使用域組策略及腳本統(tǒng)一配置防火墻

1、使用域組策略/腳本統(tǒng)一配置防火墻目前企業(yè)內(nèi)網(wǎng)多為域環(huán)境，部分企業(yè)應用例如入侵檢測等需要客戶端統(tǒng)一開放某一端口比如Ping，如果企業(yè)環(huán)境較大，客戶端數(shù)千個逐個設置將是浪費工作效率且不靈活的方案；所以可以通過使用域策略來統(tǒng)一設置；統(tǒng)一配置可以通過域策略中自帶的防火墻模板來設置，也可以通過使用bat腳本來配置，下面即分別演示配置方法；1域組策略統(tǒng)一配置防火墻使用域管理員登錄域控制器，打開管理工具 組策略管理”；在目標組織單位右擊，新建 GPO；阻止鰻童/ 一 J I U 卜 |-7 一 輛違擔級單心0An）j=i±1 猱.btntl內(nèi)吝|«弗 t *拈詢追D«fauil

2、t 0oA4iinDon a m Canirol、林；btnvli. cm玄這亍氓中站逹GTO弁在掘迪展棉門選擇 Win dows Firewall/I nternet Conn ection Shari ng(ICS)倆項服務，并禁用該倆項服務;選擇 Win dows Firewall/I nternet Conn ection Shari ng(ICS)倆項服務，并禁用該倆項服務;1.1禁用客戶端防火墻1.1.1域策略配置右擊冃標0U的GPO,選擇編輯 GPO,選擇 計算機配置 策略Windows設置安全設置 系統(tǒng)服務選擇 Win dows Firewall/I nternet Conn

3、ection Shari ng(ICS)倆項服務，并禁用該倆項服務;選擇 Win dows Firewall/I nternet Conn ection Shari ng(ICS)倆項服務，并禁用該倆項服務; y 1_步廂I冀區(qū)I國 云組議&崔理 一込林 CQB-音學-btnot ew斗 * Dentils CmtTol 匚二 ittlQH.：FErHtll5«l* 訐策歸對累亠rMr祎迭器4 j St wt «r CTOfrj姑塩f.過帝昭逢用丈件0） 掃作血 M（V）獲朋（H】中 I ?FtF| I B Sjfr冒林I融，h Act IV* Birwtwy De

4、nt 設*(崔文 OAellv* BiFMtftry tab SftfeiC '卻pHicaUcft Ixp*ri«me :殳祠SX+閱匸輯再華霜Appla eiLmBiti Appla cHiQn iRfrviliQEt *i( Jppla C4.t i «EH L«y«r 睜l 匚| 1 Apfla C4t.ii甘n林 Sackpound Isiltlli<,*n ,l3«44 FiL'IFIZlC Eh£lFk«事件曰壬g; jC-w tifieit*! Fr«pftf4.lii

5、7;Ei 枷鋼互島呷込c 1 rTW+ Fiv*iTi 4 vk i a沒育定義設檢文 i 謖鮭文 W盪n定義:? wornA*rs=/選擇 Win dows Firewall/I nternet Conn ection Shari ng(ICS)倆項服務，并禁用該倆項服務;4II世i亟浚有圭文VH d “Interactive Serin ces Detection卷瀘nJw 名htJgr Cy gfebCl 140.1* 旦 ” 占心弋邑 占呻川I .U#,.手動ft.己啟辻自動Vl r idAVS1防火塔findrv firawtll 民牲j If indo* e Evwit L4g廈育

6、走義復有走文沒有定義15讓£型1沒能丈結(jié)果如下;1.1.2查看客戶端結(jié)果重啟XP客戶端查看結(jié)果$屋曲1/關(guān)機. 賓全設比I呂饒戶楊翳：；本地輪圖I 事件曰志 期噺的細 q卒魏朧齊I匂文件勲吏 iL榭砌m |二鞍安全伽I銳無紅雋m 處檢歸圖a躲件觀倒釉I應罔程帛I殊 |囲ir戲全棒矚I J nsJ 4 于需堀咕咲 躍卩極從皇地計重啟Win7客戶端查看結(jié)果由于槪副ft務沒有運笛i Tindni防火擂謖置無運鼻喬盪地目勁ntioTTS FhrmftH/1ht«rn*t GwMw Shtfinc dCS）銀尋岡Ttfi ti-cLc-vs- Au.dJ.i c>-WindME

