如何使用组策略部署Windows防火墙

使用组策略管理单元来修改相应的 GPO 中的 Windows 防火墙设置。

完成以下配置 Windows 防火墙设置的步骤后，可以等待标准刷新周期将这些设置应用到客户端计算机，也可以在客户端计算机上使用 GPUpdate 实用程序来完成刷新。默认情况下，刷新周期为 90 分钟，随机偏移量为 +/-30 分钟。下一次刷新计算机配置组策略时，将会下载新的 Windows 防火墙设置，然后将其应用于运行 Windows XP SP2 的计算机。

使用组策略配置 Windows 防火墙设置

1、在 Windows XP SP2 桌面上，依次单击“开始”、“运行”，键入 mmc，然后单击“确定”。

2、在“文件”菜单中，单击“添加/删除管理单元”。

3、在“独立”选项卡上，单击“添加”。

4、在“可用的独立管理单元”列表中，找到并单击“组策略对象编辑器”，然后单击“添加”。

5、在“选择组策略对象”对话框中，单击“浏览”。

6、选择“测试客户端 Windows 防火墙策略 GPO”，然后依次单击“确定”和“完成”。

7、单击“关闭”关闭“添加独立管理单元”框，然后在“添加/删除管理单元”框中单击“确定”。

8、在组策略对象编辑器的控制台树中，依次打开“计算机配置”、“管理模板”、“网络”、“网络连接”和“Windows 防火墙”

9、选择“域配置文件”或“标准配置文件”。

pix515防火墙配置策略实例

#转换特权用户

pixfirewall>ena

pixfirewall#

#进入全局配置模式

pixfirewall# conf t

#激活内外端口

interface ethernet0 auto

interface ethernet1 auto

#下面两句配置内外端口的安全级别

nameif ethernet0 outside security0

nameif ethernet1 inside security100

#配置防火墙的用户信息

enable password pix515

hostname pix515

domain-name domain

#下面几句配置内外网卡的IP地址

ip address inside 192.168.4.1 255.255.255.0

ip address outside 公网IP 公网IP子网掩码

global (outside) 1 interface

nat (inside) 1 192.168.4.0 255.255.255.0 0 0

#下面两句将定义转发公网IP的ssh和www服务到192.168.4.2

static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0

static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0

#下面两句将定义外部允许访问内部主机的服务

conduit permit tcp host 公网IP eq www any

conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255

#允许内部服务器telnet pix

telnet 192.168.4.2 255.255.255.0 inside

#下面这句允许ping

conduit permit icmp any any

#下面这句路由网关

route outside 0.0.0.0 0.0.0.0 公网IP网关 1

#保存配置

write memory

从防火墙产品和技术发展来看，分为三种类型：基于路由器的包过滤防火墙、基于通用 *** 作系统的防火墙、基于专用安全 *** 作系统的防火墙。

LAN接口

列出支持的 LAN接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。

支持的最大 LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。

服务器平台：防火墙所运行的 *** 作系统平台（如 Linux、UNIX、Win NT、专用安全 *** 作系统等）。

协议支持

支持的非 IP协议：除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等协议。

建立 VPN通道的协议： 构建VPN通道所使用的协议，如密钥分配等，主要分为IPSec，PPTP、专用协议等。

可以在 VPN中使用的协议：在VPN中使用的协议，一般是指TCP/IP协议。

加密支持

支持的 VPN加密标准：VPN中支持的加密算法, 例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。

除了 VPN之外，加密的其他用途： 加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。

提供基于硬件的加密： 是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。

认证支持

支持的认证类型： 是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如 RADIUS、Kerberos、TACACS/TACACS＋、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。

列出支持的认证标准和 CA互 *** 作性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CA产品兼容互通。

支持数字证书：是否支持数字证书。

访问控制

通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。 IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据 ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。

在应用层提供代理支持：指防火墙是否支持应用层代理，如 HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求，代理服务器应根据服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接（客户端与代理服务进程间的连接、代理服务进程与服务器端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理进程应当维护一个扩展字段集合。

在传输层提供代理支持：指防火墙是否支持传输层代理服务。

允许 FTP命令防止某些类型文件通过防火墙：指是否支持FTP文件类型过滤。

用户 *** 作的代理类型：应用层高级代理功能，如 HTTP、POP3 。

支持网络地址转换 (NAT)：NAT指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP 地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。

支持硬件口令、智能卡： 是否支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。

防御功能

支持病毒扫描： 是否支持防病毒功能，如扫描电子邮件附件中的 DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。

提供内容过滤： 是否支持内容过滤，信息内容过滤指防火墙在 HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息：Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。

能防御的 DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。

阻止 ActiveX、Java、Cookies、Javascript侵入：属于HTTP内容过滤，防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的 CGI、ASP等程序，当发现危险代码时，向服务器报警。

安全特性

支持转发和跟踪 ICMP协议（ICMP 代理）：是否支持ICMP代理，ICMP为网间控制报文协议。

提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，报警的方式可能通过邮件、呼机、手机等。

提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。

识别 /记录/防止企图进行IP地址欺骗：IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击，防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过。

管理功能

通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。

提供基于时间的访问控制：是否提供基于时间的访问控制。

支持 SNMP监视和配置：SNMP是简单网络管理协议的缩写。

本地管理：是指管理员通过防火墙的 Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。

远程管理：是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理，管理的通信协议可以基于 FTP、TELNET、HTTP等。

支持带宽管理：防火墙能够根据当前的流量动态调整某些客户端占用的带宽。

负载均衡特性：负载均衡可以看成动态的端口映射，它将一个外部地址的某一 TCP或UDP端口映射到一组内部地址的某一端口，负载均衡主要用于将某项服务（如HTTP）分摊到一组内部服务器上以平衡负载。

失败恢复特性（ failover)：指支持容错技术，如双机热备份、故障恢复，双电源备份等。

记录和报表功能

防火墙处理完整日志的方法：防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。

提供自动日志扫描：指防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。

提供自动报表、日志报告书写器：防火墙实现的一种输出方式，提供自动报表和日志报告功能。

警告通知机制：防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括 E－mail、呼机、手机等。

提供简要报表（按照用户 ID或IP 地址）：防火墙实现的一种输出方式，按要求提供报表分类打印。

提供实时统计：防火墙实现的一种输出方式，日志分析后所获得的智能统计结果，一般是图表显示。

列出获得的国内有关部门许可证类别及号码：这是防火墙合格与销售的关键要素之一，其中包括：公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。

---