Server2008用IPSEC與組策略實(shí)現(xiàn)服務(wù)器和域隔離(下)
上文介紹了Server2008用IPSEC與組策略實(shí)現(xiàn)服務(wù)器和域隔離(上),本文接著介紹Server2008用IPSEC與組策略實(shí)現(xiàn)服務(wù)器和域隔離的方法。
應(yīng)用的配置文件,即環(huán)境,按當(dāng)前環(huán)境,是在域內(nèi)。
命名為 request inbound outbound
第二步:應(yīng)用策略
把策略關(guān)聯(lián)到成員服務(wù)器和客戶端OU
驗(yàn)證:
先在member開(kāi)啟網(wǎng)絡(luò)發(fā)現(xiàn)。
域內(nèi)client 訪問(wèn),
在membersrv上,通過(guò)高級(jí)安全windows防火墻中的監(jiān)示可看到
策略被應(yīng)用,且訪問(wèn)是基于IPSEC通信的:
而工作組的客戶端訪問(wèn),能訪問(wèn),但不是基于IPSEC的。一樣可通過(guò)高級(jí)安全windows防火墻中的監(jiān)示可得知。
接下來(lái),驗(yàn)證隔離實(shí)驗(yàn):
結(jié)果:Client 能跟Membersrv通信,訪問(wèn)共享,而工作組的機(jī)器不能訪問(wèn).實(shí)驗(yàn)隔離效果。
步驟如下:
第一,先創(chuàng)建例外策略,保證Client 能跟Membersrv通信之外,還要能跟DC通信。
在DC上編輯domain isolation策略。
為DC新建例外策略
指定例外機(jī)器
指定配置文件,為域
命名
第二步:修改原有策略,定義身份驗(yàn)證為要求入站和出站。那么不能通過(guò)身份驗(yàn)證的客戶端不能訪問(wèn)。
驗(yàn)證:
客戶端和membersrv刷新策略,使用gpupdate /force .
client 訪問(wèn)文件服務(wù)器
membersrv上觀察IPSEC可知,現(xiàn)時(shí)策略已被應(yīng)用,而使用IPSEC通信:
工作組機(jī)器不能訪問(wèn)。
這樣就實(shí)現(xiàn)了隔離,但又不影響域內(nèi)通信,現(xiàn)時(shí)client和membersrv跟DC所有通信正常。
以上只實(shí)現(xiàn)了通過(guò)身份驗(yàn)證,邏輯地隔離了網(wǎng)絡(luò),但沒(méi)實(shí)現(xiàn)加密。
在membersrv上安裝網(wǎng)絡(luò)監(jiān)示器。網(wǎng)絡(luò)監(jiān)示器3.2(03自帶,08要到微軟單獨(dú)下載安裝),
監(jiān)示得知,數(shù)據(jù)沒(méi)經(jīng)過(guò)加密:
客戶端訪問(wèn):
membersrv抓包結(jié)果,可知,數(shù)據(jù) 沒(méi)經(jīng)加密
目的:實(shí)現(xiàn)加密數(shù)據(jù)通信
在DC上,打開(kāi)組策略管理,找到domain isolation,直接修改策略。
刷新策略,客戶端再次訪問(wèn)驗(yàn)證。
在 membersrv上抓包結(jié)果:
實(shí)驗(yàn)完成,以上目的就在server2008域環(huán)境下,測(cè)試IPSEC服務(wù)器和域的邏輯隔離,同時(shí)實(shí)現(xiàn)加密。
希望Server2008用IPSEC與組策略實(shí)現(xiàn)服務(wù)器和域隔離的方法能夠?qū)ψx者有所幫助。
【編輯推薦】
