使用组策略配置Windows 7的高级防火墙

本文涉及的产品
云防火墙,500元 1000GB
简介:
示例:使用组策略配置Windows 7的高级防火墙

微软河北技术支持中心的培训部门的员工不允许访问FTP站点,其他出站的流量允许。现在你需要使用组策略中配置培训部门的计算机的高级防火墙,实现出站流量的控制。访问FTP站点目标端口是TCP协议的21端口。因此禁止TCP协议的目标端口是21的数据包出站就能禁止计算机访问FTP站点

培训部门的计算机允许需要为其他计算机共享文件夹,因此Windows高级防火墙必须开放TCP的445端口,因为访问共享资源使用的是TCP的445端口。

以下实战就是使用Windows 高级防火墙控制eduPC1计算机出站和如站的流量。

任务:

u 查看培训部门安装Windows 7的计算机eduPC1 的高级防火墙以及活动的配置文件

u 使用培训部门的计算机eduPC1访问Internet上的FTP站点和Web站点

u 使用市场部门的计算机marketPC1访问培训部门的计算机eduPC1共享文件夹

u 使用组策略中的高级防火墙配置eduPC1计算机高级防火墙

u 查看eduPC1上的高级防火墙配置

u 在eduPC1上访问FTP站点,测试高级防火墙出站链接控制

u 使用市场部门的计算机marketPC1访问eduPC1的共享资源验证高级防火墙对入站流量的控制

查看和验证域中的Windows7默认的高级防火墙设置

1. 如图3-258所示,在eduPC1上,点击开始菜单clip_image001图标,点击“打开网络和共享中心”。

2. 如图3-258所示,在出现的网络和共享中心对话框,可以看到活动的网络为“域网络”,点击“更改高级共享设置”。

3. 如图3-259所示,可以看到当前的配置文件是“域”,选择“启用网络发现”和“关闭文件和打印机共享”,点击“保存修改”。其他计算机不能访问其共享资源,以下将会验证此设置。

clip_image002clip_image003

图 3-258 打开网络和共享中心 图 3-259 配置文件

4. 如图3-260所示,点击clip_image004,在搜索栏下,输入wf.msc,可以搜索到wf.msc,点击“wf.msc”,打开高级安全Windows防火墙。

5. 如图3-261所示,在出现的高级安全Windows防火墙对话框,点中“本地计算机上的高级安全Windows防火墙”,在详细窗口,可以看到域配置文件是活动的,点击“Windows防火墙属性”。

clip_image005clip_image006

图 3-260 打开高级安全Windows防火墙 图 3-261 活动配置文件

6. 如图3-262所示,在出现的高级安全Windows防火墙-本地计算机属性对话框,在域配置文件标签下,可以看到防火墙状态为“启用”,入站链接默认“阻止”,出站链接默认“允许”,点击“确定”。

7. 如图3-263所示,打开IE浏览器,在地址栏输入http://www.qq.com访问Web站点,输入ftp://10.7.1.4访问FTP站点,都能够访问。

clip_image007clip_image008

图 3-262出站链接默认允许 图 3-263 访问Web和FTP站点

8. 如图3-264所示,在MarketPC1上,在命令提示符下输入telnet edupc1 445 失败,说明不能打开edupc1的TCP的445端口,ping edupc1 请求超时,说明edupc1计算机的高级安全Windows防火墙允许ICMP流量进入。

9. 如图3-264所示,点击“开始”à“运行”,输入\\edupc1访问其共享资源,提示:找不到网络路径,点击“确定”。

clip_image009

图 3-264 测试到eduPC的访问

使用组策略配置培训部计算机出站和入站流量

以下的步骤将会使用组策略配置培训部计算机,禁止其访问FTP站点,允许其他计算机访问其TCP的445端口,以便访问其共享文件夹。

10. 如图3-265所示,在DCServer上,点击“开始”à“程序”à“管理工具”à“组策略管理”,打开组策略管理工具。

11. 如图3-266所示,在出现的组策略管理对话框,右击培训部组织单元下的组策略eduGPO,点击“编辑”。

clip_image010clip_image011

图 3-265 打开组策略管理工具 图 3-266 编辑组策略

12. 如图3-267所示,在出现的组策略管理编辑器对话框,点中“计算机配置”à“策略”à“Windows设置”à“安全设置”à“高级安全Windows 防火墙”,在详细窗口,点击“Windows防火墙属性”。

