部署基于Windows 2008防火墻策略提升域安全方法步驟(2)

　　返回到GPMC組策略編輯器主窗口，可以看到在“Windows Firewall with Advanced Security”項下有三個子項。我們還需要對“Inbound Rules”規(guī)則進行詳細的部署，點擊該規(guī)則，默認情況下是沒有“Inbound Rules”規(guī)則的。執(zhí)行“Active”→“New Rule”彈出新規(guī)則創(chuàng)建向?qū)?，?guī)則類型“Rule Type”我們選擇“Custom”，針對的程序“Program”我們選擇“All programs”，協(xié)議和端口“Protocol and Ports”選擇“Any”，范圍“Scope”選擇“Any”，該規(guī)則對所有的Inbound連接做一個允許設置“Action”為“Allow the connection”，策略是應用于域“Profile”只勾選“Domain”，最后為規(guī)則起一個名稱“Allow all traffic”并加入描述語句“ctocio test”。上述設置完成后單擊“Finnish”就完成了“Inbound Rules”的創(chuàng)建。

　　下面我們還需要創(chuàng)建“Connection Security Rules”即連接安全規(guī)則，用于針對連接中的防火墻安全檢測和隔離，同樣返回到GPMC組策略編輯器主窗口，選中“Connection Security Rules”執(zhí)行“Active”→“New Rule”彈出創(chuàng)建向?qū)?。設置規(guī)則類型“Rule Type”為“Isolation”(隔離)，設置“Requirements”為“Request authentication for inbound and outbound connections”對inbound和outbound的所有連接進行一個驗證，驗證方法為默認設置“Authentication Method”為“Default”，同樣是基于域的設置“Profile”為“Domain only”，最后為該規(guī)則起一個名稱例如“Request connection security”并輸入描述語句“ctocio test”即可。

　　通過上面的操作，我們在DC中就部署好了一條用來限制內(nèi)部連接的防火墻策略。下面可閉GPMC的組策略管理工具，對組策略進行刷新。打開命令提示符，輸入命令“gpupdate /force”，稍等片刻組策略更新完畢。