《使用域组策略及脚本统一配置防火墙.docx》由会员分享,可在线阅读,更多相关《使用域组策略及脚本统一配置防火墙.docx(16页珍藏版)》请在三一办公上搜索。
1、使用域组策略/脚本统一配置防火墙目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置; 统一配置可以通过域策略中自带的防火墙模板来设置也可以通过使用bat脚本来配置下面即分别演示配置方法;1域组策略统一配置防火墙使用域管理员登录域控制器,打开管理工具组策略管理;在目标组织单位右击,新建GPO;疆箫昭履A理茉晒食谩0 X 林.bntt. ton曰通械三三v响 nDcikaiiTiC onlrol1.1禁用客户端防火墙 1.1.1域策略配置右击目标OU的GPO
2、,选择编辑GPO,选择计算机配置策略Windows设置安全设置系统服务;文件tn 擞招成资箱幸助侃)*|力屉N*田I臼昼.没有定义 没有走义爱有m文 没蜓义 技有定义 没有击义 没有是文没有定义 澄氓义-q 林:、皿st*S- 孑孑 qgP Dtfult Dva*5 -i Dow#if Cwtrcl 二-i_ itstvii|.阡rw汀谷5 土 丁瑁飙对象 土 flI眸遍器 ,*. _7 St*rUr FO ;n站.点 L蛆策明建俱_.上5*:1211皿.jm-W7W.TJF2上 虹计算机起置杉.薰蹈厂丁姓钮窗拆第KS华蟀偏幼供机:A |陌蜂丽I; -fcppls e=tls en liesi
3、lit:j _ Appli cla on. Irm4li on“ Agl】 Layr G*l.,I1 Appla C4t9 4h Flviiganht tLj $点I#M1L i cm上度* riLiennig Etiim f C*r lificit* IropaMtcuftM b- mW+ 九5* s-irctM藏策日户地件槛本事,%受隰制前编|与隹制真1技件案跳I百姓网笛口臼醐意全助I H无蝶碘也1I .公镯策略故件明常施I .应周殁序柱伸S If京金策昵I显黝吊核翠国I星于羊鳄的gIM版映事蛔j: -191 ndc-ws 胃intLxe 1 . Iffl ndows , Wi Hd跛雪
4、p.?f irides:,.:Wi-ftdws;/Wiitdwt :WictdowtKzzz.rWlIldiw5 ;.jli ndwsK 罚 ingm ; jWi cidwsKU Wi nd&ws ;b Wi 词w毒 =肾 i n.dw5 Jr me .三匚:E 云WkiW .!,. m3 Aud.i oAu.J-1 o En C at p ELU Cdl&r Sy Driar F Err w Rt Ecrent to: Event LoYindow FireballFortt cyMJLieBlt.Mo-iule s tre &皂 KcEi ate MTineUpd.K Wl Pr om-T
5、indns firwill 匠住安全面&戒置|下曲m 7i ill遥梯朗寿薛布式:r自劫叫手动四选择 Windows Firewall/Internet Connection Sharing(ICS)俩项服务,并禁用该俩项服务;结果如下;1.1.2查看客户端结果重启XP客户端查看结果本地系藐本他服宓木由于美务没有运薛,胃颂如恤防火瑁谖宣无带壶恿 建理JS勃 f ( r ew all/I nt ie t Connect Lon Sharing CSji 服每吗手W&BWS F注Wftll/l件曰待使用FHE,防火墙来麻的可护毒的if H机 nii防火催衬励手眦尝辛我多.宜X件匝也InTmH 研辱
6、宙I司!址M+曲帆,叫瞄给问豪廓If粮神就聊?重启Win7客户端查看结果粒割面畦页款虾燧如,gV痂rift扣削1*r M昇虱壬而山11虚归1防火JHV SiRiSttE同爵巡行无麟岷吾1.2开放客户端防火墙端口(注:首先将上面组策略中的系统服务设置还原在进行下一步的配置)1.2.1域策略配置右击目标6?。选择编辑,选择计算机配置策略管理模板网络网络连接Windows防火墙,下面的子 集即为客户端防火墙配置项目,此处主要包含俩个子集域配置文件和标准配置文件两个策略子集,其中, 域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络 中应用;中2亍日
7、刍 bsntt ccm二,.h Ik fruit。网岳右王-a bs.in Contrq! 白= t地Fig七:时裁L 一七 r W1E -ffiiSS:+ M Stwt曾r夺网l:狼殖E建械 蛆祐aS蛰果*;. tindvs 谖若置攫根板本地计算机搜 .*._ Tindowy 匏|津打向机:甘控制面板卜 _!Er4MliCkf BK5客户i,-,n 二 *_.、y i.-t-i.i .n-11 i-nYfindowE防火墙:不允在例夕卜 是监扑。心防火墙:允许入站玄件和打印机共享例外Windows肪火墙:允许ICL1F例外Com在弹出的编辑对话框如下图勾选已启用以及允许传入回显请求并单击应用
8、确定完成编辑;VWrtlg f 册 KNP *已3用尚迎 WZg 川 fnte-ntt其卷尊_iCMP :*.&荀.Ping理局所提*或尚丑 照由沮后.光许AJ淄星清 折带.皂妙.射WlNz 厝唾止由珅WE上电斑 Ping苴孑;回表甬星.危声到工旧二】十肌上这行的Ping 安郎均狷回室普砌i股.1.2.3案例:开放固定端口如上定位到域配置文件双击右侧的“Windows防火墙:定义入站端口例外; 在弹出的设置窗口,勾选已启用单击下方”显示按钮 在显示内容窗口中输入139:TCP:*:enabled:testport”, 填写完成后单击确定应用确定退出编辑框(为了方便测试采用139来测试,也可以使