7、 Auii q In-findlaws EtriSpc:° J li ndsws Col of Sy .IindrMrs Dr iTtr F .Wi xidws Errr JU Yxjids £vtnt Co Wi iido-ws EguhIl La l|j|-firidws Firt«fell ； . fifid0*> Fehi Ctc* 詢刪 Im tall*-Iind&wi Mcdulti .Fr«senla Rea He M Tittf 1%業(yè)“ W«b Prex:/SindcwT VindovvYWi 詔 "E

8、.,皿UC,c：ffll r»fonm豐地茶垸 聿地嚴務 曲its tr葆;琨I?畔憐宿迥書 gfflhliSBV髙燒常丘赫 BUJW盍全蒂SSi殳醫(yī)ITmdMrs Ftrwtll逢裸應勢啟迦E我r言動叫 r手越叫CjJUctlQP Lring （J.CS）,已禁用一"屯礙二二廠一 £一莒|匚.賄釵浚有定義»4七購真K豐豐癘攜樹】說!榮雀射#If ml *r it用播:s訝最|新忖!目j!附='dHuo b1f !直 51c td CQflllii “航創(chuàng)氐網(wǎng)敢于陸止屢蓄載土覽窮坤電過hwm 罰需臼嚴曲昭K#bW i ndow s Event L

9、o百此已啟動自動«!Windawe Fsnt raflh4 乞劭呷 1 亡總Fire1啟.”Interactive Services DetectimiIF Heljer手動13ZXZL)4飛啟和自動丿自功屜111W i ndow s Event Lo百此已啟動自動W i ndow s Event Lo百此已啟動自動1.2開放客戶端防火墻端口(注：首先將上面組策略中的系統(tǒng)服務設置還原在進行下一步的配置)1.2.1域策略配置右擊目標GPO選擇編輯，選擇 “計算機配置 策略管理模板 網(wǎng)絡網(wǎng)絡連接Windows防火墻”，下面的子集即為 客戶端防火墻配置項目，此處主要包含倆個子集域配置文件”

10、和 標準配置文件”兩個策略子集，其中，域配置文件主要在包含域 DC的網(wǎng)絡中應用，也就是主機連接到企業(yè)網(wǎng)絡時使用；標準配置文件則是用于在非域網(wǎng)絡中應用；j binti* G b«ntlA3 二 t* - 1k SE.IE件設畫區(qū)J iri-Jcivs扌刑SMEWFirtNtUSM創(chuàng)-IbSEW-" f*誦送吉r： 35W凈粘占匸咖*aJhk磐X +曲箱攜包計劃翟庫SWIFSSL* KFir 1SSTiliJflWkiffililS!刪輕更-賽求；I童少 Tin4m If «indSFZ插辻走義Vld4*ti防尖15用獅 桂制汕IB悔儀am打満息 賞巴集實用工具可氏便

11、用ICUF ri瑯職烷其伸mir紺狀野刪 如F吟慨用回H澹求消夏。倆 不自用光VF入站陰腐護範R - 共塑 期 小皿二肪火嵯特趙止蟲 麗也計島機上運衍前九鞏岌世的 國!1店疔啟電I旦不w理止曲事許 尊機上運飾Firu復醫(yī)的出詁回 !W求沁加KM聽耿覆收幕豎ICIF清斗出押1 ntr. SI £? +771 (UII1組策略設置描述Windows防火墻：保護所有網(wǎng)絡連接用于指定所有網(wǎng)絡連接都已啟用Windows防火墻。Windows防火墻：不允許例外用于指定所有未經(jīng)請求的傳入通信將被丟棄，包括已添加到例外列表的通信。Windows防火墻：定義程序例外用于通過應用程序文件名定義已添加到例

