使用域组策略及脚本统一配置防火墙

1、使用域组策略/脚本统一配置防火墙目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置；统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法；1域组策略统一配置防火墙使用域管理员登录域控制器，打开管理工具 组策略管理”；在目标组织单位右击，新建 GPO；阻止鳗童/ 一 J I U 卜 |-7 一 辆違担级单心0An）j=i±1 猱.btntl内吝|«弗 t *拈询追D«fauil

2、t 0oA4iinDon a m Canirol、林；btnvli. cm玄这亍氓中站逹GTO弁在掘迪展棉门选择 Win dows Firewall/I nternet Conn ection Shari ng(ICS)俩项服务，并禁用该俩项服务;选择 Win dows Firewall/I nternet Conn ection Shari ng(ICS)俩项服务，并禁用该俩项服务;1.1禁用客户端防火墙1.1.1域策略配置右击冃标0U的GPO,选择编辑 GPO,选择 计算机配置 策略Windows设置安全设置 系统服务选择 Win dows Firewall/I nternet Conn

3、ection Shari ng(ICS)俩项服务，并禁用该俩项服务;选择 Win dows Firewall/I nternet Conn ection Shari ng(ICS)俩项服务，并禁用该俩项服务; y 1_步厢I冀區I国 云组議&崔理 一込林 CQB-音学-btnot ew斗 * Dentils CmtTol 匚二 ittlQH.：FErHtll5«l* 讦策歸对累亠rMr祎迭器4 j St wt «r CTOfrj姑塩f.過帝昭逢用丈件0） 掃作血 M（V）获朋（H】中 I ?FtF| I B Sjfr冒林I融，h Act IV* Birwtwy De

4、nt 设*(崔文 OAellv* BiFMtftry tab SftfeiC '却pHicaUcft Ixp*ri«me :殳祠SX+閱匸輯再華霜Appla eiLmBiti Appla cHiQn iRfrviliQEt *i( Jppla C4.t i «EH L«y«r 睁l 匚| 1 Apfla C4t.ii甘n林 Sackpound Isiltlli<,*n ,l3«44 FiL'IFIZlC Eh£lFk«事件曰壬g; jC-w tifieit*! Fr«pftf4.lii

5、7;Ei 枷钢互岛呷込c 1 rTW+ Fiv*iTi 4 vk i a没育定义设檢文 i 谡鮭文 W盪n定义:? wornA*rs=/选择 Win dows Firewall/I nternet Conn ection Shari ng(ICS)俩项服务，并禁用该俩项服务;4II世i亟浚有圭文VH d “Interactive Serin ces Detection卷泸nJw 名htJgr Cy gfebCl 140.1* 旦 ” 占心弋邑 占呻川I .U#,.手动ft.己启辻自动Vl r idAVS1防火塔findrv firawtll 民牲j If indo* e Evwit L4g厦育

6、走义复有走文没有定义15让£型1没能丈结果如下;1.1.2查看客户端结果重启XP客户端查看结果$屋曲1/关机. 宾全设比I吕饶户杨翳：；本地輪圖I 事件曰志 期噺的細 q卒魏朧齊I匂文件勲吏 iL榭砌m |二鞍安全伽I锐无红雋m 处检歸圖a躲件观倒釉I应罔程帛I殊 |囲ir戏全棒矚I J nsJ 4 于需堀咕咲 躍卩極从皇地计重启Win7客户端查看结果由于槪副ft务沒有运笛i Tindni防火擂谡置无运鼻乔盪地目劲ntioTTS FhrmftH/1ht«rn*t GwMw Shtfinc dCS）银尋冈Ttfi ti-cLc-vs- Au.dJ.i c>-WindME

7、 Auii q In-findlaws EtriSpc:° J li ndsws Col of Sy .IindrMrs Dr iTtr F .Wi xidws Errr JU Yxjids £vtnt Co Wi iido-ws EguhIl La l|j|-firidws Firt«fell ； . fifid0*> Fehi Ctc* 询删 Im tall*-Iind&wi Mcdulti .Fr«senla Rea He M Tittf 1%业“ W«b Prex:/SindcwT VindovvYWi 詔 "E

8、.,皿UC,c：ffll r»fonm丰地茶垸 聿地嚴务 曲its tr葆;琨I?畔憐宿迥书 gfflhliSBV髙烧常丘赫 BUJW盍全蒂SSi殳医ITmdMrs Ftrwtll逢裸應势启迦E我r言动叫 r手越叫CjJUctlQP Lring （J.CS）,已禁用一"屯碍二二厂一 £一莒|匚.賄釵浚有定义»4七購真K丰豐癘攜樹】说!荣雀射#If ml *r it用播:s讶最|新忖!目j!附='dHuo b1f !直 51c td CQflllii “航创氐网敢于陆止屢蓄載土覽窮坤电过hwm 罚需臼嚴曲昭K#bW i ndow s Event L

