Windows防火墙是Windows XPSP2中一个极为重要的安全设计，它可以有效地协助我们完成计算机的安全管理。今天，笔者将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙，提高为网内计算机配置防火墙的效率。

　　为什么要集中部署

　　首先，我们要了解组策略对Windows防火墙的作用是什么。组策略可以决定本地管理员级别的用户是否可以对Windows防火墙进行各种设置，可以决定Windows防火墙的哪些功能被“禁用”或“允许”……

　　显然，上述几个功能正好能够配合域功能进行机房的安全管理，这就为组策略能够批量化部署机房的Windows防火墙打下了基础。此时，所有客户机的Windows防火墙的应用权限将统一归域管理员管理，本地管理员对Windows防火墙的任何设置要在域管理员的“批准”下方可进行。此外，域管理员还可使用组策略来完成所有客户机的Windows防火墙配置，而不必逐台进行了。

　　用组策略部署防火墙

　　在明白了集中部署的好处后，现在让我们一步步实现。请大家先了解一下本文的测试环境“Windows Server 2003域服务器+Windows XP SP2客户机”。本文将介绍如何在Windows Server 2003域服务器管理的机房中的客户机(Windows XP SP2)上，对所有安装了Windows XP SP2的客户机进行Windows防火墙的集中部署。

　　提示:为什么不是在域服务器中进行组策略的新建与配置，而是在客户机上运行?其实这很容易理解，Windows Server 2003操作系统(中文版)中还没有Windows防火墙，所以无法进行配置。但是，这一点将会随着Windows Server 2003 SP1中文正式版的推出而得到彻底解决。

　　OK!现在让我们开始实际操作。首先，在Windows XP SP2客户机的“运行”栏中输入“MMC”命令并回车，在打开的“控制台”窗口中，依次单击“文件→添加/删除管理单元”，添加“组策略对象编辑器”。

　　在弹出的“欢迎使用组策略向导”界面中，点击“浏览”按钮并在“浏览组策略对象”窗口中的空白处单击鼠标右键，在弹出的菜单中选择“新建”，并命名为“firewall”即可返回控制台窗口。

　　提示:客户机的当前登录账户必须具有管理员权限，方可新建GPO(组策略对象)。因此，临时解决这个问题的方法就是在DC中将客户机的账户添加到Administrators组，接着客户机临时使用管理员账户登录系统并进行GPO配置即可。

返回控制台窗口后，在“firewall”策略集中可以看到“域配置文件”和“标准配置文件”两个策略子集(图1)。其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用。

　　显然，我们需要在域配置文件中进行策略的设置。下面简单地说说如何对其中的子策略进行安全配置:

　　保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙，不受客户机本地策略的影响。

　　不允许例外:未配置;这个可以让客户机自行安排。

　　定义程序例外:已启用;即按照程序文件名定义例外通信，这样可以集中配置机房中允许运行的网络程序等。

　　允许本地程序例外:已禁用;如果禁用则Windows防火墙的“例外”设置部分将呈灰色。

　　允许远程管理例外:已禁用;如果不允许客户机进行远程管理，那么请禁用。

　　允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用，那么应该启用。

　　允许ICMP例外:已禁用;如果希望使用Ping命令，则必须启用。

　　允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能。

　　允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。

　　阻止通知:已禁用。

　　允许记录日志:未配置;允许记录通信并配置日志文件设置。

　　阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。

　　定义端口例外:已启用;按照TCP和UDP端口指定例外通信。

　　允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。

　　现在，让我们通过“定义端口例外”项来介绍一下如何进行具体配置。首先，在“域配置文件”设置区域中，双击“Windows防火墙:定义端口例外”项，在弹出的属性窗口中单击“已启用→显示”，并进行“添加”。接着，使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。

　　提示:port是指端口号码;transport是指TCP或UDP;scope中的“*”表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串。

　　完成上述设置后，保存策略为“firewall”文件。现在，就得进行非常重要的一步操作，在“命令提示符”窗口中运行“Gpupdate /force”命令强制组策略设置应用到域网络中已经登录的计算机。

　　验证部署效果

　　完成组策略的刷新后，先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”，根据这个定义，Windows防火墙的“例外”设置部分应变为灰色。现在，让我们打开本机中的Windows防火墙，可以看到被禁用的部分已经呈灰色，这说明本机已响应组策略设置了。

