使用域组策略及脚本统一配置防火墙
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用域组策略/脚本统一配置防火墙
目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置;
统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法;
1 域组策略统一配置防火墙
使用域管理员登录域控制器,打开“管理工具>组策略管理”;
在目标组织单位右击,新建GPO;
1.1 禁用客户端防火墙
1.1.1 域策略配置
右击目标OU的GPO,选择编辑GPO,选择“计算机配置>策略>Windows设置>安全设置>系统服务”;
选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务,并禁用该俩项服务;
结果如下;
1.1.2 查看客户端结果
重启XP客户端查看结果
重启Win7客户端查看结果
1.2 开放客户端防火墙端口
(注:首先将上面组策略中的系统服务设置还原在进行下一步的配置)
1.2.1 域策略配置
右击目标GPO选择编辑,选择“ 计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”,下面的子集即为客户端防火墙配置项目,此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集,其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用;
组策略设置描述
Windows 防火墙: 保护所有网络连接
用于指定所有网络连接都已启用Windows 防火墙。
Windows 防火墙: 不允许例外
用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。
Windows 防火墙: 定义程序例外
用于通过应用程序文件名定义已添加到例外列表的通信。
Windows 防火墙: 允许本地程序例外
用于启用程序例外的本地配置。
Windows 防火墙: 允许远程管理例外
用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM),它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。
Windows 防火墙: 允许文件和打印机共享例外
用于指定是否允许文件和打印机共享通信。
Windows 防火墙: 允许ICMP 例外
用于指定允许哪些类型的非请求Internet 控制消息协议(ICMP) 通信。
Windows 防火墙: 允许远程桌面例外
用于指定计算机是否可接受基于“远程桌面”的连接请求。
Windows 防火墙: 允许UPnP 框架例外
用于指定计算机是否可以参与UPnP 发现。
Windows 防火墙: 禁止通知
用于在应用程序使用新Windows 防火墙应用程序编程接口(API) 请求已添加到例外列表的通信时禁用通知。
Windows 防火墙: 允许日志记录
用于启用已丢弃通信、成功连接的记录,和配置日志文件设置。
Windows 防火墙: 禁止对多播或广播请求的单播响应
用于丢弃为响应多播或广播请求所发送的单播数据包。
Windows 防火墙: 定义端口例外
用于通过TCP 和UDP 端口指定已添加到例外列表的通信。
Windows 防火墙: 允许本地端口例外
用于启用端口例外的本地配置。
还可以配置“Windows 防火墙: 允许通过验证的IPSec 旁路”策略设置,可以在“组策略编辑器”管理单元中的以下位置找到该设置:
计算机配置\管理模板\网络\网络连接\Windows 防火墙
该策略设置允许从使用IPSec 进行验证的指定系统传入非请求通信。
1.2.2 案例:开放客户端PING
如上定位到“域配置文件”双击右侧的“Windows防火墙:允许ICMP例外”;
在弹出的编辑对话框如下图勾选“已启用”以及“允许传入回显请求”并单击“应用>确定”完成编辑;
1.2.3 案例:开放固定端口
如上定位到“域配置文件”双击右侧的“Windows防火墙:定义入站端口例外”;
在弹出的设置窗口,勾选“已启用”单击下方“显示”按钮,在显示内容窗口中输入“139:TCP:*:enabled:testport”,填写完成后单击“确定>应用>确定”退出编辑框(为了方便测试采用139来测试,也可以使用其他端口来测试);
释意:
139:端口
Tcp:端口类型
Enabled:开放/拒绝
Testport:自定义入站策略名称
1.2.4 查看客户端结果
重启XP客户端查看Ping开放结果;
重启XP客户端端口开放情况;
重启Win7客户端查看Ping结果;
重启Win7客户端查看端口开放情况;
2 脚本统一配置防火墙
2.1 禁用客户端防火墙
通过脚本禁用(关闭)防火墙有俩种方式,一种是通过脚本来禁用防火墙服务来实现,一种是通过Windows自带的netsh firewall命令来实现;
2.1.1.1 通过sc.exe禁用防火墙服务
这里简绍的sc.exe(ServiceControl)是dos命令,该命令从WindowsXP开始为DOS自带,可以实现对Windows 服务启动、禁用、删除及服务类型等操作;
sc.exe常用功能简介
修改服务启动启动类型
sc config 服务名称start= demand
//修改服务启动类型为手动启动
sc config 服务名称start= disabled
//修改服务启动类型为禁止
sc config 服务名称start= auto
//修改服务启动类型为自动
启动或停止服务
sc stop/start 服务名称
(注:如果服务名称中有空格需要使用双引号包括)
Sc.exe禁止防火墙服务;
因为sc可以禁止服务,所以可以通过禁止防火墙服务来实现关闭防火墙;
XP防火墙服务名称为“ShareAccess”显示名称为“Windows Firewall/Internet Connection Sharing (ICS)
”;
Win7防火墙服务有俩个分别为:服务名称“MpsSvc”显示名称“Windows Firewall”、服务名称“SharedAccess”显示名称“Internet Connection Sharing (ICS)”;
可以将命令写成bat脚本通过域策略中的脚本策略统一部署,也可以在客户端单独执行,脚本内容如下:
XP关闭防火墙脚本
@echo off
sc stop ShareAccess
::停止ShareAccess服务
sc config ShareAccess start= disabled
::将ShareAccess启动类型设置为禁止
Exit
===================================================================================== ========
XP启动防火墙脚本
===================================================================================== ========
@echo off
sc config ShareAccess start= auto
::将ShareAccess启动类型设置为自动启动
sc start ShareAccess
::启动ShareAccess服务
Exit
===================================================================================== ========
Win7关闭防火墙脚本
===================================================================================== ========
@echo off
sc stop MpsSvc
::停止MpsSvc服务
sc stop SharedAccess
::停止SharedAccess服务
sc config MpsSvc start= disabled
::将MpsSvc启动类型设置为禁止
sc config SharedAccess start= disabled
::将SharedAccess启动类型设置为禁止
Exit
Win7启动防火墙脚本
===================================================================================== ========
@echo off
sc config MpsSvc start= auto
::将MpsSvc启动类型设置为自动
sc config SharedAccess start= auto
::将SharedAccess启动类型设置为自动
sc start MpsSvc
::启动MpsSvc服务
sc start SharedAccess
::启动SharedAccess服务
Exit
===================================================================================== ========
2.1.1.2 通过netsh firewall关闭防火墙
netsh firewallshow state
//查看防火墙的状态
netsh firewall set opmode disable
//禁用系统防火墙
netsh firewall set opmode enable
//启用防火墙
2.2 开放客户端防火墙端口
2.2.1 案例:开放客户端PING
netsh firewall set icmpsetting 8
//开启ICMP回显
netsh firewall set icmpsetting 8 disable
//关闭回显
2.2.2 案例开放固定端口
允许文件和打印共享文件和打印共享在局域网中常用的,如果要允许客户端访问本机的共享文件或者打印机,此处即依次为案例可分别输入并执行如下命令:
netsh firewall add portopening UDP 137 Netbios-ns (允许客户端访问服务器UDP协议的137端口)
netsh firewall add portopening UDP 138 Netbios-dgm (允许访问UDP协议的138端口) netsh firewall add portopening TCP 139 Netbios-ssn (允许访问TCP协议的139端口) netsh firewall add portopening TCP 445 Netbios-ds (允许访问TCP协议的445端口) 命令执行完毕后,文件及打印共享所须的端口都被防火墙放行了。