恳粪型* -血無箕和:綺6艰3卜両阳厭 m I H I tl ! I Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用 Wi
8、ndows 防火墙。Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。Windows 防火墙: 允许远程管理例外用于启用远程过程调用(RPC)和分布式组件对象模型(DCOM),它们对于很多使用诸如Microsoft管理控制台 (MMC) 和 Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。Windows 防火墙:
9、 允许文件和打印机共享例外用于指定是否允许文件和打印机共享通信。Windows 防火墙: 允许 ICMP 例外用于指定允许哪些类型的非请求 Internet 控制消息协议 (ICMP) 通信。Windows 防火墙: 允许远程桌面例外用于指定计算机是否可接受基于“远程桌面”的连接请求。Windows 防火墙: 允许 UPnP 框架例外用于指定计算机是否可以参与 UPnP 发现。Windows 防火墙: 禁止通知用于在应用程序使用新 Windows 防火墙应用程序编程接口 (API) 请求已添加到例外列表的通信时禁用通知。Windows 防火墙: 允许日志记录用于启用已丢弃通信、成功连接的记录,
10、和配置日志文件设置。Windows 防火墙: 禁止对多播或广播请求的单播响应用于丢弃为响应多播或广播请求所发送的单播数据包。Windows 防火墙: 定义端口例外用于通过 TCP 和 UDP 端口指定已添加到例外列表的通信。Windows 防火墙: 允许本地端口例外 用于启用端口例外的本地配置。还可以配置“Windows防火墙:允许通过验证的IPSec旁路”策略设置,可以在“组策略编辑器”管理单元中的以下 位置找到该设置:计算机配置管理模板网络网络连接Windows防火墙该策略设置允许从使用 IPSec 进行验证的指定系统传入非请求通信。1.2.2 案例:开放客户端 PING如上定位到“域配置
11、文件”双击右侧的“Windows防火墙:允许ICMP例外”;Windows防火埴:允诈ICMP耳酗嗚:幷许记录日志冷叙墙:阻费妙16 I l-rtr F亠-J 1.1. -1 111i11 x 5 -,n 二 H. 一H l.-r-.l.i .R.11 |1j| Windows防火墙:不允许洌外OlL:dl防火墻:允许入站文件和打印机共享例外在弹出的编辑对话框如下图勾选“已启用”以及“允许传入回显请求”并单击“应用确定”完成编辑;1.2.3 案例:开放固定端口如上定位到“域配置文件”双击右侧的“Windows防火墙:定义入站端口例外”;在弹出的设置窗口,勾选“已启用”单击下方“显示”按钮,在显示内容窗口中输入“139:TCP:*:e nabled:testport”, 填写完成后单击“确定应用确定”退出编辑框(为了方便测试采用139来测试,也可以使用其他端口来测试);释意:139:端口Tcp:端口类型En abled:开放/拒绝Testport:自定义入站策略名称 Port* e Sc S T匚口Windo注飆:M1E 口 . I1.2.4 查看客户端结果L7
