7创建允许所需入站网络流量地规则Word格式.docx

1、步骤5：查看防火墙日志下一个主题：在很多情况下，您可能都需要配置允许通常需要的网络活动的规则，如某些ICMP响应类型，虽然这些活动与服务无关，但某些网络故障排除需要这些网络活动。客户端和服务器需要的常用网络流量类型是在高级安全Windows防火墙中由预定义的规则集指定的。这样一来，就可以轻松选择这些类型进行配置和部署。本指南只使用一个预定义的组进行演示。在生产环境中，检查所有提供的预定义组，并部署适用于您的组织网络的那些组。在此步骤中，使用组策略管理MMC管理单元来配置一组防火墙规则。将作为组核心网络一部分的规则设置为始终启用。配置一组防火墙规则1. 在MBRSVR1上的“组策略管理”管理单元

2、中，右键单击“Windows客户端的防火墙设置”，然后单击“编辑”。2. 在“组策略管理编辑器”的导航窗格中，依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“高级安全Windows防火墙”，然后展开“高级安全Windows防火墙-LDAP：/GUID，cn=policies，cn=system，DC=contoso，DC=com”。3. 单击“入站规则”。默认情况下，在GPO中不存在入站防火墙规则。4. 右键单击“入站规则”，然后单击“新建规则”。5. 在向导的“规则类型”页上，单击“预定义”，从列表中选择“核心网络”，然后单击“下一步”。6. 在“预定义规则”页上，

3、检查规则列表，保留选择所有规则，然后单击“下一步”。在生产环境中，仔细考虑应用规则的配置文件。您可能希望考虑其他配置文件的规则以控制防火墙在网络之外的计算机（例如带回家的便携式计算机）上的工作方式。您可能希望考虑将规则应用于所有配置文件，以确保组织的计算机在远离组织的网络时继续得到保护。可能需要进行某些规则修改以允许不同于组织网络的家庭或公共网络上预期的程序行为。7. 在“操作”页上，因为我们希望为默认情况下被阻止的流量创建异常，请选择“允许连接”，然后单击“完成”。现在，已启用规则的列表出现在“入站规则”的结果窗格中。8. 关闭客户端GPO的“组策略管理编辑器”。如果规则列表现在在GPO中，

4、则将GPO部署到客户端计算机。在客户端计算机上测试规则的步骤1. 在CLIENT1上的“管理员：命令提示符”中，运行gpupdate/force。等待命令完成。2. 在“高级安全Windows防火墙”管理单元的导航窗格中，展开“监视”，然后单击“防火墙”。请注意现在规则列表在本地计算机上为活动状态。可能需要几秒钟时间来填充此列表。3. 单击“视图”，然后单击“添加/删除列”。4. 如果未显示“规则源”列，请单击“可用列”列表中的“规则源”，然后单击“添加”。5. 单击“上移”以直接在“名称”之后放置“规则源”，然后单击“确定”。6. 请注意，所有规则都将GPOWindows客户端的防火墙设置标

5、识为规则源。即使您在“入站规则”下禁用由本地定义的核心网络规则，这些来自GPO的规则仍然适用于计算机。下一主题：当您使用必须能够接收未经请求的入站网络流量的程序时，必须创建一条规则以允许该流量通过防火墙。客户端计算机通常不需要此操作，因为传入网络数据包会响应之前到网络其他位置的服务器的传出请求。但是，如果您安装一个网络服务，您的计算机随后会接收到从客户端到服务的未经请求的网络流量。当然，服务器上托管的服务预期也会有未经请求的入站网络流量。默认情况下，在Windows7和WindowsVista上，当您启动此类程序并且该程序向Windows注册侦听特定TCP或UDP端口号时，Windows会阻止

6、请求并显示要求输入指示的对话框。如果决定允许该程序，则Windows自动创建一条防火墙规则以允许该程序的所有网络流量。还可以手动创建一条类似的规则。如果创建此类规则并通过使用组策略将其分发，则用户不必看到该对话框并决定执行何种操作。默认情况下，在运行WindowsServer2008R2或WindowsServer2008的计算机上，不显示该通知对话框，但仍无任何提示地阻止该程序。如果启用丢弃数据包的防火墙日志记录（正如您在上一部分所执行的操作），则日志文件是这些数据包到达和丢弃的唯一指示。因此在运行这些版本的WindowsServer之一的计算机上，您必须为要求未经请求的入站网络流量的每一个