　　接着，再来看看DC是否响应了组策略。在DC服务器的“运行”栏中输入“dsa.msc”命令并回车，弹出“Active Directory”窗口后，请进入“shyzhong.com”(请根据实际情况选择)的属性窗口。在“组策略”选项卡部分可以看到保存的firewall已经自动出现在列表中了。如果没有出现可以手工添加(图2)。

　　到了这一步，可以看出整个设置是成功的。而此后，域中任何一台使用Windows XP SP2的计算机只要登录到域，那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此，整个机房的Windows 防火墙配置操作就成功完成了。

　　利用组策略集中部署SP2防火墙的操作并不复杂，但是它的效果却是一劳永逸的。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手。

在Windows XP SP2中，Windows防火墙有了许多新增特性，其中包括：

•默认对计算机的所有连接启用

•应用于所有连接的全新的全局配置选项

•用于全局配置的新增对话框集

•全新的操作模式

•启动安全性

•本地网络限制

•异常流量可以通过应用程序文件名指定

•对Internet协议第6版（IPv6）的内建支持

•采用Netsh和组策略的新增配置选项

本文将详细描述用于手动配置全新的Windows防火墙的对话框集。与Windows XP（SP2之前的版本）中的ICF不同，这些配置对话框可同时配置IPv4和IPv6流量。

Windows XP（SP2之前的版本）中的ICF设置包含单个复选框（在连接属性的“高级”选项卡上“通过限制或阻止来自Internet对此计算机的访问来保护我的计算机和网络”复选框）和一个“设置”按钮，您可以使用该按钮来配置流量、日志设置和允许的ICMP流量。

在Windows XP SP2中，连接属性的“高级”选项卡上的复选框被替换成了一个“设置”按钮，您可以使用该按钮来配置常规设置、程序和服务的权限、指定于连接的设置、日志设置和允许的ICMP流量。 “设置”按钮将运行全新的Windows防火墙控制面板程序（可在“网络和Internet连接与安全中心”类别中找到）。

新的Windows防火墙对话框包含以下选项卡：

•“常规”

•“异常”

•“高级”

“常规”选项卡

“常规”选项卡及其默认设置如下图所示。

在“常规”选项卡上，您可以选择以下选项：

•“启用（推荐）”

选择这个选项来对“高级”选项卡上选择的所有网络连接启用Windows防火墙。 Windows防火墙启用后将仅允许请求的和异常的传入流量。异常流量可在“异常”选项卡上进行配置。

•“不允许异常流量”

单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。“异常”选项卡上的设置将被忽略，所有的连接都将受到保护，而不管“高级”选项卡上的设置如何。

•“禁用”

选择这个选项来禁用Windows防火墙。不推荐这样做，特别是对于可通过Internet直接访问的网络连接。

注意对于运行Windows XP SP2的计算机的所有连接和新创建的连接，Windows防火墙的默认设置是“启用（推荐）”。这可能会影响那些依赖未请求的传入流量的程序或服务的通信。在这样的情况下，您必须识别出那些已不再运作的程序，将它们或它们的流量添加为异常流量。许多程序，比如Internet浏览器和电子邮件客户端（如：Outlook Express），不依赖未请求的传入流量，因而能够在启用Windows防火墙的情况下正确地运作。

如果您在使用组策略配置运行Windows XP SP2的计算机的Windows防火墙，您所配置的组策略设置可能不允许进行本地配置。在这样的情况下，“常规”选项卡和其他选项卡上的选项可能是灰色的，而无法选择，甚至本地管理员也无法进行选择。

基于组策略的Windows防火墙设置允许您配置一个域配置文件（一组将在您连接到一个包含域控制器的网络时所应用的Windows防火墙设置）和标准配置文件（一组将在您连接到像Internet这样没有包含域控制器的网络时所应用的Windows防火墙设置）。这些配置对话框仅显示当前所应用的配置文件的Windows防火墙设置。要查看当前未应用的配置文件的设置，可使用netsh firewall show命令。 要更改当前没有被应用的配置文件的设置，可使用netsh firewall set命令。

“异常”选项卡

“异常”选项卡及其默认设置如下图所示。

在“异常”选项卡上，您可以启用或禁用某个现有的程序或服务，或者维护用于定义异常流量的程序或服务的列表。当选中“常规”选项卡上的“不允许异常流量”选项时，异常流量将被拒绝。

对于Windows XP（SP2之前的版本），您只能根据传输控制协议（TCP）或用户数据报协议（UDP）端口来定义异常流量。对于Windows XP SP2，您可以根据TCP和UDP端口或者程序或服务的文件名来定义异常流量。在程序或服务的TCP或UDP端口未知或需要在程序或服务启动时动态确定的情况下，这种配置灵活性使得配置异常流量更加容易。

