六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識(shí) >

如何使用組策略集中部署Windows防火墻提高配置效率

時(shí)間: 加城1195 分享

  防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成,防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。在管理規(guī)模較大的網(wǎng)絡(luò)環(huán)境時(shí),網(wǎng)絡(luò)安全往往是花費(fèi)精力最多的一環(huán)。就拿配置Windows XP SP2的防火墻來說,如果讓網(wǎng)管為網(wǎng)內(nèi)計(jì)算機(jī)逐一進(jìn)行配置的話,工作量會(huì)非常大,而且在細(xì)節(jié)配置上也容易出錯(cuò)。那么,如何才能提高規(guī)?;h(huán)境內(nèi)的防火墻配置效率呢?

  具體分析

  Windows防火墻是Windows XP SP2中一個(gè)極為重要的安全設(shè)計(jì),它可以有效地協(xié)助我們完成計(jì)算機(jī)的安全管理。今天,筆者將為大家介紹如何使用組策略(Group Policy)在機(jī)房中集中部署Windows防火墻,提高為網(wǎng)內(nèi)計(jì)算機(jī)配置防火墻的效率。

  為什么要集中部署

  首先,我們要了解組策略對(duì)Windows防火墻的作用是什么。組策略可以決定本地管理員級(jí)別的用戶是否可以對(duì)Windows防火墻進(jìn)行各種設(shè)置,可以決定Windows防火墻的哪些功能被“禁用”或“允許”……

  顯然,上述幾個(gè)功能正好能夠配合域功能進(jìn)行機(jī)房的安全管理,這就為組策略能夠批量化部署機(jī)房的Windows防火墻打下了基礎(chǔ)。此時(shí),所有客戶機(jī)的 Windows防火墻的應(yīng)用權(quán)限將統(tǒng)一歸域管理員管理,本地管理員對(duì)Windows防火墻的任何設(shè)置要在域管理員的“批準(zhǔn)”下方可進(jìn)行。此外,域管理員還可使用組策略來完成所有客戶機(jī)的Windows防火墻配置,而不必逐臺(tái)進(jìn)行了。

  用組策略部署防火墻

  在明白了集中部署的好處后,現(xiàn)在讓我們一步步實(shí)現(xiàn)。請(qǐng)大家先了解一下本文的測試環(huán)境“Windows Server 2003域服務(wù)器+Windows XP SP2客戶機(jī)”。本文將介紹如何在Windows Server 2003域服務(wù)器管理的機(jī)房中的客戶機(jī)(Windows XP SP2)上,對(duì)所有安裝了Windows XP SP2的客戶機(jī)進(jìn)行Windows防火墻的集中部署。

  提示:為什么不是在域服務(wù)器中進(jìn)行組策略的新建與配置,而是在客戶機(jī)上運(yùn)行?其實(shí)這很容易理解,Windows Server 2003操作系統(tǒng)(中文版)中還沒有Windows防火墻,所以無法進(jìn)行配置。但是,這一點(diǎn)將會(huì)隨著Windows Server 2003 SP1中文正式版的推出而得到徹底解決。

  OK!現(xiàn)在讓我們開始實(shí)際操作。首先,在Windows XP SP2客戶機(jī)的“運(yùn)行”欄中輸入“MMC”命令并回車,在打開的“控制臺(tái)”窗口中,依次單擊“文件→添加/刪除管理單元”,添加“組策略對(duì)象編輯器”。

  在彈出的“歡迎使用組策略向?qū)?rdquo;界面中,點(diǎn)擊“瀏覽”按鈕并在“瀏覽組策略對(duì)象”窗口中的空白處單擊鼠標(biāo)右鍵,在彈出的菜單中選擇“新建”,并命名為“firewall”即可返回控制臺(tái)窗口。