7、程序或服务创建规则。手动创建规则的其他优点是可以自定义规则，使其仅限于程序所要求的特定流量。虽然没有在本指南中说明，但还有一个您应该知道的选项。称为Teredo的IPv6过渡技术，包括在带有标题UDP的IPv4数据包中为IPv6数据包设置隧道。因为UDP可由网络地址转换器（NAT）转换，Teredo可使IPv6客户端进行通信，即使这些客户端在一个或多个IPv4NAT之后也是如此。若要正确处理这类嵌入IPv4流量中的IPv6，防火墙规则支持“边缘遍历”选项。如果您的防火墙规则针对一台可能从远程计算机通过Teredo隧道接收入站流量的客户端计算机，则防火墙规则必须指定“允许边缘遍历”。在“边缘遍历

8、”下的“高级”选项卡的防火墙属性页面中，选中“允许边缘遍历”。有关Teredo的详细信息，请参阅WindowsServer技术库中的Teredo概述。作为本部分中的第一个示例，将创建一条防火墙规则，它允许Telnet服务的入站流量通过防火墙，然后通过使用组策略将该规则部署到MBRSVR1。创建允许程序的入站流量的防火墙规则的步骤1. 在MBRSVR1上的“组策略管理”窗口中，右键单击“WindowsServer的防火墙设置”（非客户端），然后单击“编辑”。2. 在导航窗格中，依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“高级安全Windows防火墙”，然后展开“高级

9、安全Windows防火墙-LDAP：/cn=GUID，cn=policies，cn=system，DC=contoso，dc=com”。3. 右键单击“入站规则”，然后单击“新建规则”。4. 在“规则类型”页上，单击“自定义”，然后单击“下一步”。我们建议您尽可能创建特定规则。这意味着您可能要指定程序（确保规则仅在该程序运行时允许流量）和端口（确保程序只能在指定端口号上接收）。若要查看向导中所有可用选项，请使用“自定义”规则类型。5. 在“此程序路径”的文本框中，键入%systemroot%system32tlntsvr.exe。6. 因为程序可以承载多个服务，建议您同时将规则限制于需要的特定

10、服务。单击“服务”旁的“自定义”。7. 单击“应用于此服务”，选择Telnet，单击“确定”，然后单击“下一步”。服务列表仅包含当前安装在您正在其中编辑GPO的计算机上的服务。如果要指定的服务尚未安装在此计算机上，可以使用选项“应用于具有此服务短名称的服务”，然后在文本框中键入服务名称。若要找到服务短名称，请使用装有服务的计算机中的“服务”MMC管理单元。8. 在“协议和端口”页中，单击“下一步”。在下一部分中将规则限制于特定端口。9. 在“作用域”页上，单击“下一步”。10. 在“操作”页上，选择“允许连接”，然后单击“下一步”。11. 在“配置文件”页上，清除“专用”和“公用”复选框。确认

11、已选择该“域”，然后单击“下一步”。12. 在“名称”页上，键入“允许入站Telnet”，然后单击“完成”。在部署GPO之前，先配置某些其他设置，以确保客户端计算机上的本地定义规则无法影响域提供的规则。完成配置成员服务器的防火墙规则的步骤1. 在“组策略管理编辑器”的导航窗格中，右键单击“高级安全Windows防火墙-LDAP：/cn=GUID，cn=policies，cn=system，DC=contoso，dc=com”，然后单击“属性”。2. 将“防火墙状态”设置为“启用（推荐）”。3. 将“入站连接”设置为“阻止（默认）”。4. 将“出站连接”设置为“允许（默认）”。您将在下一部分中检

12、查出站规则。5. 在“设置”部分中，单击“自定义”。6. 将“显示通知”设置为“否”。7. 将“应用本地防火墙规则”设置为“否”。8. 将“应用本地连接安全规则”设置为“否”。9. 单击“确定”两次保存GPO。在此过程中，将GPO部署到成员服务器。在成员服务器上更新GPO的步骤1. 请打开“管理员：命令提示符”，然后运行gpupdate/force。2. 打开高级安全Windows防火墙管理单元。3. 在导航窗格中，展开“监视”，然后单击“防火墙”。请注意，仅当前活动的规则是在GPO中创建的“允许入站Telnet”规则。在此过程中，测试部署的防火墙规则。测试Telnet防火墙规则的步骤命令提示

13、符”中，键入telnetmbrsvr1，然后按Enter。几秒钟后，将出现以下屏幕并指示Telnet防火墙规则在工作。2. 通过键入exit，然后按Enter，关闭Telnet会话。在此过程中，确认它并非是Telnet服务器服务安装在MBRSVR1上时创建的本地Telnet规则。禁用该规则并确认Telnet仍在工作，因为GPO应用的规则处于活动状态。确认它是允许Telnet工作的GPO规则的步骤1. 在MBRSVR1上的“高级安全Windows防火墙”管理单元的导航窗格中，单击“入站规则”。注意在顶部列出了基于GPO的Telnet防火墙规则。2. 向下滚动到名为“Telnet服务器”的规则，右

