部署基於Windows 2008防火牆策略提升域安全

基於Windows Server 2008的DC，無論在功能上還是安全性上都是有了非常大的提升。同時，我們也知道Windows Server 2008的防火牆也是異常強大。毫無疑問，在Windows Server 2008的DC上部署防火牆策略無疑會極大地提升整個域的安全性。下面筆者搭建環境，結合執行個體進行防火牆策略部署的一個示範。

1、在DC上部署防火牆策略

(1).配置防火牆策略

點擊“開始”在搜尋欄中輸入“gpmc.msc”開啟GPMC的組策略管理工具。依次展開DC域定位到本域的“預設域策略”位置，雙擊選中該項然後依次點擊“Action”→“Edit”進入域策略的編輯視窗。依次點擊“Computer Configuration”→“Windows Settings”→“Security Settings”→“Windows Firewall with Advanced Security”，雙擊開啟“Windows Firewall Properties”可以在右側看到防火牆策略的預覽，從中可以瞭解“Domain Profile”、“Private Profile”、“Public Profile”的配置狀態。(圖1)

點擊“Windows Firewall Properties”開啟防火牆屬性視窗，預設情況下防火牆並沒有配置，所有的各項需要我們根據需要進行設定。因為我們是進行域防火牆的配置，所以定位到“Domain Profile”標籤頁下。比如我們要配置防火牆使得其阻止所有對內的串連以防網路攻擊，而允許所有對外的串連，可以進行這樣的配置：開啟防火牆設定其狀態“Firewall State”為“On (recommended)”，設定“Inbound connections”為“Block (default)”，設定“Outbound connections”為“Allow (default)”。(圖2)