使用域组策略及脚本统一配置防火墙

使用域组策略/脚本统一配置防火墙

目前企业网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置；

统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法；

1 域组策略统一配置防火墙

使用域管理员登录域控制器，打开“管理工具>组策略管理”；

在目标组织单位右击，新建GPO；

1.1 禁用客户端防火墙

1.1.1 域策略配置

右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；

选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务；

结果如下；

1.1.2 查看客户端结果

重启XP客户端查看结果

重启Win7客户端查看结果

1.2 开放客户端防火墙端口

（注：首先将上面组策略中的系统服务设置还原在进行下一步的配置）

1.2.1 域策略配置

右击目标GPO选择编辑，选择“ 计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；

组策略设置描述

Windows 防火墙: 保护所有网络连接

用于指定所有网络连接都已启用Windows 防火墙。

Windows 防火墙: 不允许例外

用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。

Windows 防火墙: 定义程序例外

用于通过应用程序文件名定义已添加到例外列表的通信。

Windows 防火墙: 允许本地程序例外

用于启用程序例外的本地配置。

Windows 防火墙: 允许远程管理例外

用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM)，它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。

Windows 防火墙: 允许文件和打印机共享例外

用于指定是否允许文件和打印机共享通信。

Windows 防火墙: 允许ICMP 例外

用于指定允许哪些类型的非请求Internet 控制消息协议(ICMP) 通信。

Windows 防火墙: 允许远程桌面例外

用于指定计算机是否可接受基于“远程桌面”的连接请求。

Windows 防火墙: 允许UPnP 框架例外

用于指定计算机是否可以参与UPnP 发现。

Windows 防火墙: 禁止通知

用于在应用程序使用新Windows 防火墙应用程序编程接口(API) 请求已添加到例外列表的通信时禁用通知。

Windows 防火墙: 允许日志记录

用于启用已丢弃通信、成功连接的记录，和配置日志文件设置。

Windows 防火墙: 禁止对多播或广播请求的单播响应

用于丢弃为响应多播或广播请求所发送的单播数据包。

Windows 防火墙: 定义端口例外

用于通过TCP 和UDP 端口指定已添加到例外列表的通信。

Windows 防火墙: 允许本地端口例外

用于启用端口例外的本地配置。

还可以配置“Windows防火墙: 允许通过验证的IPSec 旁路”策略设置，可以在“组策略编辑器”管理单元中的以下位置找到该设置：

计算机配置\管理模板\网络\网络连接\Windows 防火墙

该策略设置允许从使用IPSec 进行验证的指定系统传入非请求通信。

1.2.2 案例：开放客户端PING

如上定位到“域配置文件”双击右侧的“Windows防火墙：允许ICMP例外”；

在弹出的编辑对话框如下图勾选“已启用”以及“允许传入回显请求”并单击“应用>确定”完成编辑；

1.2.3 案例：开放固定端口

如上定位到“域配置文件”双击右侧的“Windows防火墙：定义入站端口例外”；

在弹出的设置窗口，勾选“已启用”单击下方“显示”按钮，在显示容窗口中输入“139:TCP:*:enabled:testport”，填写完成后单击“确定>应用>确定”退出编辑框（为了方便测试采用139来测试，也可以使用其他端口来测试）；释意：

139：端口

Tcp：端口类型

Enabled：开放/拒绝

Testport:自定义入站策略名称

1.2.4 查看客户端结果

重启XP客户端查看Ping开放结果；

重启XP客户端端口开放情况；

重启Win7客户端查看Ping结果；

重启Win7客户端查看端口开放情况；

2 脚本统一配置防火墙

2.1 禁用客户端防火墙

通过脚本禁用（关闭）防火墙有俩种方式，一种是通过脚本来禁用防火墙服务来实现，一种是通过Windows自带的netsh firewall命令来实现；

2.1.1.1 通过sc.exe禁用防火墙服务

这里简绍的sc.exe（ServiceControl）是dos命令，该命令从WindowsXP开始为DOS自带，可以实现对Windows 服务启动、禁用、删除及服务类型等操作；

sc.exe常用功能简介

修改服务启动启动类型

sc config 服务名称start= demand

//修改服务启动类型为手动启动

sc config 服务名称start= disabled

//修改服务启动类型为禁止

sc config 服务名称start= auto

//修改服务启动类型为自动

启动或停止服务

sc stop/start 服务名称

（注：如果服务名称中有空格需要使用双引号包括）

Sc.exe禁止防火墙服务；

因为sc可以禁止服务，所以可以通过禁止防火墙服务来实现关闭防火墙；

XP防火墙服务名称为“ShareAccess”显示名称为“Windows Firewall/Internet Connection Sharing (ICS)

”；

Win7防火墙服务有俩个分别为：服务名称“MpsSvc”显示名称“Windows Firewall”、服务名称“SharedAccess”显示名称“Internet Connection Sharing (ICS)”；

可以将命令写成bat脚本通过域策略中的脚本策略统一部署，也可以在客户端单独执行，脚本容如下：

XP关闭防火墙脚本

===================================================================================== ========

echo off

sc stop ShareAccess

::停止ShareAccess服务

sc config ShareAccess start= disabled

::将ShareAccess启动类型设置为禁止

Exit

===================================================================================== ========

XP启动防火墙脚本