2、效果演示
为了验证上面DC上防火墙策略部署的效果,我们登录一台域成员计算机。为了使DC中部署防火墙策略在域内马上生效,我们同样首先在计算机上命令提示符运行命令“gpupdate /force”刷新组策略。刷新完毕后我们看看该策略是否已经更新,点击“开始”在搜索栏中输入wf.msc打开客户端的Windows高级防火墙工具,可以看到域内的这台客户端已经把防火墙刷新过来了。(图7)
下面我们做个检测,看看规则的应用效果。思路是这样的:在DC上共享一个文件夹(例如C:\ctocio)在部署防火墙之前DC上的该文件夹是可以被客户端访问的。我们所要做的是在部署完防火墙策略后,在客户端上访问该共享文件夹,如果访问失败说明我们的防火墙策略部署成功了。我们在客户端执行“开始”→“运行”,然后输入“\\192.168.1.1\ctocio”回车后如图所示提示:访问失败,不能找到该共享文件夹。(图8)
除此之外,防火墙还能监控到域内主机之间的访问记录。在Windows高级防火墙窗口才左侧依次展开“Monitoring”→“Security Associations”,然后点击下面的“Quick Mode”可在右侧列出防火墙监控到的信息。从图所示,本地主机192.168.1.2和DC即192.168.1.1之间有访问,其实就是对我们上面访问DC中的共享文件夹的一个防火墙记录。双击该记录弹出一个对话框,从中可以看到更加详细的记录如IP地址、Port等,其实这也是我们在DC中部署防火墙是设置过的。(图9)
总结:上面的演示只是基于Windows Server 2008的DC防火墙策略部署的一个实例,其实在还有很多有趣实用的功能需要大家在实战中去挖掘,相信这样的搭配一定会帮你打造更加安全的系统、网络环境。