9、o百此已启动自动«!Windawe Fsnt raflh4 乞劭呷 1 亡总Fire1启.”Interactive Services DetectimiIF Heljer手动13ZXZL)4飞启和自动丿自功屉111W i ndow s Event Lo百此已启动自动W i ndow s Event Lo百此已启动自动1.2开放客户端防火墙端口(注：首先将上面组策略中的系统服务设置还原在进行下一步的配置)1.2.1域策略配置右击目标GPO选择编辑，选择 “计算机配置 策略管理模板 网络网络连接Windows防火墙”，下面的子集即为 客户端防火墙配置项目，此处主要包含俩个子集域配置文件”

10、和 标准配置文件”两个策略子集，其中，域配置文件主要在包含域 DC的网络中应用，也就是主机连接到企业网络时使用；标准配置文件则是用于在非域网络中应用；j binti* G b«ntlA3 二 t* - 1k SE.IE件设畫區J iri-Jcivs扌刑SMEWFirtNtUSM创-IbSEW-" f*诵送吉r： 35W净粘占匸咖*aJhk磐X +曲箱攜包计划翟库SWIFSSL* KFir 1SSTiliJflWkiffililS!删輕更-賽求；I童少 Tin4m If «indSFZ插辻走义Vld4*ti防尖15用獅 桂制汕IB悔仪am打満息 賞巴集实用工具可氏便

11、用ICUF ri琅职烷其伸mir紺状野刪 如F吟慨用回H澹求消夏。倆 不自用光VF入站阴腐护範R - 共塑 期 小皿二肪火嵯特趙止虫 麗也计島机上运衍前九巩岌世的 國!1店疔启电I旦不w理止曲事许 尊机上运饰Firu复医的出詁回 !W求沁加KM聽耿覆收幕豎ICIF清斗出押1 ntr. SI £? +771 (UII1组策略设置描述Windows防火墙：保护所有网络连接用于指定所有网络连接都已启用Windows防火墙。Windows防火墙：不允许例外用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。Windows防火墙：定义程序例外用于通过应用程序文件名定义已添加到例

12、外列表的通信。Windows防火墙：允许本地程序例外用于启用程序例外的本地配置。Windows防火墙：允许远程管理例外用于启用远程过程调用(RPC)和分布式组件对象模型(DCOM)，它们对于很多使用诸如Microsoft管理控制台(MMC)和 Windows Management Instrumentation (WMI)等工具执行的远程管理任务是必需的。Windows防火墙：允许文件和打印机共享例外用于指定是否允许文件和打印机共享通信。Windows 防火墙：允许ICMP例外用于指定允许哪些类型的非请求In ternet控制消息协议(ICMP)通信。Windows防火墙：允许远程桌面例外用于

13、指定计算机是否可接受基于远程桌面”的连接请求。Windows防火墙：允许 UPnP框架例外用于指定计算机是否可以参与UPnP发现。Windows防火墙：禁止通知用于在应用程序使用新Windows防火墙应用程序编程接口(API)请求已添加到例外列表的通信时禁用通知。Windows防火墙：允许日志记录用于启用已丢弃通信、成功连接的记录，和配置日志文件设置。Windows防火墙：禁止对多播或广播请求的单播响应用于丢弃为响应多播或广播请求所发送的单播数据包。Windows防火墙：定义端口例外用于通过TCP和UDP端口指定已添加到例外列表的通信。Windows防火墙：允许本地端口例外用于启用端口例外的本

14、地配置。还可以配置“Windows防火墙：允许通过验证的IPSec旁路”策略设置，可以在 组策略编辑器”管理单元中的以下 位置找到该设置：计算机配置管理模板网络网络连接Windows防火墙该策略设置允许从使用IPSec进行验证的指定系统传入非请求通信。1.2.2案例：开放客户端 PING如上定位到 域配置文件"双击右侧的“Windows防火墙：允许ICMP例外”呂纠色气碍坷：幷许记录日志.» n II litr 才, f Ard II IWindows防墻不允许碉外防吠情：允许入站文件和扑印机些享例外Windows防火刑祥ICMP例外在弹出的编辑对话框如下图勾选已启用”以及

15、 允许传入回显请求”并单击应用 确定”完成编辑;Window 瓷、融 pF <NP f（T凹里匚ir定is=2!淨吐*r注间17厂亡甲司a黑啊疽冷d至少 Wiftdtourt )CP Pcfetiofl-Sil SP2dr黑1谭/潼m If JI卞T.k 阿詔g 场虫比芹眄 Tn*erne+W<I<MP|ftMUnuwS ICMP:H VMW伍呷卯SI立詡事薛赢萍末曲 7t芦心显=腐 欷 MBNB - HWTfwiM 追次彈止awwM；上境初 PtfTfl ffiMBMMtTW.nirq诫包=i啦回土 赵曰"ov111.2.3案例：开放固定端口如上定位到 域配置文件

