windows 2008 防火牆結合DC來使域控更安全
windows 2008 在域這塊的安全提高不少,而防火牆在這方面也是更加優秀,要是域結合防火牆來使用無疑是更加的牢固、安全。下面我就結合防火牆來部署一下域。
這次試驗的步驟是:
1、搭建域控
2、配置防火牆
3、驗證
一、搭建域控
在開始——運行裏面輸入dcpromo
我們不使用高級模式
新建的域控所以選擇新林
起一個名字爲test.com
選擇林功能級別
這是在檢查DNS是否已經安裝
我們事先是沒有安裝DNS的所以在這把DNS服務器勾選上
因爲沒有安裝DNS所以會抱着個錯誤,選擇是 繼續
DNS配置好了,路徑我們不改 默認就行
寫上我們的還原模式密碼,一邊以後使用
這是讓我們確認一下我們的選擇是不是有誤
域控安裝完成,我們需要重新啓動一下
等了一會,機器已經啓動起來AD是能打開的,我們的域控是正常的。
二、配置防火牆
我們打開組策略管理,打開的方法有兩種一個是在開始——程序——管理工具——組策略管理,另一種就是在開始——運行裏輸入gpmc.msc,打開以後右擊Default Domain Policy ——編輯
找到高級安全 windows 防火牆,右擊——屬性![]()
這裏會有好幾個配置文件,我們是針對域的所以我們選擇第一個域配置文件,默認都是未配置的
我們選擇啓用防火牆狀態,入站連接,出站都選擇默認值如圖:點擊自定義【制定控制 windows防火牆行爲的設置】我們把【使用於本地防火牆規則】【使用用本地連接安全規則】都選擇否
我們對域已經啓用了防火牆,接下來我們建立規則。右擊入站規則——新規則
規則類型選擇自定義,下一步
所有程序
任何日期、所有端口
任何IP
允許連接
最後一步給這個規則起名字,我就起一個test吧,描述就不寫了
出站我們就不新建了 ,接下來我們選擇連接安全規則,用於針對連接中的防火牆安全檢測和隔離,同樣返回到GPMC組策略編輯器主窗口。右擊連接安全規則——新規則
類型是隔離
要求我們選擇第二個,也就是入站連接要求身份驗證,出站連接請求身份驗證
配置文件都是域配置文件,寫上名稱完成。
好了 規則建立完成了,但是不會馬上更新到服務中,所以我們刷新一下組策略,命令就是gpupdate /force
是不是已經更新了呢?我們來看一下在開始——運行裏面輸入fw.msc,看到了我們新建立的規則,證明已經刷新成功了!!
三、驗證
在域控上共享一個文件夾爲dc,在沒有新建規則的時候是可以訪問的,現在看看是不是能訪問成功,如果訪問成功我們的防火牆規則就是失敗了,如果訪問失敗證明我們的實驗成功了。提示如下 windows 無法訪問。證明我們新建的規則已經生效了。
這樣一來域控的安全級別是不是大大提高了呢?