windows 2008 防火墙结合DC来使域控更安全
windows 2008 在域这块的安全提高不少,而防火墙在这方面也是更加优秀,要是域结合防火墙来使用无疑是更加的牢固、安全。下面我就结合防火墙来部署一下域。
这次试验的步骤是:
1、搭建域控
2、配置防火墙
3、验证
一、搭建域控
在开始——运行里面输入dcpromo
![](https://i-blog.csdnimg.cn/blog_migrate/924b306d3ae40cd4c65138749b24f22d.jpeg)
我们不使用高级模式
![](https://i-blog.csdnimg.cn/blog_migrate/96aaa1383fbc685e96cf9100be3af004.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/60cd4f60d5c7961e8b91409e5bb3d86f.jpeg)
新建的域控所以选择新林
![](https://i-blog.csdnimg.cn/blog_migrate/1f7a8c906aaccf3cc1b81b8568f9275e.jpeg)
起一个名字为test.com
![](https://i-blog.csdnimg.cn/blog_migrate/1d833d360b5131d2544407b1d5a64018.jpeg)
选择林功能级别
![](https://i-blog.csdnimg.cn/blog_migrate/0c784e531c6a84e9488c77ded7059b62.jpeg)
这是在检查DNS是否已经安装
![](https://i-blog.csdnimg.cn/blog_migrate/f30e6ee239cf3a9f6852edb6fbb953e0.jpeg)
我们事先是没有安装DNS的所以在这把DNS服务器勾选上
![](https://i-blog.csdnimg.cn/blog_migrate/161cde9a2faddffbc96fe8b74d6c09cc.jpeg)
因为没有安装DNS所以会抱着个错误,选择是 继续
![](https://i-blog.csdnimg.cn/blog_migrate/8b15f87b1706b6bbda41a6330d84b06f.jpeg)
DNS配置好了,路径我们不改 默认就行
![](https://i-blog.csdnimg.cn/blog_migrate/3c5d5f8a8430c8d38a51bf250878331c.jpeg)
写上我们的还原模式密码,一边以后使用
![](https://i-blog.csdnimg.cn/blog_migrate/c8d026005ea0cac3537844e99ddadc86.jpeg)
这是让我们确认一下我们的选择是不是有误
![](https://i-blog.csdnimg.cn/blog_migrate/bd9c505c1b338def28eda0234692aa99.jpeg)
域控安装完成,我们需要重新启动一下
![](https://i-blog.csdnimg.cn/blog_migrate/3b083bc46bc7cf6cfab0c11ef4d19d55.jpeg)
等了一会,机器已经启动起来AD是能打开的,我们的域控是正常的。
![](https://i-blog.csdnimg.cn/blog_migrate/e0eb8f37431d174b90eeb5634057ee82.jpeg)
二、配置防火墙
我们打开组策略管理,打开的方法有两种一个是在开始——程序——管理工具——组策略管理,另一种就是在开始——运行里输入gpmc.msc,打开以后右击Default Domain Policy ——编辑
![](https://i-blog.csdnimg.cn/blog_migrate/3ec570c7bf02b43bc7846d91f1ba6317.jpeg)
找到高级安全 windows 防火墙,右击——属性
![](https://i-blog.csdnimg.cn/blog_migrate/021dddb1356ee16404c0dea27add3f8d.jpeg)
这里会有好几个配置文件,我们是针对域的所以我们选择第一个域配置文件,默认都是未配置的
![](https://i-blog.csdnimg.cn/blog_migrate/739135ae3139092a8e91d45b4ca68e48.jpeg)
我们选择启用防火墙状态,入站连接,出站都选择默认值如图:点击自定义【制定控制 windows防火墙行为的设置】我们把【使用于本地防火墙规则】【使用用本地连接安全规则】都选择否
![](https://i-blog.csdnimg.cn/blog_migrate/1c7f9edcbded092859681eab7dd0bdcc.jpeg)
我们对域已经启用了防火墙,接下来我们建立规则。右击入站规则——新规则
![](https://i-blog.csdnimg.cn/blog_migrate/287f20f8fe886640f3c987f4bf99019a.jpeg)
规则类型选择自定义,下一步
![](https://i-blog.csdnimg.cn/blog_migrate/18873e5a1b4a74f98dcd910c4f549846.jpeg)
所有程序
![](https://i-blog.csdnimg.cn/blog_migrate/22ca14e5e32903e81d868db5b1f470e6.jpeg)
任何日期、所有端口
![](https://i-blog.csdnimg.cn/blog_migrate/55ba8dc84843db9056e9ebd60ce46a8c.jpeg)
任何IP
![](https://i-blog.csdnimg.cn/blog_migrate/a74da0c65ad35e753a3b147ef18cd6d5.jpeg)
允许连接
![](https://i-blog.csdnimg.cn/blog_migrate/551a25e265824ed6ad3d97f3edaf3ea1.jpeg)
最后一步给这个规则起名字,我就起一个test吧,描述就不写了
![](https://i-blog.csdnimg.cn/blog_migrate/bbd79e31b42839e677a59a366c20acf7.jpeg)
出站我们就不新建了 ,接下来我们选择连接安全规则,用于针对连接中的防火墙安全检测和隔离,同样返回到GPMC组策略编辑器主窗口。右击连接安全规则——新规则
![](https://i-blog.csdnimg.cn/blog_migrate/d14521ada9ac177c902b121e0558b4e3.jpeg)
类型是隔离
![](https://i-blog.csdnimg.cn/blog_migrate/e0d576b5e3560d2697afbcea7f65017d.jpeg)
要求我们选择第二个,也就是入站连接要求身份验证,出站连接请求身份验证
![](https://i-blog.csdnimg.cn/blog_migrate/543100ea6d599e11d299eaeeba962d10.jpeg)
配置文件都是域配置文件,写上名称完成。
![](https://i-blog.csdnimg.cn/blog_migrate/bd82911a87872edb354376846bf1fe06.jpeg)
好了 规则建立完成了,但是不会马上更新到服务中,所以我们刷新一下组策略,命令就是gpupdate /force
![](https://i-blog.csdnimg.cn/blog_migrate/635cd8ed4d312cc3401964165507a842.jpeg)
是不是已经更新了呢?我们来看一下在开始——运行里面输入fw.msc,看到了我们新建立的规则,证明已经刷新成功了!!
![](https://i-blog.csdnimg.cn/blog_migrate/30bdbf8a732fc52ee880a6034ca10dd8.jpeg)
三、验证
在域控上共享一个文件夹为dc,在没有新建规则的时候是可以访问的,现在看看是不是能访问成功,如果访问成功我们的防火墙规则就是失败了,如果访问失败证明我们的实验成功了。提示如下 windows 无法访问。证明我们新建的规则已经生效了。
![](https://i-blog.csdnimg.cn/blog_migrate/a1c1836cf955f3e48a7f6ae118591f68.jpeg)
这样一来域控的安全级别是不是大大提高了呢?
转载于:https://blog.51cto.com/liuyonglei/312014