  提示:客戶機(jī)的當(dāng)前登錄賬戶必須具有管理員權(quán)限,方可新建GPO(組策略對(duì)象)。因此,臨時(shí)解決這個(gè)問題的方法就是在DC中將客戶機(jī)的賬戶添加到Administrators組,接著客戶機(jī)臨時(shí)使用管理員賬戶登錄系統(tǒng)并進(jìn)行GPO配置即可

  返回控制臺(tái)窗口后,在“firewall”策略集中可以看到“域配置文件”和“標(biāo)準(zhǔn)配置文件”兩個(gè)策略子集(圖1)。其中,域配置文件主要在包含域DC的網(wǎng)絡(luò)中應(yīng)用,也就是主機(jī)連接到企業(yè)網(wǎng)絡(luò)時(shí)使用;標(biāo)準(zhǔn)配置文件則是用于在非域網(wǎng)絡(luò)中應(yīng)用。

  顯然,我們需要在域配置文件中進(jìn)行策略的設(shè)置。下面簡單地說說如何對(duì)其中的子策略進(jìn)行安全配置:

  保護(hù)所有網(wǎng)絡(luò)連接:已啟用;這樣才能強(qiáng)制要求客戶機(jī)啟用Windows防火墻,不受客戶機(jī)本地策略的影響。

  不允許例外:未配置;這個(gè)可以讓客戶機(jī)自行安排。

  定義程序例外:已啟用;即按照程序文件名定義例外通信,這樣可以集中配置機(jī)房中允許運(yùn)行的網(wǎng)絡(luò)程序等。

  允許本地程序例外:已禁用;如果禁用則Windows防火墻的“例外”設(shè)置部分將呈灰色。

  允許遠(yuǎn)程管理例外:已禁用;如果不允許客戶機(jī)進(jìn)行遠(yuǎn)程管理,那么請(qǐng)禁用。

  允許文件和打印機(jī)共享例外:已禁用;如果某些客戶機(jī)有共享資源需要應(yīng)用,那么應(yīng)該啟用。

  允許ICMP例外:已禁用;如果希望使用Ping命令,則必須啟用。

  允許遠(yuǎn)程桌面例外:已禁用;即關(guān)閉客戶機(jī)可以接受基于遠(yuǎn)程桌面的連接請(qǐng)求功能。

  允許UPnP框架例外:已禁用;即禁止客戶機(jī)接收垃圾的UPnP方面的消息。

  阻止通知:已禁用。

  允許記錄日志:未配置;允許記錄通信并配置日志文件設(shè)置。

  阻止對(duì)多播或廣播請(qǐng)求的單播響應(yīng):已啟用;即放棄因多播或廣播請(qǐng)求消息而收到的單播數(shù)據(jù)包。

  定義端口例外:已啟用;按照TCP和UDP端口指定例外通信。

  允許本地端口例外:已禁用;即禁止客戶機(jī)管理員進(jìn)行端口的“例外”配置。

  現(xiàn)在,讓我們通過“定義端口例外”項(xiàng)來介紹一下如何進(jìn)行具體配置。首先,在“域配置文件”設(shè)置區(qū)域中,雙擊“Windows防火墻:定義端口例外”項(xiàng),在彈出的屬性窗口中單擊“已啟用→顯示”,并進(jìn)行“添加”。接著,使用“port:transport:scope:status:name”的格式輸入要阻止或啟用的端口信息(如“80:TCP:*:enabled:Webtest”)。

  提示:port是指端口號(hào)碼;transport是指TCP或UDP;scope中的“*”表示用于所有系統(tǒng)或允許訪問端口的計(jì)算機(jī)列表;status是已啟用或已禁用;name是用作此條目標(biāo)簽的文本字符串。

  完成上述設(shè)置后,保存策略為“firewall”文件?,F(xiàn)在,就得進(jìn)行非常重要的一步操作,在“命令提示符”窗口中運(yùn)行“Gpupdate /force”命令強(qiáng)制組策略設(shè)置應(yīng)用到域網(wǎng)絡(luò)中已經(jīng)登錄的計(jì)算機(jī)

