2.方案概述.docx

方案概述 更新时间：2009年8月 应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista 在本指南中，将通过逐步完成在典型方案中所必须执行的常见任务的过程，了解如何创建和部署高级安全Windows防火墙的设置。 具体而言，您将配置GPO中的设置以控制以下高级安全Windows防火墙选项： 启用或禁用Windows防火墙，以及配置其基本行为。 确定允许哪些程序和网络端口接收入站网络流量。 确定允许或阻止哪种出站网络流量。 支持使用多个端口或动态端口的网络流量，例如使用远程过程调用(RPC)或文件传输协议(FTP)的网络流量。 要求所有进入特定服务器的网络流量都由Internet协议安全性(IPsec)身份验证保护并且可以选择进行加密。 您将使用多台计算机执行典型网络环境中的常见角色。这些计算机包括一台域控制器、一台成员服务器以及一台客户端计算机，如下图中所示。 在本指南中描述的方案包括查看和配置防火墙设置，以及配置域隔离环境。其中还包括服务器隔离，服务器隔离需要具有组成员身份才能访问服务器，也可以选择要求与服务器的所有流量均进行加密。最后，还包括允许受信任的网络设备绕过防火墙规则进行故障排除的机制。 将在以下部分介绍方案中的每个步骤。 检查客户端和服务器上的默认设置  HYPERLINK /zh-cn/library/cc732305(WS.10).aspx 在本节中，您将使用“控制面板”中的“Windows防火墙”设置、netsh命令行工具以及高级安全Windows防火墙Microsoft管理控制台(MMC)管理单元，检查CLIENT1和MBRSVR1计算机上的默认高级安全Windows防火墙设置。若要查看计算机上处于活动状态的当前配置以及防火墙和连接安全规则，直接在本地计算机上使用这些工具会很有用。本节还对可以使用高级安全Windows防火墙MMC配置的功能以及使用netsh命令行工具配置的功能进行了比较。 使用组策略部署基本防火墙设置  HYPERLINK /zh-cn/library/cc754657(WS.10).aspx 本节向您说明了如何创建包含基本防火墙设置的组策略对象(GPO)，以及之后如何将该GPO应用到客户端计算机。为确保只有正确的计算机可以应用GPO设置，可使用安全组筛选和WindowsManagementInstrumentation(WMI)筛选来限制将GPO只应用于位于指定的计算机组以及运行指定Windows版本的计算机。 所配置的GPO包括一些基本的高级安全Windows防火墙设置（属于典型的企业GPO设置），例如： 忽略用户（甚至本地管理员）创建的任何本地防火墙设置。 确保使用指定的网络流量处理启用防火墙，并且不能禁用防火墙。 当高级安全Windows防火墙阻止程序侦听某一网络端口时，计算机将不显示通知。 创建允许所需传入网络流量的规则 默认情况下，Windows防火墙会阻止所有与“允许”规则不匹配的传入网络连接。在不承载任何服务的客户端计算机上，这可能已经足够了。但对于任何用作网络服务的程序，您必须创建规则，以允许来自要连接到该应用程序或网络服务的远程计算机的未经请求的网络数据包。 HYPERLINK /zh-cn/library/cc772079(WS.10).aspx 在本节中，您将创建并修改入站防火墙允许规则以完成下列操作： 使用预定义规则组支持常见网络服务。 允许程序侦听它需要操作的任何网络流量。 仅允许程序侦听指定TCP或UDP端口上的网络流量。 允许网络服务侦听网络流量。 仅将来自指定IP地址的网络流量限制到特定类型的网络。 基于计算机所连接的网络位置类型应用不同的防火墙行为。 支持使用RPC的动态端口分配功能的程序。 将防火墙和IPsec集成到一个高级安全Windows防火墙接口的主要优势在于，如果网络流量受IPsec保护，它能够创建允许该流量的防火墙规则。这些规则在本指南中的 HYPERLINK /zh-cn/library/cc772460(WS.10).aspx 服务器隔离和 HYPERLINK /zh-cn/library/cc754873(WS.10).aspx 经过身份验证的绕过部分中讨论。 阻止不需要的出站网络流量 默认情况下，Windows防火墙允许所有出站网络连接。由于潜在出站网络感知客户端程序数量巨大且种类繁多，因此，尝试限制出站流量将会是一项艰巨的