具体分析

Windows防火墙是Windows XP SP2中一个极其重要的安全设计，它可以有效地帮助我们完成计算机的安全管理。今天，作者将向您展示如何使用组策略在机房中集中部署Windows防火墙，并提高为网络中的计算机配置防火墙的效率。

为什么要集中部署？

(资料图片)

首先，我们需要知道组策略对于Windows防火墙的作用是什么。组策略可以确定本地管理员级别的用户是否可以在Windows防火墙上进行各种设置，以及Windows防火墙的哪些功能被“禁用”或“允许”…

显然，上述功能正好可以配合域功能管理机房安全，为组策略批量部署机房Windows防火墙奠定了基础。此时，所有客户端的Windows防火墙的应用权限将由域管理员管理，本地管理员对Windows防火墙的任何设置都可以在域管理员的“批准”下进行。此外，域管理员可以使用组策略来完成所有客户端的Windows防火墙配置，而不必一个接一个地进行配置。

使用组策略部署防火墙

了解了集中部署的好处之后，现在让我们一步一步来实现。请看一下本文的测试环境“Windows Server 2003域服务器Windows XP SP2客户端”。本文将介绍如何在Windows Server 2003域服务器管理的机房内的客户端(Windows XP SP2)上，对所有安装了Windows XP SP2的客户端集中部署Windows防火墙。

提示：为什么不在域服务器上创建和配置组策略，而是在客户机上运行它们？其实很好理解。Windows Server 2003操作系统(中文版)中没有Windows防火墙，所以无法配置。不过，随着Windows Server 2003 SP1正式中文版的推出，这一问题将得到彻底解决。

好吧！现在开始实际操作。首先，在Windows XP SP2客户端的“运行”列中输入MMC命令，然后按enter键。在打开的控制台窗口中，单击文件添加/删除管理单元以添加组策略对象编辑器。

在弹出的欢迎使用组策略向导界面中，单击浏览按钮并右键单击浏览组策略对象窗口的空白处，然后从弹出菜单中选择新建并将其命名为防火墙以返回控制台窗口。

提示：客户端的当前登录帐户必须具有管理员权限才能创建新的GPO(组策略对象)。因此，这个问题的临时解决方案是将客户端的帐户添加到DC的管理员组，然后客户端可以临时使用管理员帐户登录系统并配置GPO。

返回控制台窗口后，您可以在防火墙策略集中看到域配置文件和标准配置文件这两个策略子集(图1)。其中，域配置文件主要用于包含域DC的网络中，即主机连接企业网时；标准配置文件用于非域网络。

显然，我们需要在域配置文件中设置策略。下面简单介绍一下如何配置子策略的安全性：

保护所有网络连接：已启用；只有这样，才能强制客户端启用Windows防火墙，而不受客户端本地策略的影响。

不允许异常：未配置；这个可以由客户自己安排。

定义程序异常：已启用；即根据程序文件名定义异常通信，从而可以集中配置允许在机房运行的网络程序。

允许本地程序例外：已禁用；如果禁用，Windows防火墙的“例外”设置部分将灰显。

允许远程管理例外：已禁用；如果不允许客户端远程管理，请将其禁用。

允许文件和打印机共享例外：已禁用；如果某些客户端有要应用的共享资源，则应该启用它们。

允许ICMP例外：已禁用；如果要使用Ping命令，必须启用它。

允许远程桌面例外：已禁用；即关闭客户端可以接受基于远程桌面的连接请求功能。

允许UPnP框架异常：已禁用；也就是说，禁止客户端接收垃圾UPnP消息。

阻止通知：已禁用。

允许日志记录：未配置；允许记录通信并配置日志文件设置。

阻止对多播或广播请求的单播响应：已启用；也就是说，由于多播或广播请求消息而接收的单播包被丢弃。

定义端口异常：已启用；根据TCP和UDP端口指定异常通信。

允许本地端口例外：已禁用；也就是说，禁止客户端管理员进行“例外”端口配置。

现在，我们来介绍一下如何通过“定义端口异常”项来做具体的配置。首先在域配置文件的设置区域，双击“Windows防火墙：定义端口例外”项，在弹出的属性窗口中点击“启用显示”，添加。然后用“端口：传输：作用域：状态：名称”的格式输入要阻塞或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。