已有一组预先配置的程序和服务，其中包括：

文件和打印共享

远程助手（默认启用）

远程桌面

UPnP框架

这些预定义的程序和服务不可删除。

如果组策略允许，您还可以通过单击“添加程序” ，创建基于指定的程序名称的附加异常流量，以及通过单击“添加端口”，创建基于指定的TCP或UDP端口的异常流量。

当您单击“添加程序”时，将弹出“添加程序”对话框，您可以在其上选择一个程序或浏览某个程序的文件名。下图显示了一个例子。

当您单击“添加端口”时，将弹出“添加端口”对话框，您可以在其中配置一个TCP或UDP端口。下图显示了一个例子。

全新的Windows防火墙的特性之一就是能够定义传入流量的范围。范围定义了允许发起异常流量的网段。在定义程序或端口的范围时，您有两种选择：

“任何计算机”

允许异常流量来自任何IP地址。

“仅只是我的网络（子网）”

仅允许异常流量来自如下IP地址，即它与接收该流量的网络连接所连接到的本地网段（子网）相匹配。例如，如果该网络连接的IP地址被配置为192.168.0.99，子网掩码为255.255.0.0，那么异常流量仅允许来自192.168.0.1到192.168.255.254范围内的IP地址。

当您希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务，但是又不希望允许潜在的恶意Internet用户进行访问，那么“仅只是我的网络（子网）”设定的地址范围很有用。

一旦添加了某个程序或端口，它在“程序和服务”列表中就被默认禁用。

在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。

“高级”选项卡

“高级”选项卡如下图所示。

“高级”选项卡包含以下选项：

•网络连接设置

•安全日志

•ICMP

•默认设置

“网络连接设置”

在“网络连接设置”中，您可以：

•指定要在其上启用Windows防火墙的接口集。要启用Windows防火墙，请选中网络连接名称后面的复选框。要禁用Windows防火墙，则清除该复选框。默认情况下，所有网络连接都启用了Windows防火墙。如果某个网络连接没有出现在这个列表中，那么它就不是一个标准的网络连接。这样的例子包括Internet服务提供商（ISP）提供的自定义拨号程序。

•通过单击网络连接名称，然后单击“设置”，配置单独的网络连接的高级配置。

如果清除“网络连接设置”中的所有复选框，那么Windows防火墙就不会保护您的计算机，而不管您是否在“常规”选项卡上选中了“启用（推荐）”。如果您在“常规”选项卡上选中了“不允许异常流量”，那么“网络连接设置”中的设置将被忽略，这种情况下所有接口都将受到保护。

当您单击“设置”时，将弹出“高级设置”对话框。

在“高级设置”对话框上，您可以在“服务”选项卡中配置特定的服务（仅根据TCP或UDP端口来配置），或者在“ICMP”选项卡中启用特定类型的ICMP流量。 这两个选项卡等价于Windows XP（SP2之前的版本）中的ICF配置的设置选项卡。

“安全日志”

在“安全日志”中，请单击“设置”，以便在“日志设置”对话框中指定Windows防火墙日志的配置，如下图所示。

在“日志设置”对话框中，您可以配置是否要记录丢弃的数据包或成功的连接，以及指定日志文件的名称和位置（默认设置为Systemroot\pfirewall.log）及其最大容量。

“ICMP”

在“ICMP”中，请单击“设置”以便在“ICMP”对话框中指定允许的ICMP流量类型，如下图所示。

在“ICMP”对话框中，您可以启用和禁用Windows防火墙允许在“高级”选项卡上选择的所有连接传入的ICMP消息的类型。ICMP消息用于诊断、报告错误情况和配置。默认情况下，该列表中不允许任何ICMP消息。

诊断连接问题的一个常用步骤是使用Ping工具检验您尝试连接到的计算机地址。在检验时，您可以发送一条ICMP Echo消息，然后获得一条ICMP Echo Reply消息作为响应。默认情况下，Windows防火墙不允许传入ICMP Echo消息，因此该计算机无法发回一条ICMP Echo Reply消息作为响应。为了配置Windows防火墙允许传入的ICMP Echo消息，您必须启用“允许传入的echo请求”设置。

“默认设置”

单击“还原默认设置”，将Windows防火墙重设回它的初始安装状态。 当您单击“还原默认设置”时，系统会在Windows防火墙设置改变之前提示您核实自己的决定。