  驗(yàn)證部署效果

  完成組策略的刷新后,先來看看本機(jī)中的Windows防火墻是否響應(yīng)了策略。由于前面已經(jīng)定義了“允許本地程序例外”項(xiàng)的狀態(tài)為“已禁用”,根據(jù)這個(gè)定義,Windows防火墻的“例外”設(shè)置部分應(yīng)變?yōu)榛疑,F(xiàn)在,讓我們打開本機(jī)中的Windows防火墻,可以看到被禁用的部分已經(jīng)呈灰色,這說明本機(jī)已響應(yīng)組策略設(shè)置了。

  接著,再來看看DC是否響應(yīng)了組策略。在DC服務(wù)器的“運(yùn)行”欄中輸入“dsa.msc”命令并回車,彈出“Active Directory”窗口后,請(qǐng)進(jìn)入“shyzhong.com”(請(qǐng)根據(jù)實(shí)際情況選擇)的屬性窗口。在“組策略”選項(xiàng)卡部分可以看到保存的 firewall已經(jīng)自動(dòng)出現(xiàn)在列表中了。如果沒有出現(xiàn)可以手工添加(圖2)。

  到了這一步,可以看出整個(gè)設(shè)置是成功的。而此后,域中任何一臺(tái)使用Windows XP SP2的計(jì)算機(jī)只要登錄到域,那么該計(jì)算機(jī)就會(huì)自動(dòng)下載Windows防火墻的設(shè)置并開始應(yīng)用。至此,整個(gè)機(jī)房的Windows 防火墻配置操作就成功完成了。

  利用組策略集中部署SP2防火墻的操作并不復(fù)雜,但是它的效果卻是一勞永逸的。大家會(huì)發(fā)現(xiàn)組策略對(duì)于集中管理網(wǎng)絡(luò)安全來說實(shí)在是一個(gè)不可多得的好助手

  補(bǔ)充閱讀:防火墻主要使用技巧

  一、所有的防火墻文件規(guī)則必須更改。

  盡管這種方法聽起來很容易,但是由于防火墻沒有內(nèi)置的變動(dòng)管理流程,因此文件更改對(duì)于許多企業(yè)來說都不是最佳的實(shí)踐方法。如果防火墻管理員因?yàn)橥话l(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改,那么他撞到槍口上的可能性就會(huì)比較大。但是如果這種更改抵消了之前的協(xié)議更改,會(huì)導(dǎo)致宕機(jī)嗎?這是一個(gè)相當(dāng)高發(fā)的狀況。

  防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí),觀察誰進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障,讓整個(gè)協(xié)議管理更加簡單和高效。

  二、以最小的權(quán)限安裝所有的訪問規(guī)則。

  另一個(gè)常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個(gè)用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個(gè)或者更多域內(nèi)指定打來那個(gè)的目標(biāo)對(duì)象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò),這些規(guī)則就會(huì)變得權(quán)限過度釋放,因此就會(huì)增加不安全因素。服務(wù)域的規(guī)則是開放65535個(gè)TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個(gè)攻擊矢量?

  三、根據(jù)法規(guī)協(xié)議和更改需求來校驗(yàn)每項(xiàng)防火墻的更改。

  在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中,我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。

  四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。

  規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問題,因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則,卻從來不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對(duì)于達(dá)成規(guī)則共識(shí)是個(gè)好的開始。運(yùn)行無用規(guī)則的報(bào)表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團(tuán)隊(duì)。


如何使用組策略集中部署Windows防火墻提高配置效率相關(guān)文章:

1.用組策略部署Windows防火墻

2.windows7組策略怎么設(shè)置

3.windows防火墻有哪些什么作用

4.電腦怎么用不了windows防火墻的解決方法

5.driodwall防火墻已禁用怎么辦

4042344