使用域組策略及腳本統(tǒng)一配置防火墻

1、使用域組策略/腳本統(tǒng)一配置防火墻 目前企業(yè)內(nèi)網(wǎng)多為域環(huán)境，部分企業(yè)應(yīng)用例如入侵檢測(cè)等需要客戶端統(tǒng)一開放某一端口比如Ping，如果企業(yè)環(huán)境較大，客戶端數(shù)千個(gè)逐個(gè)設(shè)置將是浪費(fèi)工作效率且不靈活的方案；所以可以通過(guò)使用域策略來(lái)統(tǒng)一設(shè)置； 統(tǒng)一配置可以通過(guò)域策略中自帶的防火墻模板來(lái)設(shè)置，也可以通過(guò)使用bat腳本來(lái)配置，下面即分別演示配置方法； 1 域組策略統(tǒng)一配置防火墻使用域管理員登錄域控制器，打開“管理工具>組策略管理”； 在目標(biāo)組織單位右擊，新建GPO； 1.1 禁用客戶端防火墻1.1.1 域策略配置右擊目標(biāo)OU的GPO，選擇編輯GPO，選擇“計(jì)算機(jī)配置>策略>Windows設(shè)置&

2、gt;安全設(shè)置>系統(tǒng)服務(wù)”； 選擇Windows Firewall/Internet Connection Sharing(ICS)倆項(xiàng)服務(wù)，并禁用該倆項(xiàng)服務(wù)； 結(jié)果如下； 1.1.2 查看客戶端結(jié)果重啟XP客戶端查看結(jié)果 重啟Win7客戶端查看結(jié)果 1.2 開放客戶端防火墻端口（注：首先將上面組策略中的系統(tǒng)服務(wù)設(shè)置還原在進(jìn)行下一步的配置） 1.2.1 域策略配置右擊目標(biāo)GPO選擇編輯，選擇“ 計(jì)算機(jī)配置>策略>管理模板>網(wǎng)絡(luò)>網(wǎng)絡(luò)連接>Windows防火墻”，下面的子集即為客戶端防火墻配置項(xiàng)目，此處主要包含倆個(gè)子集 “域配置文件”和“標(biāo)準(zhǔn)配置文件”兩個(gè)策略

3、子集，其中，域配置文件主要在包含域DC的網(wǎng)絡(luò)中應(yīng)用，也就是主機(jī)連接到企業(yè)網(wǎng)絡(luò)時(shí)使用;標(biāo)準(zhǔn)配置文件則是用于在非域網(wǎng)絡(luò)中應(yīng)用； 組策略設(shè)置描述 Windows 防火墻: 保護(hù)所有網(wǎng)絡(luò)連接 用于指定所有網(wǎng)絡(luò)連接都已啟用 Windows 防火墻。 Windows 防火墻: 不允許例外 用于指定所有未經(jīng)請(qǐng)求的傳入通信將被丟棄，包括已添加到例外列表的通信。 Windows 防火墻: 定義程序例外 用于通過(guò)應(yīng)用程序文件名定義已添加到例外列表的通信。 Windows 防火墻: 允許本地程序例外 用于啟用程序例外的本地配置。 Windows 防火墻: 允許遠(yuǎn)程管理例外 用于啟用遠(yuǎn)程過(guò)程調(diào)用 (RPC) 和分布式

4、組件對(duì)象模型 (DCOM)，它們對(duì)于很多使用諸如 Microsoft 管理控制臺(tái) (MMC) 和 Windows Management Instrumentation (WMI) 等工具執(zhí)行的遠(yuǎn)程管理任務(wù)是必需的。 Windows 防火墻: 允許文件和打印機(jī)共享例外 用于指定是否允許文件和打印機(jī)共享通信。 Windows 防火墻: 允許 ICMP 例外 用于指定允許哪些類型的非請(qǐng)求 Internet 控制消息協(xié)議 (ICMP) 通信。 Windows 防火墻: 允許遠(yuǎn)程桌面例外 用于指定計(jì)算機(jī)是否可接受基于“遠(yuǎn)程桌面”的連接請(qǐng)求。 Windows 防火墻: 允許 UPnP 框架例外 用于指定計(jì)

5、算機(jī)是否可以參與 UPnP 發(fā)現(xiàn)。 Windows 防火墻: 禁止通知 用于在應(yīng)用程序使用新 Windows 防火墻應(yīng)用程序編程接口 (API) 請(qǐng)求已添加到例外列表的通信時(shí)禁用通知。 Windows 防火墻: 允許日志記錄 用于啟用已丟棄通信、成功連接的記錄，和配置日志文件設(shè)置。 Windows 防火墻: 禁止對(duì)多播或廣播請(qǐng)求的單播響應(yīng) 用于丟棄為響應(yīng)多播或廣播請(qǐng)求所發(fā)送的單播數(shù)據(jù)包。 Windows 防火墻: 定義端口例外 用于通過(guò) TCP 和 UDP 端口指定已添加到例外列表的通信。 Windows 防火墻: 允許本地端口例外 用于啟用端口例外的本地配置。 還可以配置“Windows 防

6、火墻: 允許通過(guò)驗(yàn)證的 IPSec 旁路”策略設(shè)置，可以在“組策略編輯器”管理單元中的以下位置找到該設(shè)置： 計(jì)算機(jī)配置管理模板網(wǎng)絡(luò)網(wǎng)絡(luò)連接Windows 防火墻 該策略設(shè)置允許從使用 IPSec 進(jìn)行驗(yàn)證的指定系統(tǒng)傳入非請(qǐng)求通信。 1.2.2 案例：開放客戶端PING如上定位到“域配置文件”雙擊右側(cè)的“Windows防火墻：允許ICMP例外”； 在彈出的編輯對(duì)話框如下圖勾選“已啟用”以及“允許傳入回顯請(qǐng)求”并單擊“應(yīng)用>確定”完成編輯； 1.2.3 案例：開放固定端口如上定位到“域配置文件”雙擊右側(cè)的“Windows防火墻：定義入站端口例外”； 在彈出的設(shè)置窗口，勾選“已啟用”單擊下方“

