部署基于Windows 2008防火墙策略提升域安全

2、效果演示

为了验证上面DC上防火墙策略部署的效果，我们登录一台域成员计算机。为了使DC中部署防火墙策略在域内马上生效，我们同样首先在计算机上命令提示符运行命令“gpupdate /force”刷新组策略。刷新完毕后我们看看该策略是否已经更新，点击“开始”在搜索栏中输入wf.msc打开客户端的Windows高级防火墙工具，可以看到域内的这台客户端已经把防火墙刷新过来了。(图7)

下面我们做个检测，看看规则的应用效果。思路是这样的：在DC上共享一个文件夹(例如C:ctocio)在部署防火墙之前DC上的该文件夹是可以被客户端访问的。我们所要做的是在部署完防火墙策略后，在客户端上访问该共享文件夹，如果访问失败说明我们的防火墙策略部署成功了。我们在客户端执行“开始”→“运行”，然后输入“\192.168.1.1ctocio”回车后如图所示提示：访问失败，不能找到该共享文件夹。(图8)

除此之外，防火墙还能监控到域内主机之间的访问记录。在Windows高级防火墙窗口才左侧依次展开“Monitoring”→“Security Associations”，然后点击下面的“Quick Mode”可在右侧列出防火墙监控到的信息。从图所示，本地主机192.168.1.2和DC即192.168.1.1之间有访问，其实就是对我们上面访问DC中的共享文件夹的一个防火墙记录。双击该记录弹出一个对话框，从中可以看到更加详细的记录如IP地址、Port等，其实这也是我们在DC中部署防火墙是设置过的。(图9)

总结：上面的演示只是基于Windows Server 2008的DC防火墙策略部署的一个实例，其实在还有很多有趣实用的功能需要大家在实战中去挖掘，相信这样的搭配一定会帮你打造更加安全的系统、网络环境。