在此示例中，虚构公司 Woodgrove Bank 是一家金融服务机构。

Woodgrove Bank 有一个 Active Directory 域，该域为其所有 Windows 设备提供基于组策略的管理。 Active Directory 域控制器还托管域名系统 (用于主机名解析的 DNS) 。 单独的设备托管 Windows Internet 名称服务 (WINS) ，用于网络基本输入/输出系统 (NetBIOS) 名称解析。 运行 UNIX 的一组设备提供动态主机配置协议 (DHCP) 服务进行自动 IP 寻址。

Woodgrove Bank 正在将其设备从 Windows Vista 和 Windows Server 2008 迁移到Windows 10和Windows Server 2016。 Woodgrove Bank 的大量设备继续运行 Windows Vista 和 Windows Server 2008。 必须维护以前和较新的操作系统之间的互操作性。 如果可能，应用于较新操作系统的安全功能也必须应用于以前的操作系统。

名为 WGBank 的关键业务线计划由在组织中的大多数桌面设备上运行的客户端程序组成。 此程序访问运行 WGBank 服务器端部分的多个前端服务器设备。 这些前端服务器仅执行处理，不存储数据。 数据存储在运行 Microsoft SQL Server的多个后端数据库设备中。

网络管理员希望在整个组织中实施具有高级安全性的Windows Defender防火墙，以便为其整体安全策略提供另一个安全层。 他们希望创建防火墙规则，允许其业务程序运行，同时阻止不需要的网络流量。

下图显示了此设计示例的流量保护需求。

运行 Active Directory、DNS、DHCP 或 WINS 等服务的网络基础结构服务器可以接收来自网络客户端的未经请求的入站请求。 网络客户端可以接收来自基础结构服务器的响应。

WGBank 前端服务器可以接收来自客户端设备和 WGBank 合作伙伴服务器的未经请求的入站流量。 WGBank 客户端设备和合作伙伴服务器可以接收响应。

WGBank 前端服务器可以将更新的信息发送到客户端设备，以支持实时显示。 客户端不会轮询此未经请求的流量，但必须能够接收流量。

WGBank 后端服务器可以从 WGBank 前端服务器接收 SQL 查询请求。 WGBank 前端服务器可以接收相应的响应。

客户端设备与 WGBank 后端设备之间没有直接通信。

没有从 WGBank 后端设备发往 WGBank 前端服务器的未经请求的流量。

公司策略禁止使用对等文件传输软件。 IT 员工最近的一项审查发现，尽管外围防火墙确实阻止了此类别中的大多数程序正常工作，但不需要外部服务器的员工正在使用两个程序。 防火墙规则必须阻止这些程序创建的网络流量。

WGBank 合作伙伴服务器可以通过 Internet 接收来自合作伙伴设备的入站请求。

其他交通说明：

设备不会从上面允许的任何计算机接收任何未经请求的流量。

允许来自本示例中未标识的客户端设备的其他出站网络流量。

Woodgrove Bank 使用 Active Directory 组和组策略对象将防火墙设置和规则部署到其网络上的设备。 他们知道必须将策略部署到以下设备集合：

运行 Windows 11、Windows 10、Windows 8 或 Windows 7 的客户端设备

运行 Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 或 Windows Server 2008 R2 (的 WGBank 前端服务器尚未到位，但其解决方案必须支持添加它们)

运行 Windows Server 2008 的 WGBank 合作伙伴服务器

运行 Windows Server 2008 (的 WGBank 后端SQL Server设备尚未到位，但其解决方案必须支持添加它们)

运行 Windows Server 2008 的基础结构服务器

运行 Windows Server 2008 R2 或 Windows Server 2012 的 Active Directory 域控制器

运行 UNIX 操作系统的 DHCP 服务器

Woodgrove Bank 网络管理员评估了这些设备集，并将其与 Active Directory 组织单位 (OU) 结构进行比较后，他们确定 OU 和集之间没有良好的一对一匹配。 因此，防火墙 GPO 不会直接链接到包含相关设备的 OU。 相反，GPO 链接到 Active Directory 中的域容器，然后将 WMI 和组筛选器附加到 GPO，以确保将其应用于正确的设备。

按此处所述设置组可确保在将计算机分配给组之前无需知道计算机正在运行的操作系统。 WMI 筛选器和安全组筛选器的组合用于确保组成员接收适用于该计算机上运行的 Windows 版本的 GPO。 对于某些组，你可能有四个甚至五个 GPO。