13. 如图3-268所示,在出现的高级安全Windows防火墙对话框,在域配置配置文件标签下,防火墙状态选择“启用”,入站链接选择“阻止”,出站链接选择“允许”,点击“确定”。

clip_image012clip_image014

图 3-267 打开Windows防火墙属性 图 3-268 编辑域配置文件

14. 如图3-269所示,右击入站规则,点击“新规则”。

15. 如图3-270所示,在出现的规则类型对话框,选择“端口”,点击“下一步”。

clip_image015clip_image016

图 3-269 新规则 图 3-270 规则类型

16. 如图3-271所示,在出现的协议和端口对话框,选择“TCP”和“特定本地端口”,端口输入445,点击“下一步”。

17. 如图3-272所示,在出现的操作对话框,选择“允许链接”,点击“下一步”。

clip_image017clip_image018

图 3-271 指定协议和端口 图 3-272 指定操作

18. 如图3-273所示,在出现的配置文件对话框,选中“域”和“专用”,点击“下一步”。

19. 如图3-274所示,在出现的名称对话框,输入名称“允许访问共享文件夹”,点击“完成”。

clip_image019clip_image020

图 3-273 指定配置文件 图 3-274 指定名称

20. 如图3-275所示,右击“出站规则”,点击“新规则”。

21. 如图3-276所示,在出现的规则类型对话框,选择“端口”,点击“下一步”。

clip_image021clip_image022

图 3-275 创建出站规则 图 3-276 指定规则类型

22. 如图3-277所示,在出现的协议和端口对话框,选择“TCP”和“所有本地端口”,点击“下一步”。

提示:访问FTP站点,目标端口为21,源端口是1024以后的随机端口,所以选择了“所有本地端口”,创建完成规则后再配置远程端口。

23. 如图3-278所示,在出现的操作对话框,选择“阻止链接”,点击“下一步”。

clip_image023clip_image024

图 3-277 指定协议和端口 图 3-278 指定操作

24. 如图3-279所示,在出现的配置文件对话框,选中“域”,点击“下一步”。

25. 如图3-280所示,在出现的名称对话框,输入名称“拒绝访问TFP站点”,点击“完成”。

clip_image025clip_image026

图 3-279 指定配置文件 图 3-280 指定规则名称

26. 如图3-281所示,右击“拒绝访问FTP站点”出站规则,点击“属性”,在出现的拒绝访问FTp站点属性对话框,在协议和端口标签下,远程端口选择“特定端口”,输入21,点击“确定”。

clip_image027

图 3-281 编辑规则远程端口

验证组策略设置

27. 如图3-282所示,在eduPC1上,点击“clip_image029”à“运行”,输入“gpupdate /force”点击“确定”,刷新组策略。

28. 如图3-283所示,点击“clip_image030”,在搜索栏输入wf.msc,点击搜索到的程序wf.msc,打开高级安全Windows防火墙管理工具。

clip_image031clip_image032

图 3-282 刷新组策略 图 3-283 打开高级安全Windows防火墙

29. 如图3-284所示,在出现的高级安全Windows防火墙对话框,点中“本地计算机上的高级安全Windows防火墙”,在详细窗口,可以看到提示:由于安全考虑,某些设置有组策略控制,可以看到域配置文件是活动的,允许与规则不匹配的出站链接。

