windows 2008 防火墙结合DC来使域控更安全

               windows 2008 防火墙结合DC来使域控更安全

windows 2008 在域这块的安全提高不少，而防火墙在这方面也是更加优秀，要是域结合防火墙来使用无疑是更加的牢固、安全。下面我就结合防火墙来部署一下域。

这次试验的步骤是：

1、搭建域控

2、配置防火墙

3、验证

一、搭建域控

在开始——运行里面输入dcpromo

我们不使用高级模式

 

新建的域控所以选择新林

起一个名字为test.com

选择林功能级别

这是在检查DNS是否已经安装

我们事先是没有安装DNS的所以在这把DNS服务器勾选上

因为没有安装DNS所以会抱着个错误，选择是  继续

 

DNS配置好了，路径我们不改 默认就行

写上我们的还原模式密码，一边以后使用

这是让我们确认一下我们的选择是不是有误

域控安装完成，我们需要重新启动一下

等了一会，机器已经启动起来AD是能打开的，我们的域控是正常的。

二、配置防火墙

我们打开组策略管理，打开的方法有两种一个是在开始——程序——管理工具——组策略管理，另一种就是在开始——运行里输入gpmc.msc，打开以后右击Default Domain Policy ——编辑

找到高级安全 windows 防火墙，右击——属性

这里会有好几个配置文件，我们是针对域的所以我们选择第一个域配置文件，默认都是未配置的

我们选择启用防火墙状态，入站连接，出站都选择默认值如图：点击自定义【制定控制 windows防火墙行为的设置】我们把【使用于本地防火墙规则】【使用用本地连接安全规则】都选择否

我们对域已经启用了防火墙，接下来我们建立规则。右击入站规则——新规则

规则类型选择自定义，下一步

所有程序

任何日期、所有端口

任何IP

允许连接

最后一步给这个规则起名字，我就起一个test吧，描述就不写了

出站我们就不新建了 ，接下来我们选择连接安全规则，用于针对连接中的防火墙安全检测和隔离，同样返回到GPMC组策略编辑器主窗口。右击连接安全规则——新规则

类型是隔离

要求我们选择第二个，也就是入站连接要求身份验证，出站连接请求身份验证

配置文件都是域配置文件，写上名称完成。

好了   规则建立完成了，但是不会马上更新到服务中，所以我们刷新一下组策略，命令就是gpupdate /force

是不是已经更新了呢？我们来看一下在开始——运行里面输入fw.msc，看到了我们新建立的规则，证明已经刷新成功了！！

三、验证

在域控上共享一个文件夹为dc，在没有新建规则的时候是可以访问的，现在看看是不是能访问成功，如果访问成功我们的防火墙规则就是失败了，如果访问失败证明我们的实验成功了。提示如下 windows 无法访问。证明我们新建的规则已经生效了。

这样一来域控的安全级别是不是大大提高了呢？