以下组是使用 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 管理单元创建的，并且所有运行 Windows 的设备都已添加到正确的组中：

CG_FIREWALL_ALLCOMPUTERS。 将预定义和系统托管 的域计算机 组添加为此组的成员。 FIREWALL_ALLCOMPUTERS组的所有成员都会收到特定于操作系统的 GPO，该 GPO 将通用防火墙规则应用于所有设备。

客户端和服务器) 两种设备类型 (使用 WMI 筛选器进行区分，以确保仅适用于运行客户端版本 Windows 的设备的策略可以应用于该计算机。 服务器 GPO 上的类似 WMI 筛选器可确保只有运行 Windows 服务器版本的设备才能应用该 GPO。 每个 GPO 还具有安全组筛选器，以防止组成员FIREWALL_NO_DEFAULT接收这两个 GPO 中的任何一个。

客户端设备接收一个 GPO，该 GPO 将Windows Defender防火墙配置为强制实施默认Windows Defender防火墙行为， (允许出站、阻止未经请求的入站) 。 客户端默认 GPO 还包括内置防火墙规则组核心网络和文件和打印机共享。 为所有配置文件启用核心网络组，而“文件和打印机共享”组仅对“域”和“专用”配置文件启用。 GPO 还包括允许 WGBank 前端服务器仪表板更新流量的入站防火墙规则，以及阻止公司禁止的程序发送或接收入站和出站网络流量的规则。

服务器设备接收一个 GPO，其中包含与客户端计算机 GPO 类似的防火墙配置。 主要区别在于，所有配置文件都启用了规则 (而不仅仅是域和专用) 。 此外，不包括 WGBank 仪表板更新的规则，因为服务器设备上不需要该规则。

所有规则的范围都限定为仅允许来自 Woodgrove Bank 公司网络上的设备的网络流量。

CG_FIREWALL_NO_DEFAULT。 此组的成员不会收到默认防火墙 GPO。 如果设备需要从默认防火墙行为中免除，则会将其添加到此组。 使用组来表示异常而不是直接表示组成员，可以更轻松地支持客户端计算机填充的动态性质。 加入域的新计算机会自动获得相应的默认防火墙 GPO，除非它是此组的成员。

CG_FIREWALL_WGB_FE。 此组包含所有 WGBank 前端服务器设备的计算机帐户。 此组的成员会收到一个 GPO，该 GPO 将Windows Defender防火墙配置为允许未经请求的 WGBank 客户端流量的入站防火墙规则。 此组中的设备还接收默认防火墙 GPO。

CG_FIREWALL_WGB_SQL。 此组包含运行SQL Server的所有 WGBank 后端设备的计算机帐户。 此组的成员会收到一个 GPO，该 GPO 配置具有入站防火墙规则的Windows Defender防火墙，以允许SQL Server程序仅接收来自 WGBank 前端服务器的未经请求的查询。 此组中的设备还接收默认防火墙 GPO。

CG_FIREWALL_BOUNDARY_WGBANKFE。 此组包含托管可从 Internet 访问的 Web 服务的服务器的计算机帐户。 此组的成员接收添加入站防火墙规则的 GPO，以允许来自任何地址（包括 Internet）的入站 HTTP 和 HTTPS 网络流量。 此组中的设备还接收默认防火墙 GPO。

CG_FIREWALL_WINS。 此组包含所有 WINS 服务器设备的计算机帐户。 此组的成员会收到一个 GPO，该 GPO 使用入站防火墙规则配置Windows Defender防火墙，以允许来自 WINS 客户端的未经请求的入站请求。 此组中的设备还接收默认防火墙 GPO。

CG_FIREWALL_ADDC。 此组包含 Active Directory 域控制器服务器设备的所有计算机帐户。 此组的成员会收到一个 GPO，该 GPO 使用入站防火墙规则配置Windows Defender防火墙，以允许未经请求的 Active Directory 客户端和服务器到服务器流量。 此组中的设备还接收默认防火墙 GPO。

在你自己的设计中，为组织中需要不同或更多防火墙规则的每个计算机角色创建一个组。 例如，文件服务器和打印服务器需要更多规则来允许这些函数的传入网络流量。 如果通常在网络上的大多数设备上执行某个功能，则可以考虑将执行这些角色的设备添加到常见的默认防火墙 GPO 集，除非有安全原因将它包含在其中。

下一篇：域隔离策略设计示例