12、外列表的通信。Windows防火墻：允許本地程序例外用于啟用程序例外的本地配置。Windows防火墻：允許遠程管理例外用于啟用遠程過程調(diào)用(RPC)和分布式組件對象模型(DCOM)，它們對于很多使用諸如Microsoft管理控制臺(MMC)和 Windows Management Instrumentation (WMI)等工具執(zhí)行的遠程管理任務是必需的。Windows防火墻：允許文件和打印機共享例外用于指定是否允許文件和打印機共享通信。Windows 防火墻：允許ICMP例外用于指定允許哪些類型的非請求In ternet控制消息協(xié)議(ICMP)通信。Windows防火墻：允許遠程桌面例外用于

13、指定計算機是否可接受基于遠程桌面”的連接請求。Windows防火墻：允許 UPnP框架例外用于指定計算機是否可以參與UPnP發(fā)現(xiàn)。Windows防火墻：禁止通知用于在應用程序使用新Windows防火墻應用程序編程接口(API)請求已添加到例外列表的通信時禁用通知。Windows防火墻：允許日志記錄用于啟用已丟棄通信、成功連接的記錄，和配置日志文件設置。Windows防火墻：禁止對多播或廣播請求的單播響應用于丟棄為響應多播或廣播請求所發(fā)送的單播數(shù)據(jù)包。Windows防火墻：定義端口例外用于通過TCP和UDP端口指定已添加到例外列表的通信。Windows防火墻：允許本地端口例外用于啟用端口例外的本

14、地配置。還可以配置“Windows防火墻：允許通過驗證的IPSec旁路”策略設置，可以在 組策略編輯器”管理單元中的以下 位置找到該設置：計算機配置管理模板網(wǎng)絡網(wǎng)絡連接Windows防火墻該策略設置允許從使用IPSec進行驗證的指定系統(tǒng)傳入非請求通信。1.2.2案例：開放客戶端 PING如上定位到 域配置文件"雙擊右側(cè)的“Windows防火墻：允許ICMP例外”呂糾色氣礙坷：幷許記錄日志.» n II litr 才, f Ard II IWindows防墻不允許碉外防吠情：允許入站文件和撲印機些享例外Windows防火刑祥ICMP例外在彈出的編輯對話框如下圖勾選已啟用”以及

15、 允許傳入回顯請求”并單擊應用 確定”完成編輯;Window 瓷、融 pF <NP f（T凹里匚ir定is=2!淨吐*r注間17廠亡甲司a黑啊疽冷d至少 Wiftdtourt )CP Pcfetiofl-Sil SP2dr黑1譚/潼m If JI卞T.k 阿詔g 場蟲比芹眄 Tn*erne+W<I<MP|ftMUnuwS ICMP:H VMW伍呷卯SI立詡事薛贏萍末曲 7t蘆心顯=腐 欷 MBNB - HWTfwiM 追次彈止awwM；上境初 PtfTfl ffiMBMMtTW.nirq誡包=i啦回土 趙曰"ov111.2.3案例：開放固定端口如上定位到 域配置文件

16、"雙擊右側(cè)的“Windows防火墻：定義入站端口例外11Hl Sun IB irn JJal匡忸防戲t評允許本地端口例外imuQZMiiLornii工.-i-W:! *1 碼陌起連冗/1結(jié)逵程管遽釗外vRf-.ii ih 尸 、防" 二口 =口丄在彈出的設置窗口，勾選已啟用”單擊下方 顯示"按鈕，在顯示內(nèi)容窗口中輸入“ 139:TCP:*:enabled:testport”填寫完成后單擊 確定應用 >確定”退出編輯框（為了方便測試采用139來測試，也可以使用其他端口來測試）；釋意:139 :端口Tcp :端口類型Enabled :開放/拒絕Testport:

17、自定義入站策略名稱上一VTtt町 | I、:|r IEAq 埠LJ9 TO 4b41 #4 l*序揶t王F 奄去甘口冊卄i二叮瘁.孰49 -Windo甯垂聖戸STE上藝址二.<Port*:*Tr*npQrt>:*$c<POrt>戛牛巨列英二尋<Tr*mport> jl 'TCP*1.2.4查看客戶端結(jié)果入詁損剛重啟XP客戶端查看Ping開放結(jié)果;專搟弼tn血廠gaitCl? w“網(wǎng)-邸<+餐力擋嚇違持氓云辭* E -3" !£>X影瞬熬麟曲兌?AJtai也¥矗斤像爲寶G).奩盤白齊畑您町L池-連.田寸吐空餐酗