9、用其他端口来测试); 释意:139 :端口Tcp :端口类型Enabled :开放/拒绝Testport :自定义入站策略名称1.2.4查看客户端结果重启XP客户端查看Ping开放结果;启XP客户端端口开放情况;部的复选框。程序和服备E):名祢Smtnrr UDF 1ST UDF 138Windows防火墙正在阻 加例外将使部分程序更 UTnf框架回临瞄w XP网貉诊B5互件和打印机共享 回远程协助 口远程:桌面重启Win7客户端查看Ping结果;:J WfVJ 皿-地址挝隔诸求WflETWgffiaiSaOW-In)Rtg -回星汨戒ewfk-Ig 碳-回景请求O口1泗-姑&磴-SRi -明
10、就海末皿TM-S:&潘-蛆定向CTEE-Tia重启Win7客户端查看端口开放情况;* 抑til.理2 R拈钢 桔1*2皿皿曲小s.臣龄至规四L理LX壕号向2脚本统一配置防火墙副威口心.2.1禁用客户端防火墙通过脚本禁用(关闭)防火墙有俩种方式,一种是通过脚本来禁用防火墙服务来实现,一种是通过Windows自带 的netsh firewall命令来实现;2.1.1.1通过sc.exe禁用防火墙服务这里简绍的sc.exe( ServiceControl是dos命令该命令从WindowsXP开始为DOS自带可以实现对Windows 服务启动、禁用、删除及服务类型等操作;sc.exe常用功能简介修改服
11、务启动启动类型sc config 月艮务名称 start二 demand/修改服务启动类型为手动启动sc config 服务名称 start二 disabled/修改服务启动类型为禁止sc config 月艮务名称 start二 auto/修改服务启动类型为自动启动或停止服务sc stop/start月艮务名称(注:如果服务名称中有空格需要使用双引号包括)Sc.exe禁止防火墙服务;因为sc可以禁止服务,所以可以通过禁止防火墙服务来实现关闭防火墙;XP 防火墙服务名称为ShareAccess显示名称为Windows Firewall/Internet Connection Sharing (I
12、CS);Win7防火墙服务有俩个分别为:服务名称MpsSvc”显示名称Windows Firewall、月艮务名称SharedAccess”显示名称Internet Connection Sharing (ICS);可以将命令写成bat脚本通过域策略中的脚本策略统一部署,也可以在客户端单独执行,脚本内容如下:XP关闭防火墙脚本echo offsc stop ShareAccess:停止ShareAccess月艮务sc config ShareAccess start= disabled:将ShareAccess启动类型设置为禁止ExitXP启动防火墙脚本echo offsc config Sh
13、areAccess start= auto:将ShareAccess启动类型设置为自动启动sc start ShareAccess:启动ShareAccess月服务ExitWin7关闭防火墙脚本echo offsc stop MpsSvc:停止MpsSvc月服务:停止SharedAccess月服务sc config MpsSvc start= disabled:将MpsSvc启动类型设置为禁止sc config SharedAccess start= disabled:将SharedAccess启动类型设置为禁止ExitWin7启动防火墙脚本echo offsc config MpsSvc s
14、tart= auto:将MpsSvc启动类型设置为自动sc config SharedAccess start= auto:将SharedAccess启动类型设置为自动sc start MpsSvc:启动MpsSvc服务Exit2.1.1.2通过netsh firewall关闭防火墙netsh firewallshow state查看防火墙的状态netsh firewall set opmode disable/禁用系统防火墙netsh firewall set opmode enable启用防火墙2.2开放客户端防火墙端口2.2.1案例:开放客户端PINGnetsh firewall set
15、 icmpsetting 8开启ICMP回显netsh firewall set icmpsetting 8 disable/关闭回显2.2.2案例开放固定端口允许文件和打印共享文件和打印共享在局域网中常用的,如果要允许客户端访问本机的共享文件或者打印机,此处即依次为案例可分别输入并执行如下命令:netsh firewall add portopening UDP 137 Netbios-ns 允许客户端访问服务器 UDP 协议的 137 端口) netsh firewall add portopening UDP 138 Netbios-dgm 允许访问 UDP 协议的 138 端口)netsh firewall add portopening TCP 139 Netbios-ssn 允许访问 TCP 协议的 139 端口) netsh firewall add portopening TCP 445 Netbios-ds 允许访问 TCP 协议的 445 端口) 命令执行完毕后,文件及打印共享所须的端口都被防火墙放行了。
