7.创建允许所入站网络流量的规则.docx

创建允许所需入站网络流量的规则 更新时间：2009年8月 应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista 默认情况下，高级安全Windows防火墙阻止所有未经请求的入站网络流量。若要使依赖于此类流量的程序正常运行（例如网络服务），必须使用指定的条件创建规则。 备注在WindowsVista和Windows7中最重要的改进之一是，可以创建如下入站防火墙规则（通过集成IPsec和Windows防火墙实现）：仅允许已经过身份验证、已加密（可选）或由属于允许组成员的请求用户或计算机授权的流量。这些高级入站规则类型将在本指南稍后部分的服务器隔离方案部分中进行讨论。同时，当网络流量由IPSec保护并满足您的条件时，可以选择配置入站规则来替代阻止规则，否则会阻止网络流量。此方案将在本指南稍后部分的经过身份验证的绕过方案中进行讨论。创建允许所需入站网络流量的规则的步骤 在指南的此部分中，创建允许特定类型的未经请求的入站网络流量通过防火墙的防火墙规则。 步骤1：通过使用组策略配置预定义规则 步骤2：允许特定程序的未经请求的入站网络流量 步骤3：允许到特定TCP或UDP端口的入站流量 步骤4：允许使用动态RPC的入站网络流量 步骤5：查看防火墙日志 下一个主题：步骤1：通过使用组策略配置预定义规则 步骤1：通过使用组策略配置预定义规则 更新时间：2009年8月 应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista 在很多情况下，您可能都需要配置允许通常需要的网络活动的规则，如某些ICMP响应类型，虽然这些活动与服务无关，但某些网络故障排除需要这些网络活动。客户端和服务器需要的常用网络流量类型是在高级安全Windows防火墙中由预定义的规则集指定的。这样一来，就可以轻松选择这些类型进行配置和部署。本指南只使用一个预定义的组进行演示。在生产环境中，检查所有提供的预定义组，并部署适用于您的组织网络的那些组。 在此步骤中，使用组策略管理MMC管理单元来配置一组防火墙规则。将作为组核心网络一部分的规则设置为始终启用。 配置一组防火墙规则 在MBRSVR1上的“组策略管理”管理单元中，右键单击“Windows客户端的防火墙设置”，然后单击“编辑”。 在“组策略管理编辑器”的导航窗格中，依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“高级安全Windows防火墙”，然后展开“高级安全Windows防火墙-LDAP：//{GUID}，cn=policies，cn=system，DC=contoso，DC=com”。 单击“入站规则”。 默认情况下，在GPO中不存在入站防火墙规则。 右键单击“入站规则”，然后单击“新建规则”。 在向导的“规则类型”页上，单击“预定义”，从列表中选择“核心网络”，然后单击“下一步”。 在“预定义规则”页上，检查规则列表，保留选择所有规则，然后单击“下一步”。 备注在生产环境中，仔细考虑应用规则的配置文件。您可能希望考虑其他配置文件的规则以控制防火墙在网络之外的计算机（例如带回家的便携式计算机）上的工作方式。您可能希望考虑将规则应用于所有配置文件，以确保组织的计算机在远离组织的网络时继续得到保护。可能需要进行某些规则修改以允许不同于组织网络的家庭或公共网络上预期的程序行为。在“操作”页上，因为我们希望为默认情况下被阻止的流量创建异常，请选择“允许连接”，然后单击“完成”。 现在，已启用规则的列表出现在“入站规则”的结果窗格中。 关闭客户端GPO的“组策略管理编辑器”。 如果规则列表现在在GPO中，则将GPO部署到客户端计算机。 在客户端计算机上测试规则的步骤 在CLIENT1上的“管理员：命令提示符”中，运行gpupdate/force。等待命令完成。 在“高级安全Windows防火墙”管理单元的导航窗格中，展开“监视”，然后单击“防火墙”。 请注意现在规则列表在本地计算机上为活动状态。可能需要几秒钟时间来填充此列表。 单击“视图”，然后单击“添加/删除列”。 如果未显示“规则源”列，请单击“可用列”列表中的“规则源”，然后