18、日毛立饑d. con重啟XP客戶端端口開放情況;砒卜第規(guī)程序和服勢CL):註翩鬲豔鼬鶴歩須輯曜務翩鑒讎譽與此宓栩關(guān)血口"要打陽口, I誕鮒名稱名稱町nF框聖回附顯冊蘭好網(wǎng)路逡彳回遠程棲助遠程桌面|罔向BS WF 13T WF 138【亢郭協(xié)呈daguo.范園住意子網(wǎng)予網(wǎng)重啟Win7客戶端查看Ping結(jié)果;人站機則:m”:J WWJ e堆址糧琵帝ttdcIWI叫-SEkRXdCiPlh)Om *CiciPrt-iit®睡逼 苗由器南星acvz珂砧 SAi g 個 BM 衆(zhòng) amwhH 0觸 -聲丹軸99止：?Mr>2衽花額V natBTf V i&Wv重啟Win

19、7客戶端查看端口開放情況;入詁損剛|雖!入站砌h(1H護金駅內(nèi) * * iMtft itpafI JC乜2<J罩邸口吐】2*1*«丨映摘I柯1西可阿劇縣5戶I協(xié)欣盹口F*檢號理址、mvqri入詁損剛?cè)朐b損剛2腳本統(tǒng)一配置防火墻2.1禁用客戶端防火墻Windows 自帶通過腳本禁用(關(guān)閉)防火墻有倆種方式，一種是通過腳本來禁用防火墻服務來實現(xiàn)，一種是通過的netsh firewall 命令來實現(xiàn)；2.1.1.1通過sc.exe禁用防火墻服務這里簡紹的sc.exe ( ServiceControl )是dos命令，該命令從 WindowsXP開始為DOS自帶，可以實現(xiàn)對 Windo

20、ws服務啟動、禁用、刪除及服務類型等操作；sc.exe常用功能簡介修改服務啟動啟動類型sc config 服務名稱 start= dema nd/修改服務啟動類型為手動啟動sc config 服務名稱 start= disabled/修改服務啟動類型為禁止sc config 服務名稱 start= auto/修改服務啟動類型為自動啟動或停止服務sc stop/start 服務名稱(注：如果服務名稱中有空格需要使用雙引號包括)Sc.exe禁止防火墻服務；因為sc可以禁止服務，所以可以通過禁止防火墻服務來實現(xiàn)關(guān)閉防火墻；XP 防火墻服務名稱為“ ShareAccess 顯示名稱為 “ Win do

21、ws Firewall/I nternet Co nn ection Shari ng (ICS)；Win7防火墻服務有倆個分別為：服務名稱“ MpsSvc顯示名稱 “ Windows Firewall、服務名稱 “ SharedAccess顯示名稱 “ In ternet Co nn ection Shari ng (ICS)可以將命令寫成 bat腳本通過域策略中的腳本策略統(tǒng)一部署，也可以在客戶端單獨執(zhí)行，腳本內(nèi)容如下：XP關(guān)閉防火墻腳本echo offsc stop ShareAccess: 停止 ShareAccess 服務sc config ShareAccess start= dis

22、abled: 將 ShareAccess 啟動類型設置為禁止ExitXP 啟動防火墻腳本echo offsc config ShareAccess start= auto: 將 ShareAccess 啟動類型設置為自動啟動sc start ShareAccess: 啟動 ShareAccess 服務ExitWin7 關(guān)閉防火墻腳本echo offsc stop MpsSvc: 停止 MpsSvc 服務sc stop SharedAccess: 停止 SharedAccess 服務sc config MpsSvc start= disabled: 將 MpsSvc 啟動類型設置為禁止sc config SharedAccess start= disabled: 將 SharedAccess 啟動類型設置為禁止ExitWin7 啟動防火墻腳本echo offsc config MpsSvc start= auto: 將 MpsSvc 啟動類型設置為自動sc config SharedAccess start= auto: 將 SharedAccess 啟動類型設置