30. 如图3-285所示,点中“入站规则”,在详细窗口,可以看到组策略配置的“允许访问共享文件夹”规则,点击“属性”。

clip_image033clip_image034

图 3-284 查看活动配置文件 图 3-285 查看创建的入站规则

31. 如图3-286所示,在出现的允许访问共享文件夹属性对话框,在常规标签下,提示:此规则已由系统管理员应用,无法被修改,所有设置为灰色。

32. 如图3-287所示,在协议和端口标签下,可以看到该规则打开的TCP的445端口,所有设置均不可更改。

clip_image035clip_image036

图 3-286 允许访问 图 3-287 规则的协议和端口

33. 如图3-288所示,点中“出站规则”,在详细窗口,可以看到组策略设置的“拒绝访问FTP站点”规则。双击“拒绝访问FTP站点”规则。

34. 如图3-289所示,在出现的拒绝访问FTP站点属性对话框,在常规标签下,可以看到此规则已由系统管理员应用,无法被修改。

clip_image037clip_image038

图 3-288创建的出站规则 图 3-289 规则属性

35. 如图3-290所示,在协议和端口标签下,可以看到该规则限制的协议和端口,且所有设置均不可更改。

36. 如图3-291所示,在eduPC1上,打开IE浏览器,访问FTP站点ftp://10.7.1.4,出现FTp文件夹错误对话框,提示:Windows无法访问此文件夹,点击“确定”。

clip_image039clip_image040

图 3-290 规则的协议和端口 图 3-291 访问ftp站点

37. 如图3-292所示,输入http://www.qq.com网址,访问Internet上的网站,能够成功。

38. 如图3-293所示,在MarketPC1上,点击“开始”à“运行”,输入\\edupc1,可以看到能够访问培训部计算机的共享资源。能够验证组策略设置入站规则“允许访问共享文件夹”生效。

clip_image042clip_image043

图 3-292 访问Web站点 图 3-293 能够访问共享资源



本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1134002,如需转载请自行联系原作者

相关文章
|
19天前
|
存储 负载均衡 Java
如何配置Windows主机MPIO多路径访问存储系统
Windows主机多路径(MPIO)是一种技术,用于在客户端计算机上配置多个路径到存储设备,以提高数据访问的可靠性和性能。本文以Windows2012 R2版本为例介绍如何在客户端主机和存储系统配置多路径访问。
65 13
如何配置Windows主机MPIO多路径访问存储系统
|
8天前
|
监控 安全 网络安全
Windows Server管理:配置与管理技巧
Windows Server管理:配置与管理技巧
36 3
|
1月前
|
网络协议 Ubuntu 网络安全
|
2月前
|
运维 监控 安全
网络管理:防火墙和安全组配置详解
网络管理:防火墙和安全组配置详解
81 1
|
1月前
|
弹性计算 关系型数据库 数据安全/隐私保护
阿里云国际版如何配置Windows服务器的虚拟内存
阿里云国际版如何配置Windows服务器的虚拟内存
|
3月前
|
Java 应用服务中间件 开发工具
[App Service for Windows]通过 KUDU 查看 Tomcat 配置信息
[App Service for Windows]通过 KUDU 查看 Tomcat 配置信息
|
3月前
|
Java 应用服务中间件 Windows
【App Service for Windows】为 App Service 配置自定义 Tomcat 环境
【App Service for Windows】为 App Service 配置自定义 Tomcat 环境
|
3月前
|
网络安全 Windows
在Windows电脑上启动并配置SSH服务
在Windows电脑上启动并配置SSH服务
715 0
|
3月前
|
Ubuntu Linux 数据安全/隐私保护
在 Windows 中配置 WSL2 与 Debian 的全流程
【8月更文挑战第27天】本文详细介绍了在Windows环境中配置WSL2与Debian的全过程,包括确认Windows版本、启用相关功能、安装WSL并设置版本为WSL2、下载安装Debian、配置国内镜像源,以及设置Xserver实现GUI功能。通过这些步骤,用户能够顺利完成配置,并进行基本优化。
432 0
|
3月前
【Azure 应用服务】App Service 配置 Application Settings 访问Storage Account得到 could not be resolved: '*.file.core.windows.net'的报错。没有解析成对应中国区 Storage Account地址 *.file.core.chinacloudapi.cn
【Azure 应用服务】App Service 配置 Application Settings 访问Storage Account得到 could not be resolved: '*.file.core.windows.net'的报错。没有解析成对应中国区 Storage Account地址 *.file.core.chinacloudapi.cn
下一篇
无影云桌面