示例:使用组策略配置Windows 7的高级防火墙
微软河北技术支持中心的培训部门的员工不允许访问FTP站点,其他出站的流量允许。现在你需要使用组策略中配置培训部门的计算机的高级防火墙,实现出站流量的控制。访问FTP站点目标端口是TCP协议的21端口。因此禁止TCP协议的目标端口是21的数据包出站就能禁止计算机访问FTP站点
培训部门的计算机允许需要为其他计算机共享文件夹,因此Windows高级防火墙必须开放TCP的445端口,因为访问共享资源使用的是TCP的445端口。
以下实战就是使用Windows 高级防火墙控制eduPC1计算机出站和如站的流量。
任务:
u 查看培训部门安装Windows 7的计算机eduPC1 的高级防火墙以及活动的配置文件
u 使用培训部门的计算机eduPC1访问Internet上的FTP站点和Web站点
u 使用市场部门的计算机marketPC1访问培训部门的计算机eduPC1共享文件夹
u 使用组策略中的高级防火墙配置eduPC1计算机高级防火墙
u 查看eduPC1上的高级防火墙配置
u 在eduPC1上访问FTP站点,测试高级防火墙出站链接控制
u 使用市场部门的计算机marketPC1访问eduPC1的共享资源验证高级防火墙对入站流量的控制
查看和验证域中的Windows7默认的高级防火墙设置
1. 如图3-258所示,在eduPC1上,点击开始菜单图标,点击“打开网络和共享中心”。
2. 如图3-258所示,在出现的网络和共享中心对话框,可以看到活动的网络为“域网络”,点击“更改高级共享设置”。
3. 如图3-259所示,可以看到当前的配置文件是“域”,选择“启用网络发现”和“关闭文件和打印机共享”,点击“保存修改”。其他计算机不能访问其共享资源,以下将会验证此设置。
图 3-258 打开网络和共享中心 图 3-259 配置文件
4. 如图3-260所示,点击,在搜索栏下,输入wf.msc,可以搜索到wf.msc,点击“wf.msc”,打开高级安全Windows防火墙。
5. 如图3-261所示,在出现的高级安全Windows防火墙对话框,点中“本地计算机上的高级安全Windows防火墙”,在详细窗口,可以看到域配置文件是活动的,点击“Windows防火墙属性”。
图 3-260 打开高级安全Windows防火墙 图 3-261 活动配置文件
6. 如图3-262所示,在出现的高级安全Windows防火墙-本地计算机属性对话框,在域配置文件标签下,可以看到防火墙状态为“启用”,入站链接默认“阻止”,出站链接默认“允许”,点击“确定”。
7. 如图3-263所示,打开IE浏览器,在地址栏输入http://www.qq.com访问Web站点,输入ftp://10.7.1.4访问FTP站点,都能够访问。
图 3-262出站链接默认允许 图 3-263 访问Web和FTP站点
8. 如图3-264所示,在MarketPC1上,在命令提示符下输入telnet edupc1 445 失败,说明不能打开edupc1的TCP的445端口,ping edupc1 请求超时,说明edupc1计算机的高级安全Windows防火墙允许ICMP流量进入。
9. 如图3-264所示,点击“开始”à“运行”,输入\\edupc1访问其共享资源,提示:找不到网络路径,点击“确定”。
图 3-264 测试到eduPC的访问
使用组策略配置培训部计算机出站和入站流量
以下的步骤将会使用组策略配置培训部计算机,禁止其访问FTP站点,允许其他计算机访问其TCP的445端口,以便访问其共享文件夹。
10. 如图3-265所示,在DCServer上,点击“开始”à“程序”à“管理工具”à“组策略管理”,打开组策略管理工具。
11. 如图3-266所示,在出现的组策略管理对话框,右击培训部组织单元下的组策略eduGPO,点击“编辑”。
图 3-265 打开组策略管理工具 图 3-266 编辑组策略
12. 如图3-267所示,在出现的组策略管理编辑器对话框,点中“计算机配置”à“策略”à“Windows设置”à“安全设置”à“高级安全Windows 防火墙”,在详细窗口,点击“Windows防火墙属性”。
13. 如图3-268所示,在出现的高级安全Windows防火墙对话框,在域配置配置文件标签下,防火墙状态选择“启用”,入站链接选择“阻止”,出站链接选择“允许”,点击“确定”。
图 3-267 打开Windows防火墙属性 图 3-268 编辑域配置文件
14. 如图3-269所示,右击入站规则,点击“新规则”。
15. 如图3-270所示,在出现的规则类型对话框,选择“端口”,点击“下一步”。
