安全系列之五：使用IPSec和組策略實(shí)現(xiàn)網(wǎng)絡(luò)隔離（上）

知識(shí)藏園 2012-01-16

展開(kāi)全文

通過(guò)《如何利用IPSec(證書(shū))保證遠(yuǎn)程桌面的安全性！》，我們已經(jīng)知道IPSec的強(qiáng)大功能，其實(shí)我們也可以利用IPSec在域環(huán)境里結(jié)合組策略實(shí)現(xiàn)網(wǎng)絡(luò)隔離，今天我們就來(lái)探討這個(gè)問(wèn)題。

一、場(chǎng)景：

net.com公司使用域環(huán)境，公司內(nèi)部有幾個(gè)部門(mén)。要求如下：
1. 其中銷(xiāo)售部由于業(yè)務(wù)需要，要求該部門(mén)員工訪問(wèn)自己的服務(wù)器資源全部加密，并且該域內(nèi)的其它員工不可以訪問(wèn)。
2. 銷(xiāo)售部門(mén)的員工可以訪問(wèn)其它部門(mén)及DC資源。
3. 公司內(nèi)的所有筆記本電腦都未加入域，要求該部分電腦接入網(wǎng)絡(luò)后，不可訪問(wèn)銷(xiāo)售部門(mén)的資源，同時(shí)只可以使用域內(nèi)的DNS服務(wù)器。（域內(nèi)的DNS服務(wù)器和DC是一臺(tái)機(jī)器）

如下圖所示：

對(duì)于這個(gè)環(huán)境要求，實(shí)際是很多企業(yè)都有類(lèi)似的情況，本次只是一個(gè)案例，并非生產(chǎn)企業(yè)，各位可以在此基本上再結(jié)合自己企業(yè)的實(shí)現(xiàn)情況再深入制定更加有效的方案。

二、分析：

根據(jù)企業(yè)要求，我們可以采用多種方法實(shí)現(xiàn)這個(gè)隔離，大致可以考慮這么幾種：

1. 物理隔離：結(jié)合路由器和交換機(jī)來(lái)實(shí)現(xiàn)。但這種方式如果網(wǎng)絡(luò)有變更那么再次調(diào)整增加復(fù)雜性。

2. 邏輯隔離：

a. 利用組策略，結(jié)合安全組來(lái)實(shí)現(xiàn)，有很多局限性，且不可以完全實(shí)現(xiàn)上述要求。

b. 利用組策略結(jié)合IPSec來(lái)實(shí)現(xiàn)，可以完全實(shí)現(xiàn)上述要求，且優(yōu)點(diǎn)多多，變更起來(lái)也比較方便。

那么到底何為網(wǎng)絡(luò)隔離呢？

網(wǎng)絡(luò)隔離：能夠允許或拒絕不同計(jì)算機(jī)（它們之間具有直接的Internet協(xié)議連接）之間的某些類(lèi)型的網(wǎng)絡(luò)訪問(wèn)。

注：在這里只是限制的是計(jì)算機(jī)之間的訪問(wèn)，并沒(méi)有限制用戶(hù)的訪問(wèn)。而IPSec恰恰只可以限制計(jì)算機(jī)級(jí)別的訪問(wèn)，并不能實(shí)現(xiàn)用戶(hù)級(jí)別的訪問(wèn)限制。而上述所說(shuō)的結(jié)合安全組即可以對(duì)用戶(hù)也可以對(duì)計(jì)算機(jī)。但I(xiàn)PSec的優(yōu)點(diǎn)還在于它可以對(duì)訪問(wèn)過(guò)程加密，也可以在訪問(wèn)之前進(jìn)行身份驗(yàn)證。明白了這一點(diǎn)，各位就知道你的企業(yè)應(yīng)該用哪種方式了，還是兩者兼用。

三、實(shí)現(xiàn)過(guò)程：

今天我們來(lái)先來(lái)探討“利用組策略，結(jié)合安全組來(lái)實(shí)現(xiàn)”，當(dāng)然這種方式只能實(shí)現(xiàn)上述要求的部分。不再贅述。

（一）利用ADUC，構(gòu)造部門(mén)環(huán)境，建OU、組、用戶(hù)、移計(jì)算機(jī)等。

打開(kāi)我們的DC的dsa.msc（AD用戶(hù)和計(jì)算機(jī)管理工具），如下所示描述我們的當(dāng)前的環(huán)境如下：

把計(jì)算機(jī)也加入到組？有沒(méi)有搞錯(cuò)？下面我們就來(lái)演示一下如何把計(jì)算機(jī)加入到組：

1. 雙擊建好的Sail_G_comp組，如下圖所示：

2. 單擊“對(duì)象類(lèi)型”，如下所示：注意選項(xiàng)“計(jì)算機(jī)”

3. 在下圖中就可以添加計(jì)算機(jī)了，如示：

最后單擊“確定”完成此操作。

（二）為對(duì)應(yīng)的OU創(chuàng)建GPO，并編輯GPO。

在這里銷(xiāo)售部門(mén)的所有共享資源我們都放在了N2上，所以我們?cè)赟ails_Server OU上新建GPO，并編輯，如下圖所示：

單擊編輯后如下所示：

展開(kāi)如圖，雙擊：從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)，如下：

最后添加好后，單擊“確定”。完成服務(wù)器對(duì)應(yīng)的OU的GPO的設(shè)置。

回到N2上，利用GPupdate /force刷新并應(yīng)用組策略設(shè)置。

（三）驗(yàn)證：

我們分兩個(gè)驗(yàn)證場(chǎng)景：

1. 計(jì)算機(jī)驗(yàn)證：

我們利用DC即N1來(lái)訪問(wèn)一下N2，（注意：當(dāng)前登錄用戶(hù)不能是Sail_G_user組成員）在N1的開(kāi)始菜單---運(yùn)行輸入\\N2，出現(xiàn)如下信息：

我們?cè)阡N(xiāo)售部的客戶(hù)機(jī)client上訪問(wèn)N2，（注：當(dāng)前登錄這臺(tái)機(jī)器的成員必須是Sail_G_user組成員）如下所示：訪問(wèn)成功！

2. 用戶(hù)驗(yàn)證：

我們利用User1或User2不管在域內(nèi)的哪臺(tái)計(jì)算機(jī)上登錄，均可訪問(wèn)N2這臺(tái)計(jì)算機(jī)的資源。

但要注意：如果不是銷(xiāo)售部門(mén)的用戶(hù)在銷(xiāo)售部門(mén)的計(jì)算機(jī)登錄的話，也不能訪問(wèn)N2的資源。

看來(lái)計(jì)算機(jī)和用戶(hù)組均加入后，用戶(hù)更優(yōu)先。

（四）有關(guān)N2上共享資源的權(quán)限設(shè)置：

如下圖所示：安全權(quán)限，只是sail_G_user讀寫(xiě)，刪除users組。

而共享權(quán)限是everyone完全控制。

其實(shí)這是一種常規(guī)做法。

最后注意一點(diǎn)的是：如下所示：如果你也設(shè)置了“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”，恰恰和“允許從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”沖突的話，則拒絕優(yōu)先，希望各位注意！

好了，今天就講到這，下次我們會(huì)給各位正式講如何利用IPSec和組策略來(lái)完成網(wǎng)絡(luò)隔離操作。

本文出自 “千山島主之微軟技術(shù)空間站” 博客，轉(zhuǎn)載請(qǐng)與作者聯(lián)系！

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶(hù)發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買(mǎi)等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自：知識(shí)藏園 > 《遠(yuǎn)程桌面》

舉報(bào)/認(rèn)領(lǐng)