基於Windows Server 2008的DC,無論在功能上還是安全性上都是有了非常大的提升。同時,我們也知道Windows Server 2008的防火牆也是異常強大。毫無疑問,在Windows Server 2008的DC上部署防火牆策略無疑會極大地提升整個域的安全性。下面筆者搭建環境,結合實例進行防火牆策略部署的一個演示。
1、在DC上部署防火牆策略
(1).配置防火牆策略
點擊“開始”在搜索欄中輸入“gpmc.msc”打開GPMC的組策略管理工具。依次展開DC域定位到本域的“默認域策略”位置,雙擊選中該項然後依次點擊“Action”→“Edit”進入域策略的編輯窗口。依次點擊“Computer Configuration”→“Windows Settings”→“Security Settings”→“Windows Firewall with Advanced Security”,雙擊打開“Windows Firewall Properties”可以在右側看到防火牆策略的預覽,從中可以了解“Domain Profile”、“Private Profile”、“Public Profile”的配置狀態。(圖1)
點擊“Windows Firewall Properties”打開防火牆屬性窗口,默認情況下防火牆並沒有配置,所有的各項需要我們根據需要進行設置。因為我們是進行域防火牆的配置,所以定位到“Domain Profile”標簽頁下。比如我們要配置防火牆使得其阻止所有對內的連接以防網絡攻擊,而允許所有對外的連接,可以進行這樣的配置:開啟防火牆設置其狀態“Firewall State”為“On (recommended)”,設置“Inbound connections”為“Block (default)”,設置“Outbound connections”為“Allow (default)”。(圖2)
點擊“Customize Settings for the Domain Profile”右側的“Customize”我們進行防火牆策略的自定義設置。在設置對話框中,我們將“Apply local firewall rules”和“Apply local connections security rules”都設置為“No”,以禁止本地防火牆規則的合並實現統一的域防火牆策略,最後單擊“OK”退出自定義設置。(圖3)