14、键单击它，然后单击“禁用规则”。3. 在CLIENT1上的命令提示符处，再次运行telnetmbrsvr1，然后确认它仍在工作。4. 通过键入exit，然后按Enter，关闭Telnet会话。最后，说明Telnet服务可以按规则当前配置的方式在任何端口上侦听网络流量。显示防火墙规则允许指定端口上的Telnet网络流量的步骤1. 在MBRSVR1上的“管理员：命令提示符”中，键入tlntadmnconfigport=25，然后按Enter。这可配置Telnet服务器以侦听端口25而不是默认端口23。2. 在CLIENT1上的命令提示符处，键入telnetmbrsvr125。这可指示客户端使用端口

15、25而不是默认端口23用于其连接。连接已成功。在下一部分中，将配置规则以只允许指定端口号上的流量。这提高了安全性，因为它只允许有活动服务侦听的端口上的流量。在上一步中，已创建一个规则只允许到Telnet服务器服务的未经请求的入站网络流量。但是，被视为最佳操作的是还将流量限制为仅服务实际使用的TCP或UDP端口。对于标准的Telnet部署，仅需要TCP端口23。此过程会优化Telnet例外规则，将允许的入站网络流量限制为仅TCP端口23。配置规则以限制到特定端口的流量的步骤1. 在MBRSVR1上，在服务器GPO的“组策略管理编辑器”中，单击“入站规则”。2. 在结果窗格中，右键单击“允许入站T

16、elnet”，然后单击“属性”。3. 单击“协议和端口”选项卡。4. 在“协议类型”中，单击TCP。注意：“协议号”自动更改为6。5. 在“本地端口”列表中，单击“特定端口”。6. 在紧接着“本地端口”下的文本框中，键入23。7. 单击“确定”保存更改。在此过程中，测试已修改的规则。测试已修改的规则的步骤命令提示符”处，运行gpupdate/force。由于MBRSVR1上的Telnet服务仍配置为侦听端口25，因此，该服务应该无法接收任何流量。2. 在CLIENT1上的命令提示符处，运行telnetmbrsvr125。因为MBRSVR1上的防火墙现在阻止所有到Telnet服务的入站流量（端口

17、23除外），所以命令超时并失败。3. 在MBRSVR1上的“管理员：命令提示符”处，运行tlntadmnconfigport=23将服务还原到默认端口号。4. 在CLIENT1上的命令提示符处，运行telnetmbrsvr1。因为防火墙允许到端口23的入站网络流量到达配置为侦听该端口的Telnet服务，所以此命令成功。5. 通过键入exit，然后按Enter，关闭Telnet会话。如果每一个需要通过网络通信的程序和服务，分配一个它自己的端口号，您很容易想象两个程序迟早会因为使用同一个端口而冲突。若要解决这个问题，许多程序使用远程过程调用（RPC）协议请求在动态分配的端口号上与主机服务通信。当一

18、个服务启动时，它会注册到RPC服务，并请求分配一个或更多动态端口号。当远程客户端需要与该服务通信，它并不知道所分配的是哪一个端口号。为此，客户端在TCP端口135（RPC终点映射程序服务的“已知”端口号）上连接到服务器，并标识要连接的服务。RPC终点映射程序服务会通过使用客户端来连接到所需服务的端口号进行回复。然后，客户端重新连接到使用分配端口号的服务器，并开始与所需服务的通信。在比WindowsVista更高版本的Windows中，动态分配的端口对于防火墙管理员一直是个挑战。必须创建规则以打开动态分配范围中的大范围端口号（所有大于1024的端口），或者必须将程序限制于使用数目比其设计使用的端

19、口数少得多的端口。创建规则以打开许多当前未主动使用的端口，会增加计算机受攻击漏洞的面区域。将程序限制于使用较少的端口可能会影响程序的性能，一些程序没有提供配置方法，或者限制所使用的端口号。这两种情况均不是好的解决方案。在WindowsVista中启动，高级安全Windows防火墙支持RPC使用的动态分配端口号的状态筛选。只有这些当前通过RPC分配到活动服务的端口号处于打开状态，且即使在这个时候，一个动态分配的端口也只会对要求连接到该服务（通过对RPC终点映射程序发出请求）的客户端打开。若要确定程序是否必须使用由RPC动态分配的端口，请参阅程序供应供应商提供的文档。也可以通过使用网络协议分析器（

