是否希望了解如何使用组策略启用和配置运行 Windows 的计算机的防火墙? 在本教程中,我们将向您展示如何使用 GPO 在域中的所有计算机上启用防火墙服务并创建网络规则。

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7

硬件列表:

以下部分介绍用于创建本教程的设备列表。

上面列出的每一件硬件都可以在亚马逊网站上找到。

教程 GPO – 配置 Windows 防火墙

在域控制器上,打开组策略管理工具。

创建新的组策略。

输入新组策略的名称。

Windows - Add GPO

在我们的示例中,新的 GPO 被命名为:MY-GPO。

在组策略管理屏幕上,展开名为”组策略对象”的文件夹。

右键单击新的组策略对象并选择”编辑”选项。

Windows - Edit GPO

在组策略编辑器屏幕上,展开”计算机配置”文件夹并找到以下项。

Copy to Clipboard

选择名为”具有高级安全性的 Windows 防火墙”的选项

GPO - Enable Windows Firewall

访问名为 Windows 防火墙属性的选项。

Enable Windows firewall using GPO

选择所需的网络配置文件并执行以下配置:

• 防火墙状态 – 打开。
• 入站连接 – 阻止。
• 出站连接 – 允许。

单击”确定”按钮。

GPO Configure Firewall Windows

在我们的示例中,我们将在计算机连接到域网络时启用 Windows 防火墙。

在我们的示例中,我们将允许出站连接。

在我们的示例中,我们将阻止入站连接。

允许计算机开始与任何设备的通信。

不允许其他设备开始与计算机通信。

可选地,启用阻塞数据包的日志。

GPO Windows Firewall - Log blocked packets

启用名为”日志丢弃数据包”的选项。

GPO Windows Firewall - Log dropped packets

这是 Windows 防火墙日志的默认路径。

Copy to Clipboard

若要保存组策略配置,需要关闭组策略编辑器。

祝贺! 您已完成 GPO 创建。

教程 GPO – 创建防火墙规则

例如,我们将创建一个白名单。

此规则将包含允许启动与计算机网络连接的 IP 地址列表。

在组策略编辑器上,选择名为”具有高级安全性的 Windows 防火墙”的选项。

GPO - Enable Windows Firewall

创建新的入站规则。

GPO Windows Firewall - Inbound rule

选择”自定义”选项。

GPO - Firewall Whitelist IP address 01

选择”所有程序”选项,然后单击”下一步”按钮。

GPO - Firewall Whitelist IP address 02

单击”下一步”按钮。

GPO - Firewall Whitelist IP address 03

输入授权 IP 地址列表,然后单击”下一步”按钮。

列表中的 IP 地址将有权不受限制地开始通信。

GPO - Firewall Whitelist IP address 04

选择允许连接的选项。

GPO - Firewall Whitelist IP address 05

选择所需的网络配置文件,然后单击”下一步”按钮。

GPO - Firewall Whitelist IP address 06

输入标识新入站规则的名称。

GPO - Firewall Whitelist IP address 07

单击”完成”按钮。

若要保存组策略配置,需要关闭组策略编辑器。

祝贺! 您已完成使用 GPO 创建入站规则。

教程 GPO – 启用 Windows 防火墙

在组策略管理屏幕上,您需要右键单击所需的组织单位,然后选择链接存在 GPO 的选项。

在我们的示例中,我们将将名为 MY-GPO 的组策略链接到域的根目录。

GPO- tutorial linking

应用 GPO 后,您需要等待 10 或 20 分钟。

在此期间,GPO 将复制到其他域控制器。

在我们的示例中,我们使用 GPO 来启用和配置 Windows 防火墙。