7、顯示”按鈕，在顯示內(nèi)容窗口中輸入“139:TCP:*:enabled:testport”，填寫完成后單擊“確定>應(yīng)用>確定”退出編輯框（為了方便測(cè)試采用139來(lái)測(cè)試，也可以使用其他端口來(lái)測(cè)試）； 釋意： 139：端口 Tcp：端口類型 Enabled：開放/拒絕 Testport:自定義入站策略名稱 1.2.4 查看客戶端結(jié)果重啟XP客戶端查看Ping開放結(jié)果； 重啟XP客戶端端口開放情況； 重啟Win7客戶端查看Ping結(jié)果； 重啟Win7客戶端查看端口開放情況； 2 腳本統(tǒng)一配置防火墻2.1 禁用客戶端防火墻通過(guò)腳本禁用（關(guān)閉）防火墻有倆種方式，一種是通過(guò)腳本來(lái)禁用防火墻服務(wù)來(lái)

8、實(shí)現(xiàn)，一種是通過(guò)Windows自帶的netsh firewall命令來(lái)實(shí)現(xiàn)； 2.1.1.1 通過(guò)sc.exe禁用防火墻服務(wù)這里簡(jiǎn)紹的sc.exe（ServiceControl）是dos命令，該命令從WindowsXP開始為DOS自帶，可以實(shí)現(xiàn)對(duì)Windows服務(wù)啟動(dòng)、禁用、刪除及服務(wù)類型等操作； sc.exe常用功能簡(jiǎn)介 修改服務(wù)啟動(dòng)啟動(dòng)類型 sc config 服務(wù)名稱 start= demand /修改服務(wù)啟動(dòng)類型為手動(dòng)啟動(dòng) sc config 服務(wù)名稱 start= disabled /修改服務(wù)啟動(dòng)類型為禁止 sc config 服務(wù)名稱 start= auto /修改服務(wù)啟動(dòng)類型為自

9、動(dòng) 啟動(dòng)或停止服務(wù) sc stop/start 服務(wù)名稱 （注：如果服務(wù)名稱中有空格需要使用雙引號(hào)包括） Sc.exe禁止防火墻服務(wù)； 因?yàn)閟c可以禁止服務(wù)，所以可以通過(guò)禁止防火墻服務(wù)來(lái)實(shí)現(xiàn)關(guān)閉防火墻； XP防火墻服務(wù)名稱為“ShareAccess”顯示名稱為“Windows Firewall/Internet Connection Sharing (ICS) ”； Win7防火墻服務(wù)有倆個(gè)分別為：服務(wù)名稱“MpsSvc”顯示名稱“Windows Firewall”、服務(wù)名稱“SharedAccess”顯示名稱“Internet Connection Sharing (ICS)”； 可以將命令

10、寫成bat腳本通過(guò)域策略中的腳本策略統(tǒng)一部署，也可以在客戶端單獨(dú)執(zhí)行，腳本內(nèi)容如下： XP關(guān)閉防火墻腳本 = echo off sc stop ShareAccess :停止ShareAccess服務(wù) sc config ShareAccess start= disabled :將ShareAccess啟動(dòng)類型設(shè)置為禁止 Exit = XP啟動(dòng)防火墻腳本 = echo off sc config ShareAccess start= auto :將ShareAccess啟動(dòng)類型設(shè)置為自動(dòng)啟動(dòng) sc start ShareAccess :啟動(dòng)ShareAccess服務(wù) Exit = Win7關(guān)閉

11、防火墻腳本 = echo off sc stop MpsSvc :停止MpsSvc服務(wù) sc stop SharedAccess :停止SharedAccess服務(wù) sc config MpsSvc start= disabled :將MpsSvc啟動(dòng)類型設(shè)置為禁止 sc config SharedAccess start= disabled :將SharedAccess啟動(dòng)類型設(shè)置為禁止 Exit = Win7啟動(dòng)防火墻腳本 = echo off sc config MpsSvc start= auto :將MpsSvc啟動(dòng)類型設(shè)置為自動(dòng) sc config SharedAccess sta

12、rt= auto :將SharedAccess啟動(dòng)類型設(shè)置為自動(dòng) sc start MpsSvc :啟動(dòng)MpsSvc服務(wù) sc start SharedAccess :啟動(dòng)SharedAccess服務(wù) Exit = 2.1.1.2 通過(guò)netsh firewall關(guān)閉防火墻netsh firewallshow state /查看防火墻的狀態(tài) netsh firewall set opmode disable /禁用系統(tǒng)防火墻 netsh firewall set opmode enable /啟用防火墻 2.2 開放客戶端防火墻端口2.2.1 案例：開放客戶端PINGnetsh firewall set icmpsetting 8 /開啟ICMP回顯 netsh firewall set icmpsetting 8 disable /關(guān)閉回顯 2.2.2 案例開放固定端口允許文件和打印共享 文件和打印共享在局域網(wǎng)中常用的，如果要允許客戶端訪問(wèn)本機(jī)的共享文件或者打印機(jī)，此處即依次為案例可分別輸入并執(zhí)行如下命令： netsh firewall add portopening UDP 137 Netbios-ns (允許客戶端訪問(wèn)服務(wù)器UDP協(xié)議的137端口) netsh firewall add portopening U