本文档介绍了使用 IPsec 和组策略实施服务器与域隔离的解决方案,旨在增强网络安全性,防止不受信任的主机访问内部网络资源。通过逻辑隔离,组织能够减少病毒威胁,限制内部风险,并提高资源管理效率。本指南详细涵盖了项目背景、业务挑战、技术挑战、设计规划和实际部署,提供了一个代表性的实验室环境——Woodgrove Bank,作为实施案例。
在物理上隔离计算机和网络以保护数据或通信免遭破坏的做法已沿用了许多年。 物理隔离存在的问题是,不容易在硬物理边界背后对许多企业组织的信息技术 (IT) 基础结构进行保护。 移动客户端的广泛使用以及分布式网络环境的特性使得此类物理限制极不灵活,难以实施和运作。
服务器与域隔离使得有可能创建一个安全层来对计算机或网络间流动的网络通信流实现逻辑隔离。 如果攻击者设法获得对公司内部网络的物理访问权限并试图访问包含宝贵数据资产的服务器,服务器与域隔离就会阻止这种访问,这是因为攻击者使用的计算机并非受信任的公司设备,即使攻击者使用的是有效用户帐户和密码亦如此。
通过使用服务器与域隔离技术实现的逻辑隔离方法,就可以开发灵活、可伸缩并且易于管理的隔离解决方案,这种方案能够提供安全隔离并且不象物理边界那样需要成本和缺乏灵活性。
本页内容
 |
摘要 |
|
本指南的目标读者 |
|
业务挑战 |
|
组建项目小组 |
|
指南概述 |
|
方案概述 |
|
总结 |
摘要
Microsoft 认识到大型组织机构在加强其网络周边安全方面面临着日益严峻的挑战。 随着组织机构的成长和业务关系的变更,控制对网络的物理访问越来越难以实现。 每天,客户、供应商和顾问们出于正当的业务原因将移动设备连接至您的网络。 随着无线网络以及诸如通用分组无线业务 (GPRS) 和蓝牙之类的无线连接技术的出现,网络访问比以前任何时候都更为容易。 连接的增多意味着内部网络域成员需要承受来自内部网络中其他计算机的越来越大的安全风险,并且也影响到了周边环境的安全。 当客户端连接至 Internet 时,虽然基于个人或主机的防火墙可以保护其安全,但这些防火墙并不很适合于保护内部服务器和客户端。
服务器与域隔离具有许多业务上的优势。 最重要的是,服务器与域隔离提供了网络安全层,这个网络安全层可以显著降低不受信任的主机访问组织内部网络中受信任域成员的威胁。 在抵御病毒传播、内部黑客、雇员误用技术资产以及信息盗窃方面,服务器与域隔离可以是一项重要的策略。 此外,服务器与域隔离可用来要求所有想要访问受信任资源(客户端或服务器)的客户端具备域成员身份,从而使 IT 专业人员可以更好地管理这些资源。 此外,还可以将服务器与域隔离用作主策略或附加策略,从而满足网络通信流数据的数据保密或其他保护要求,而不必修改现有的 Microsoft® Windows® 应用程序,也不必在网络中部署虚拟专用网络 (VPN) 隧道硬件。
服务器与域隔离的核心是,它允许 IT 管理员限制作为受信任计算机的域成员的 TCP/IP 通信。 这些受信任的计算机可以被配置为仅允许来自其他受信任计算机或者特定一组受信任计算机的传入连接。 通过使用 Active Directory® 组策略来控制网络登录权限,可集中管理访问控制。 几乎所有 TCP/IP 网络连接都能够受保护,而不必更改应用程序,这是因为 Internet 协议安全 (IPSec) 在应用层之下的网络层工作,它在计算机之间以端到端方式提供身份验证功能以及逐个数据包的顶级安全性。 在各种可自定义的方案中,可以对网络通信流进行身份验证或者进行身份验证并加密。 组策略和 IPsec 配置是在 Active Directory 中集中管理的。
本指南阐述的逻辑隔离概念包含两个解决方案:域隔离方案用于将域成员与不受信任的连接隔离,服务器隔离方案确保服务器仅接受来自受信任的域成员或特定一组域成员的网络连接。 这两个解决方案可作为整体逻辑隔离解决方案的一部分单独使用或配合使用。
本指南提供的经过测试的解决方案要求如下最低平台配置:
| • | Windows 2000 Service Pac |
最低0.47元/天 解锁文章
扫一扫
3450
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