提示：port是指端口号；传输指的是TCP或者UDP范围中的“*”表示用于所有系统或允许访问端口的计算机列表；状态为启用或禁用；Name是用作此条目标签的文本字符串。

以上设置完成后，用“防火墙”的策略保存文件。现在，在“命令提示符”窗口中运行“Gpupdate /force”命令，强制将组策略设置应用到域网络中已登录的计算机上，这是非常重要的一步。

验证部署效果

刷新组策略后，我们先来看看这台计算机中的Windows防火墙是否对策略做出了响应。由于“允许本地程序例外”项的状态已被定义为“禁用”，根据此定义，Windows防火墙的“例外”设置部分应该是灰色的。现在，让我们打开这台计算机中的Windows防火墙，我们可以看到禁用的部分是灰色的，这意味着这台计算机已经响应了组策略设置。

然后，让我们看看DC是否响应了集团政策。在DC服务器的“运行”栏中输入“dsa.msc”命令，然后按Enter键。弹出“活动目录”窗口后，请进入“shyzhong.com”的属性窗口(请根据实际情况选择)。在“组策略”选项卡中，您可以看到保存的防火墙已自动出现在列表中。如果没有出现，可以手动添加(图2)。

此时，我们可以看到整个设置是成功的。此后，域中任何使用Windows XP SP2的计算机都将自动下载Windows防火墙的设置，并且只要登录到该域就开始应用这些设置。至此，整个机房的Windows防火墙配置操作已经成功完成。

通过组策略集中部署SP2防火墙并不复杂，但其效果是永久性的。你会发现组策略是网络安全集中管理不可多得的助手。

补充阅读：防火墙主要技能

首先，必须更改所有防火墙文件规则。

虽然这种方法听起来很容易，但是因为防火墙没有内置的更改管理过程，所以文件更改对于许多企业来说并不是最佳实践方法。如果防火墙管理员由于紧急情况或某种其他形式的业务中断而做出更改，他更有可能会开枪。但是如果这个变化抵消了之前的协议变化，会导致宕机吗？这是一种发生率相当高的情况。

防火墙管理产品的中央控制台可以全面查看所有的防火墙规则，因此团队的所有成员必须达成共识，并观察谁做了什么更改。这样可以及时发现并修复故障，使得整个协议管理更加简单高效。

第二，用最低权限安装所有访问规则。

另一个常见的安全问题是权限过多的规则设置。防火墙规则由三个域组成：源(IP地址)、目的地(网络/子网)和服务(应用软件或其他目的地)。为了保证每个用户都有足够的端口接入他们需要的系统，常用的方法是在一个或多个域中指定呼入的目标对象。当你为了业务连续性而允许大范围的IP地址访问大型企业的网络时，这些规则就会变得过度发布，从而增加不安全性。该域的规则是打开任何带有65535个TCP端口的。防火墙管理员的意思真的是为黑客开放65535个攻击向量吗？

第三，根据法律法规和变更要求，检查各防火墙的变更情况。

在防火墙的运营中，每天的工作都是以发现问题、修正问题、安装新系统为中心。在安装最新的防火墙规则来解决问题和应用新产品和业务单元的过程中，我们常常忘记防火墙也是企业安全协议的物理执行者。应当重新审查每一项规则，以确保其符合担保协议和任何监管协议的内容和精神，而不仅仅是一项法律规定。

4.当服务过期时，从防火墙规则中删除无用的规则。

规则膨胀是防火墙经常出现的安全问题，因为大多数运营团队没有删除规则的过程。业务部门善于让你知道他们知道这些新规则，但永远不要让防火墙团队知道他们不再使用某些服务。了解退役的服务器和网络以及应用软件的更新周期是达成规则共识的良好开端。运行无用规则的报告是另一个步骤。黑客喜欢从不删除规则的防火墙团队。

如何使用组策略集中部署Windows防火墙提高配置效率相关文章：

1.使用组策略部署Windows防火墙

2.如何设置Windows 7组策略？

3.3.windows防火墙有哪些功能？

4.为什么电脑不能用windows防火墙的解决方案？

5.5.driodwall防火墙被禁用了怎么办？

本文到此结束，希望对大家有所帮助。

关键词： 配置文件 也就是说 组策略对象