20、例如Microsoft网络监视器）检查出入程序的流量。可以从http：/在WindowsVista及更高版本的Windows中，通过引入可以直接支持程序的RPC端口要求的规则来解决此问题。若要为程序配置此支持，必须创建以下规则： 入站规则，它允许“RPC终点映射程序”的入站网络流量。此规则允许计算机接收发送到端口135的流量。该规则还必须配置为使用允许操作和RPC终点映射程序服务的程序路径。 入站规则，它为端口号指定“动态RPC”。由RPC终点映射程序服务在端口135上（请参阅上一条规则）收到来自远程计算机的传入请求时，该服务为请求分配动态端口号，并通过使用该端口号回复远程计算机。远程计算机的

21、IP地址和动态端口号存储在内部表中。然后当远程计算机将数据包发送到新的端口号时，此规则允许Windows将该端口号和IP地址与表中存储的条目比较，以查找匹配项。如果找到匹配项，则允许入站流量。其优点在于可以使用RPC瞬时范围中的任何端口，而不必明确定义打开该端口的规则。只有由终点映射程序指定可以使用该端口的程序才能使用该端口。未使用的端口不会保持打开状态，这可减少服务器的漏洞。重要事项如果你创建规则允许RPC网络流量通过防火墙，则允许所有RPC网络流量。Windows防火墙无法筛选基于目标程序的UUID的网络流量。在此部分中，将为使用动态RPC的远程事件日志服务创建规则。尽管Windows具有

22、提供此功能的预定义规则，但您需要手动创建这些规则才能查看所涉及的步骤。若要开始此操作，请确认远程事件日志服务当前未因为MBRSVR1上的防火墙正在阻止流量而从客户端远程工作。确认远程事件日志服务没有远程工作的步骤1. 在CLIENT1上，单击“开始”，在“开始搜索”框中键入“事件查看器”，然后按Enter。2. 单击“操作”，然后单击“连接到另一台计算机”。3. 在“另一台计算机”文本框中，键入MBRSVR1，然后单击“确定”。4. 几秒钟后，因为MBRSVR1上的高级安全Windows防火墙丢弃所需的网络流量，致使连接尝试超时并失败（如下图所示）。单击“确定”。若要允许此服务工作，请先创建支

23、持到RPC终点映射程序服务的入站流量的规则。该示例显示了如何创建一个防火墙规则，将一个宿主许多服务的服务容器（svchost.exe）仅限制为一个重要服务，然后进一步将该服务限制为仅需的TCP端口。创建允许到RPC终点映射程序服务的入站网络流量的规则的步骤1. 在MBRSVR1上，在服务器GPO的“组策略管理编辑器”的导航窗格中，右键单击“入站规则”，然后单击“新建规则”。2. 在“规则类型”页上，单击“自定义”，然后单击“下一步”。3. 在“此程序路径”文本框中，键入%systemroot%system32svchost.exe。4. 单击“服务”旁的“自定义”。5. 单击“应用于此服务”，

24、选择带有短名称RpcSs的“远程过程调用（RPC）”，单击“确定”，然后单击“下一步”。6. 在有关与Windows服务强化规则冲突的警告上，单击“是”。7. 在“协议和端口”页上，对于“协议类型”，选择TCP。8. 对于“本地端口”，选择“RPC终点映射程序”，然后单击“下一步”。10. 在“操作”页上，单击“下一步”。11. 在“配置文件”页上，清除“专用”和“公用”复选框，然后单击“下一步”。12. 在“名称”页上，键入“允许RPC终点映射程序”，然后单击“完成”。下一步，创建允许来自远程事件日志客户端的传入流量的规则。由于传入端口号是由RPC终点映射程序服务动态分配的，因此指定“动态R

25、PC”而不是具体端口号。用作示例服务的事件日志位于%systemroot%system32svchost.exe中。在生产环境中时，请确保使用承载要为其创建规则的服务的可执行文件的路径。创建允许到启用RPC的服务的入站网络流量的规则的步骤1. 在MBRSVR1上的“组策略管理编辑器”的导航窗格中，右键单击“入站规则”，然后单击“新建规则”。远程事件日志服务是由该文件承载的另一个服务。5. 单击“应用于此服务”，选择带有短名称“事件日志”的“Windows事件日志”，单击“确定”，然后单击“下一步”。8. 对于“本地端口”，选择“动态RPC”（在WindowsServer2008上）或“RPC动态端口”（在WindowsServer2008R2上），然后单击“下一步”。12. 在“名称”页上，键入“允许远程事件日志服务”，然后单击“完成”。现在可以将GPO应用于MBRSVR1。13. 在“管理员：命令提示符”下，运行gpupdate