使用域组策略及脚本统一配置防火墙.docx

1、使用域组策略及脚本统一配置防火墙使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置； 统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法； 1 域组策略统一配置防火墙使用域管理员登录域控制器，打开“管理工具组策略管理”； 在目标组织单位右击，新建GPO； 1.1 禁用客户端防火墙1.1.1 域策略配置右击目标OU的GPO，选择编辑GPO，选择“计算机配置策略Window

2、s设置安全设置系统服务”； 选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务； 结果如下； 1.1.2 查看客户端结果重启XP客户端查看结果 重启Win7客户端查看结果 1.2 开放客户端防火墙端口（注：首先将上面组策略中的系统服务设置还原在进行下一步的配置） 1.2.1 域策略配置右击目标GPO选择编辑，选择“ 计算机配置策略管理模板网络网络连接Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集 “域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应

3、用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用； 组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用 Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用 (RPC) 和分布式组件对象模型 (DCOM)，它们对于很多使用诸如

4、 Microsoft 管理控制台 (MMC) 和 Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。 Windows 防火墙: 允许文件和打印机共享例外 用于指定是否允许文件和打印机共享通信。 Windows 防火墙: 允许 ICMP 例外 用于指定允许哪些类型的非请求 Internet 控制消息协议 (ICMP) 通信。 Windows 防火墙: 允许远程桌面例外 用于指定计算机是否可接受基于“远程桌面”的连接请求。 Windows 防火墙: 允许 UPnP 框架例外 用于指定计算机是否可以参与 UPnP 发现。 Window

5、s 防火墙: 禁止通知 用于在应用程序使用新 Windows 防火墙应用程序编程接口 (API) 请求已添加到例外列表的通信时禁用通知。 Windows 防火墙: 允许日志记录 用于启用已丢弃通信、成功连接的记录，和配置日志文件设置。 Windows 防火墙: 禁止对多播或广播请求的单播响应 用于丢弃为响应多播或广播请求所发送的单播数据包。 Windows 防火墙: 定义端口例外 用于通过 TCP 和 UDP 端口指定已添加到例外列表的通信。 Windows 防火墙: 允许本地端口例外 用于启用端口例外的本地配置。 还可以配置“Windows 防火墙: 允许通过验证的 IPSec 旁路”策略设

6、置，可以在“组策略编辑器”管理单元中的以下位置找到该设置： 计算机配置管理模板网络网络连接Windows 防火墙 该策略设置允许从使用 IPSec 进行验证的指定系统传入非请求通信。 1.2.2 案例：开放客户端PING如上定位到“域配置文件”双击右侧的“Windows防火墙：允许ICMP例外”； 在弹出的编辑对话框如下图勾选“已启用”以及“允许传入回显请求”并单击“应用确定”完成编辑； 1.2.3 案例：开放固定端口如上定位到“域配置文件”双击右侧的“Windows防火墙：定义入站端口例外”； 在弹出的设置窗口，勾选“已启用”单击下方“显示”按钮，在显示内容窗口中输入“139:TCP:*:e

7、nabled:testport”，填写完成后单击“确定应用确定”退出编辑框（为了方便测试采用139来测试，也可以使用其他端口来测试）； 释意： 139：端口 Tcp：端口类型 Enabled：开放/拒绝 Testport:自定义入站策略名称 1.2.4 查看客户端结果重启XP客户端查看Ping开放结果； 重启XP客户端端口开放情况； 重启Win7客户端查看Ping结果； 重启Win7客户端查看端口开放情况； 2 脚本统一配置防火墙2.1 禁用客户端防火墙通过脚本禁用（关闭）防火墙有俩种方式，一种是通过脚本来禁用防火墙服务来实现，一种是通过Windows自带的netsh firewall命令来实

8、现； 2.1.1.1 通过sc.exe禁用防火墙服务这里简绍的sc.exe（ServiceControl）是dos命令，该命令从WindowsXP开始为DOS自带，可以实现对Windows服务启动、禁用、删除及服务类型等操作； sc.exe常用功能简介 修改服务启动启动类型 sc config 服务名称 start= demand /修改服务启动类型为手动启动 sc config 服务名称 start= disabled /修改服务启动类型为禁止 sc config 服务名称 start= auto /修改服务启动类型为自动 启动或停止服务 sc stop/start 服务名称 （注：如果服务

9、名称中有空格需要使用双引号包括） Sc.exe禁止防火墙服务； 因为sc可以禁止服务，所以可以通过禁止防火墙服务来实现关闭防火墙； XP防火墙服务名称为“ShareAccess”显示名称为“Windows Firewall/Internet Connection Sharing (ICS) ”； Win7防火墙服务有俩个分别为：服务名称“MpsSvc”显示名称“Windows Firewall”、服务名称“SharedAccess”显示名称“Internet Connection Sharing (ICS)”； 可以将命令写成bat脚本通过域策略中的脚本策略统一部署，也可以在客户端单独执行，脚

10、本内容如下： XP关闭防火墙脚本 = echo off sc stop ShareAccess :停止ShareAccess服务 sc config ShareAccess start= disabled :将ShareAccess启动类型设置为禁止 Exit = XP启动防火墙脚本 = echo off sc config ShareAccess start= auto :将ShareAccess启动类型设置为自动启动 sc start ShareAccess :启动ShareAccess服务 Exit = Win7关闭防火墙脚本 = echo off sc stop MpsSvc :停止M

11、psSvc服务 sc stop SharedAccess :停止SharedAccess服务 sc config MpsSvc start= disabled :将MpsSvc启动类型设置为禁止 sc config SharedAccess start= disabled :将SharedAccess启动类型设置为禁止 Exit = Win7启动防火墙脚本 = echo off sc config MpsSvc start= auto :将MpsSvc启动类型设置为自动 sc config SharedAccess start= auto :将SharedAccess启动类型设置为自动 sc

12、start MpsSvc :启动MpsSvc服务 sc start SharedAccess :启动SharedAccess服务 Exit = 2.1.1.2 通过netsh firewall关闭防火墙netsh firewallshow state /查看防火墙的状态 netsh firewall set opmode disable /禁用系统防火墙 netsh firewall set opmode enable /启用防火墙 2.2 开放客户端防火墙端口2.2.1 案例：开放客户端PINGnetsh firewall set icmpsetting 8 /开启ICMP回显 netsh

13、firewall set icmpsetting 8 disable /关闭回显 2.2.2 案例开放固定端口允许文件和打印共享 文件和打印共享在局域网中常用的，如果要允许客户端访问本机的共享文件或者打印机，此处即依次为案例可分别输入并执行如下命令： netsh firewall add portopening UDP 137 Netbios-ns (允许客户端访问服务器UDP协议的137端口) netsh firewall add portopening UDP 138 Netbios-dgm (允许访问UDP协议的138端口) netsh firewall add portopening TCP 139 Netbios-ssn (允许访问TCP协议的139端口) netsh firewall add portopening TCP 445 Netbios-ds (允许访问TCP协议的445端口) 命令执行完毕后，文件及打印共享所须的端口都被防火墙放行了。