基于Windows Server 2008的DC，無(wú)論在功能上還是安全性上都是有了非常大的提升。同時(shí)，我們也知道Windows Server 2008的防火墻也是異常強(qiáng)大。毫無(wú)疑問(wèn)，在Windows Server 2008的DC上部署防火墻策略無(wú)疑會(huì)極大地提升整個(gè)域的安全性。下面筆者搭建環(huán)境，結(jié)合實(shí)例進(jìn)行防火墻策略部署的一個(gè)演示。

　　1、在DC上部署防火墻策略

　　(1).配置防火墻策略

　　點(diǎn)擊“開(kāi)始”在搜索欄中輸入“gpmc.msc”打開(kāi)GPMC的組策略管理工具。依次展開(kāi)DC域定位到本域的“默認(rèn)域策略”位置，雙擊選中該項(xiàng)然后依次點(diǎn)擊“Action”→“Edit”進(jìn)入域策略的編輯窗口。依次點(diǎn)擊“Computer Configuration”→“Windows Settings”→“Security Settings”→“Windows Firewall with Advanced Security”，雙擊打開(kāi)“Windows Firewall Properties”可以在右側(cè)看到防火墻策略的預(yù)覽，從中可以了解“Domain Profile”、“Private Profile”、“Public Profile”的配置狀態(tài)。(圖1)

　　點(diǎn)擊“Windows Firewall Properties”打開(kāi)防火墻屬性窗口，默認(rèn)情況下防火墻并沒(méi)有配置，所有的各項(xiàng)需要我們根據(jù)需要進(jìn)行設(shè)置。因?yàn)槲覀兪沁M(jìn)行域防火墻的配置，所以定位到“Domain Profile”標(biāo)簽頁(yè)下。比如我們要配置防火墻使得其阻止所有對(duì)內(nèi)的連接以防網(wǎng)絡(luò)攻擊，而允許所有對(duì)外的連接，可以進(jìn)行這樣的配置：開(kāi)啟防火墻設(shè)置其狀態(tài)“Firewall State”為“On (recommended)”，設(shè)置“Inbound connections”為“Block (default)”，設(shè)置“Outbound connections”為“Allow (default)”。(圖2)

　　點(diǎn)擊“Customize Settings for the Domain Profile”右側(cè)的“Customize”我們進(jìn)行防火墻策略的自定義設(shè)置。在設(shè)置對(duì)話框中，我們將“Apply local firewall rules”和“Apply local connections security rules”都設(shè)置為“No”，以禁止本地防火墻規(guī)則的合并實(shí)現(xiàn)統(tǒng)一的域防火墻策略，最后單擊“OK”退出自定義設(shè)置。(圖3)