16、"双击右侧的“Windows防火墙：定义入站端口例外11Hl Sun IB irn JJal匡忸防戏t評允许本地端口例外imuQZMiiLornii工.-i-W:! *1 码陌起連冗/1结逵程管遽钊外vRf-.ii ih 尸 、防" 二口 =口丄在弹出的设置窗口，勾选已启用”单击下方 显示"按钮，在显示内容窗口中输入“ 139:TCP:*:enabled:testport”填写完成后单击 确定应用 >确定”退出编辑框（为了方便测试采用139来测试，也可以使用其他端口来测试）；释意:139 :端口Tcp :端口类型Enabled :开放/拒绝Testport:

17、自定义入站策略名称上一VTtt町 | I、:|r IEAq 埠LJ9 TO 4b41 #4 l*序揶t王F 奄去甘口册卄i二叮瘁.孰49 -Windo甯垂聖戸STE上艺址二.<Port*:*Tr*npQrt>:*$c<POrt>戛牛巨列英二寻<Tr*mport> jl 'TCP*1.2.4查看客户端结果入诂損刚重启XP客户端查看Ping开放结果;專擀弼tn血厂gaitCl? w“网-邸<+餐力挡吓违持氓云辭* E -3" !£>X影瞬熬麟曲兌?AJtai也¥矗斤像爲宝G).奁盘白齐畑您町L池-連.田寸吐空餐酗

18、日毛立饥d. con重启XP客户端端口开放情况;砒卜第规程序和服勢CL):註翩鬲豔鼬鶴歩須辑曜务翩鉴讎誉与此宓栩关血口"要打阳口, I誕鮒名称名称町nF框聖回附显册兰好网路逡彳回远程栖助远程桌面|罔向BS WF 13T WF 138【亢郭協呈daguo.范園住意子网予网重启Win7客户端查看Ping结果;人站机则:m”:J WWJ e堆址糧琵帝ttdcIWI叫-SEkRXdCiPlh)Om *CiciPrt-iit®睡逼 苗由器南星acvz珂砧 SAi g 個 BM 衆 amwhH 0触 -聲丹轴99止：?Mr>2衽花额V natBTf V i&Wv重启Win

19、7客户端查看端口开放情况;入诂損刚|虽!入站砌h(1H护金駅內 * * iMtft itpafI JC乜2<J罩邸口吐】2*1*«丨映摘I柯1西可阿劇縣5户I协欣盹口F*检號理址、mvqri入诂損刚入诂損刚2脚本统一配置防火墙2.1禁用客户端防火墙Windows 自带通过脚本禁用(关闭)防火墙有俩种方式，一种是通过脚本来禁用防火墙服务来实现，一种是通过的netsh firewall 命令来实现；2.1.1.1通过sc.exe禁用防火墙服务这里简绍的sc.exe ( ServiceControl )是dos命令，该命令从 WindowsXP开始为DOS自带，可以实现对 Windo

20、ws服务启动、禁用、删除及服务类型等操作；sc.exe常用功能简介修改服务启动启动类型sc config 服务名称 start= dema nd/修改服务启动类型为手动启动sc config 服务名称 start= disabled/修改服务启动类型为禁止sc config 服务名称 start= auto/修改服务启动类型为自动启动或停止服务sc stop/start 服务名称(注：如果服务名称中有空格需要使用双引号包括)Sc.exe禁止防火墙服务；因为sc可以禁止服务，所以可以通过禁止防火墙服务来实现关闭防火墙；XP 防火墙服务名称为“ ShareAccess 显示名称为 “ Win do

21、ws Firewall/I nternet Co nn ection Shari ng (ICS)；Win7防火墙服务有俩个分别为：服务名称“ MpsSvc显示名称 “ Windows Firewall、服务名称 “ SharedAccess显示名称 “ In ternet Co nn ection Shari ng (ICS)可以将命令写成 bat脚本通过域策略中的脚本策略统一部署，也可以在客户端单独执行，脚本内容如下：XP关闭防火墙脚本echo offsc stop ShareAccess: 停止 ShareAccess 服务sc config ShareAccess start= dis

22、abled: 将 ShareAccess 启动类型设置为禁止ExitXP 启动防火墙脚本echo offsc config ShareAccess start= auto: 将 ShareAccess 启动类型设置为自动启动sc start ShareAccess: 启动 ShareAccess 服务ExitWin7 关闭防火墙脚本echo offsc stop MpsSvc: 停止 MpsSvc 服务sc stop SharedAccess: 停止 SharedAccess 服务sc config MpsSvc start= disabled: 将 MpsSvc 启动类型设置为禁止sc config SharedAccess start= disabled: 将 SharedAccess 启动类型设置为禁止ExitWin7 启动防火墙脚本echo offsc config MpsSvc start= auto: 将 MpsSvc 启动类型设置为自动sc config SharedAccess start= auto: 将 SharedAccess 启动类型设置