使用域组策略及脚本统一配置防火墙.docx
《使用域组策略及脚本统一配置防火墙.docx》由会员分享,可在线阅读,更多相关《使用域组策略及脚本统一配置防火墙.docx(12页珍藏版)》请在冰点文库上搜索。
使用域组策略及脚本统一配置防火墙
使用域组策略/脚本统一配置防火墙
目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置;
统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法;
1域组策略统一配置防火墙
使用域管理员登录域控制器,打开“管理工具>组策略管理”;
在目标组织单位右击,新建GPO;
1.1禁用客户端防火墙
1.1.1域策略配置
右击目标OU的GPO,选择编辑GPO,选择“计算机配置>策略>Windows设置>安全设置>系统服务”;
选择WindowsFirewall/InternetConnectionSharing(ICS)俩项服务,并禁用该俩项服务;
结果如下;
1.1.2查看客户端结果
重启XP客户端查看结果
重启Win7客户端查看结果
1.2开放客户端防火墙端口
(注:
首先将上面组策略中的系统服务设置还原在进行下一步的配置)
1.2.1域策略配置
右击目标GPO选择编辑,选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”,下面的子集即为客户端防火墙配置项目,此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集,其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用;
组策略设置描述
Windows防火墙:
保护所有网络连接
用于指定所有网络连接都已启用Windows防火墙。
Windows防火墙:
不允许例外
用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。
Windows防火墙:
定义程序例外
用于通过应用程序文件名定义已添加到例外列表的通信。
Windows防火墙:
允许本地程序例外
用于启用程序例外的本地配置。
Windows防火墙:
允许远程管理例外
用于启用远程过程调用(RPC)和分布式组件对象模型(DCOM),它们对于很多使用诸如Microsoft管理控制台(MMC)和WindowsManagementInstrumentation(WMI)等工具执行的远程管理任务是必需的。
Windows防火墙:
允许文件和打印机共享例外
用于指定是否允许文件和打印机共享通信。
Windows防火墙:
允许ICMP例外
用于指定允许哪些类型的非请求Internet控制消息协议(ICMP)通信。
Windows防火墙:
允许远程桌面例外
用于指定计算机是否可接受基于“远程桌面”的连接请求。
Windows防火墙:
允许UPnP框架例外
用于指定计算机是否可以参与UPnP发现。
Windows防火墙:
禁止通知
用于在应用程序使用新Windows防火墙应用程序编程接口(API)请求已添加到例外列表的通信时禁用通知。
Windows防火墙:
允许日志记录
用于启用已丢弃通信、成功连接的记录,和配置日志文件设置。
Windows防火墙:
禁止对多播或广播请求的单播响应
用于丢弃为响应多播或广播请求所发送的单播数据包。
Windows防火墙:
定义端口例外
用于通过TCP和UDP端口指定已添加到例外列表的通信。
Windows防火墙:
允许本地端口例外
用于启用端口例外的本地配置。
还可以配置“Windows防火墙:
允许通过验证的IPSec旁路”策略设置,可以在“组策略编辑器”管理单元中的以下位置找到该设置:
计算机配置\管理模板\网络\网络连接\Windows防火墙
该策略设置允许从使用IPSec进行验证的指定系统传入非请求通信。
1.2.2案例:
开放客户端PING
如上定位到“域配置文件”双击右侧的“Windows防火墙:
允许ICMP例外”;
在弹出的编辑对话框如下图勾选“已启用”以及“允许传入回显请求”并单击“应用>确定”完成编辑;
1.2.3案例:
开放固定端口
如上定位到“域配置文件”双击右侧的“Windows防火墙:
定义入站端口例外”;
在弹出的设置窗口,勾选“已启用”单击下方“显示”按钮,在显示内容窗口中输入“139:
TCP:
*:
enabled:
testport”,填写完成后单击“确定>应用>确定”退出编辑框(为了方便测试采用139来测试,也可以使用其他端口来测试);
释意:
139:
端口
Tcp:
端口类型
Enabled:
开放/拒绝
Testport:
自定义入站策略名称
1.2.4查看客户端结果
重启XP客户端查看Ping开放结果;
重启XP客户端端口开放情况;
重启Win7客户端查看Ping结果;
重启Win7客户端查看端口开放情况;
2脚本统一配置防火墙
2.1禁用客户端防火墙
通过脚本禁用(关闭)防火墙有俩种方式,一种是通过脚本来禁用防火墙服务来实现,一种是通过Windows自带的netshfirewall命令来实现;
2.1.1.1通过sc.exe禁用防火墙服务
这里简绍的sc.exe(ServiceControl)是dos命令,该命令从WindowsXP开始为DOS自带,可以实现对Windows服务启动、禁用、删除及服务类型等操作;
sc.exe常用功能简介
修改服务启动启动类型
scconfig服务名称start=demand
//修改服务启动类型为手动启动
scconfig服务名称start=disabled
