![通过 GPO 部署高级防火墙规则 - 如何避免合并?](https://linux22.com/image/627273/%E9%80%9A%E8%BF%87%20GPO%20%E9%83%A8%E7%BD%B2%E9%AB%98%E7%BA%A7%E9%98%B2%E7%81%AB%E5%A2%99%E8%A7%84%E5%88%99%20-%20%E5%A6%82%E4%BD%95%E9%81%BF%E5%85%8D%E5%90%88%E5%B9%B6%EF%BC%9F.png)
我正在尝试将一组高级 Windows 防火墙 ACL 部署到几台 2008 R2 服务器。我想(必须)确保不应用任何本地或旧规则。
因此,我在每个配置文件 (GPO) 中将“应用本地防火墙规则”设置为“否”。这仅适用于本地防火墙规则合并(顾名思义)。其他 GPO 设置的不同规则是相加的,并且相加。如果我仔细想想,这是有道理的。
然而,这是一个问题,因为通过实验,我的测试机器上的事情变得一团糟。所以我创建了另一个 GPO,调用一个脚本来提前删除所有防火墙规则 (netsh advfirewall firewall delete rule name=all),这会导致文件和打印机共享服务损坏。
简而言之:在应用新规则之前,确保规则库清洁的最佳/推荐方法是什么?
答案1
您说无论“不应用本地规则” gpo 设置如何,都会应用本地防火墙规则。只需确认一下,本地防火墙规则仍将存在于“\入站规则、\出站规则”集合中,但您可以通过查看“\监控\防火墙”节点来查看实际的“有效”策略(本地 + gpo)。
如果您的 OU 结构中的 gpo 之间存在冲突的防火墙规则,那么 Windows 防火墙部分将无法为您提供太多帮助。您可以执行的操作包括更改 OU 结构、使用每台机器的安全过滤或阻止继承。但总体而言,您的策略可能最好通过在 OU 结构中更高的位置添加更多通用的 gpo/fw 设置以及直接在服务器 OU 上添加更具体的 gpo/fw 设置来设置。