图 3-269 新规则 图 3-270 规则类型
16. 如图3-271所示,在出现的协议和端口对话框,选择“TCP”和“特定本地端口”,端口输入445,点击“下一步”。
17. 如图3-272所示,在出现的操作对话框,选择“允许链接”,点击“下一步”。
图 3-271 指定协议和端口 图 3-272 指定操作
18. 如图3-273所示,在出现的配置文件对话框,选中“域”和“专用”,点击“下一步”。
19. 如图3-274所示,在出现的名称对话框,输入名称“允许访问共享文件夹”,点击“完成”。
图 3-273 指定配置文件 图 3-274 指定名称
20. 如图3-275所示,右击“出站规则”,点击“新规则”。
21. 如图3-276所示,在出现的规则类型对话框,选择“端口”,点击“下一步”。
图 3-275 创建出站规则 图 3-276 指定规则类型
22. 如图3-277所示,在出现的协议和端口对话框,选择“TCP”和“所有本地端口”,点击“下一步”。
提示:访问FTP站点,目标端口为21,源端口是1024以后的随机端口,所以选择了“所有本地端口”,创建完成规则后再配置远程端口。
23. 如图3-278所示,在出现的操作对话框,选择“阻止链接”,点击“下一步”。
图 3-277 指定协议和端口 图 3-278 指定操作
24. 如图3-279所示,在出现的配置文件对话框,选中“域”,点击“下一步”。
25. 如图3-280所示,在出现的名称对话框,输入名称“拒绝访问TFP站点”,点击“完成”。
图 3-279 指定配置文件 图 3-280 指定规则名称
26. 如图3-281所示,右击“拒绝访问FTP站点”出站规则,点击“属性”,在出现的拒绝访问FTp站点属性对话框,在协议和端口标签下,远程端口选择“特定端口”,输入21,点击“确定”。
图 3-281 编辑规则远程端口
验证组策略设置
27. 如图3-282所示,在eduPC1上,点击“”à“运行”,输入“gpupdate /force”点击“确定”,刷新组策略。
28. 如图3-283所示,点击“”,在搜索栏输入wf.msc,点击搜索到的程序wf.msc,打开高级安全Windows防火墙管理工具。
图 3-282 刷新组策略 图 3-283 打开高级安全Windows防火墙
29. 如图3-284所示,在出现的高级安全Windows防火墙对话框,点中“本地计算机上的高级安全Windows防火墙”,在详细窗口,可以看到提示:由于安全考虑,某些设置有组策略控制,可以看到域配置文件是活动的,允许与规则不匹配的出站链接。
30. 如图3-285所示,点中“入站规则”,在详细窗口,可以看到组策略配置的“允许访问共享文件夹”规则,点击“属性”。
图 3-284 查看活动配置文件 图 3-285 查看创建的入站规则
31. 如图3-286所示,在出现的允许访问共享文件夹属性对话框,在常规标签下,提示:此规则已由系统管理员应用,无法被修改,所有设置为灰色。
32. 如图3-287所示,在协议和端口标签下,可以看到该规则打开的TCP的445端口,所有设置均不可更改。
图 3-286 允许访问 图 3-287 规则的协议和端口
33. 如图3-288所示,点中“出站规则”,在详细窗口,可以看到组策略设置的“拒绝访问FTP站点”规则。双击“拒绝访问FTP站点”规则。
34. 如图3-289所示,在出现的拒绝访问FTP站点属性对话框,在常规标签下,可以看到此规则已由系统管理员应用,无法被修改。
图 3-288创建的出站规则 图 3-289 规则属性
35. 如图3-290所示,在协议和端口标签下,可以看到该规则限制的协议和端口,且所有设置均不可更改。
36. 如图3-291所示,在eduPC1上,打开IE浏览器,访问FTP站点ftp://10.7.1.4,出现FTp文件夹错误对话框,提示:Windows无法访问此文件夹,点击“确定”。
图 3-290 规则的协议和端口 图 3-291 访问ftp站点
37. 如图3-292所示,输入http://www.qq.com网址,访问Internet上的网站,能够成功。
38. 如图3-293所示,在MarketPC1上,点击“开始”à“运行”,输入\\edupc1,可以看到能够访问培训部计算机的共享资源。能够验证组策略设置入站规则“允许访问共享文件夹”生效。
图 3-292 访问Web站点 图 3-293 能够访问共享资源
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1134002,如需转载请自行联系原作者