//修改服务启动类型为禁止
scconfig服务名称start=auto
//修改服务启动类型为自动
启动或停止服务
scstop/start服务名称
(注:
如果服务名称中有空格需要使用双引号包括)
Sc.exe禁止防火墙服务;
因为sc可以禁止服务,所以可以通过禁止防火墙服务来实现关闭防火墙;
XP防火墙服务名称为“ShareAccess”显示名称为“WindowsFirewall/InternetConnectionSharing(ICS)
”;
Win7防火墙服务有俩个分别为:
服务名称“MpsSvc”显示名称“WindowsFirewall”、服务名称“SharedAccess”显示名称“InternetConnectionSharing(ICS)”;
可以将命令写成bat脚本通过域策略中的脚本策略统一部署,也可以在客户端单独执行,脚本内容如下:
XP关闭防火墙脚本
=============================================================================================
@echooff
scstopShareAccess
:
:
停止ShareAccess服务
scconfigShareAccessstart=disabled
:
:
将ShareAccess启动类型设置为禁止
Exit
=============================================================================================
XP启动防火墙脚本
=============================================================================================
@echooff
scconfigShareAccessstart=auto
:
:
将ShareAccess启动类型设置为自动启动
scstartShareAccess
:
:
启动ShareAccess服务
Exit
=============================================================================================
Win7关闭防火墙脚本
=============================================================================================
@echooff
scstopMpsSvc
:
:
停止MpsSvc服务
scstopSharedAccess
:
:
停止SharedAccess服务
scconfigMpsSvcstart=disabled
:
:
将MpsSvc启动类型设置为禁止
scconfigSharedAccessstart=disabled
:
:
将SharedAccess启动类型设置为禁止
Exit
=============================================================================================
Win7启动防火墙脚本
=============================================================================================
@echooff
scconfigMpsSvcstart=auto
:
:
将MpsSvc启动类型设置为自动
scconfigSharedAccessstart=auto
:
:
将SharedAccess启动类型设置为自动
scstartMpsSvc
:
:
启动MpsSvc服务
scstartSharedAccess
:
:
启动SharedAccess服务
Exit
=============================================================================================
2.1.1.2通过netshfirewall关闭防火墙
netshfirewallshowstate
//查看防火墙的状态
netshfirewallsetopmodedisable
//禁用系统防火墙
netshfirewallsetopmodeenable
//启用防火墙
2.2开放客户端防火墙端口
2.2.1案例:
开放客户端PING
netshfirewallseticmpsetting8
//开启ICMP回显
netshfirewallseticmpsetting8disable
//关闭回显
2.2.2案例开放固定端口
允许文件和打印共享文件和打印共享在局域网中常用的,如果要允许客户端访问本机的共享文件或者打印机,此处即依次为案例可分别输入并执行如下命令:
netshfirewalladdportopeningUDP137Netbios-ns(允许客户端访问服务器UDP协议的137端口)
netshfirewalladdportopeningUDP138Netbios-dgm(允许访问UDP协议的138端口)
netshfirewalladdportopeningTCP139Netbios-ssn(允许访问TCP协议的139端口)
netshfirewalladdportopeningTCP445Netbios-ds(允许访问TCP协议的445端口)
命令执行完毕后,文件及打印共享所须的端口都被防火墙放行了。