前几天搞了搞(虚拟专用网络),也搞了搞远程桌面限制IP。 现在需要结合起来使用,提高服务器安全性。 最终结果将是 所有服务器 仅允许 内网IP进行远程桌面, 服务器组内专有一台(虚拟专用网络)服务器可供连接,管理人员从公司连接好(虚拟专用网络)后,如同直接访问内网服务器那样访问业务服务器。
一。限制远程桌面IP
打开管理工具-->本地安全策略-->IP本地安全策略-->右键-->管理IP筛选器列表和筛选器操作,
a 创建两个 IP筛选器 [allow] 从 192.168.1.0/24 到 我的IP地址 端口3389
[deny] 从 任何IP 到 我的IP 端口3389
b 创建两个筛选器操作 [allow] 许可
[deny] 禁止
有了上面这两个筛选器 和 对应的操作 我们就可以创建安全策略了. IP本地安全策略-->右键-->创建IP安全策略
a 首先允许我们自己的内网IP 点击添加 选中 名字为[allow]的IP筛选器, 再选择 [allow]的筛选器操作, 由于这里的操作我选了“许可”,后面的验证方式不必选择。
b 然后禁止其它所有人的IP 点击添加 选中 名字为[deny]的IP筛选器, 再选择 [deny]的筛选器操作
现在我们禁止了所有的IP 进行远程桌面连接, 同时 又允许了自己的内网IP进行远程桌面。即只有内网IP可以进行远程桌面操作.
具体的图可以参考百度文库。
二。 建立(虚拟专用网络)服务器(Window2008)
打开管理工具-->服务器管理器-->角色-->右键-->添加角色-->网络策略和访问服务,
安装好后,右键进行自定义配置,选择(虚拟专用网络) NAT LAN路由启动服务.
完成后修改其属性-->安全-->验证方式仅留下MS-CHAP V2, 取消IPV6相关设置,并且指定好IP地址池,192.168.99.100-192.168.99.110.
在路由和远程访问-->IPv4-->NAT右键-->新增接口-->选择外网网卡-->公用接口连接到Internet(不选择 在此接口上启用NAT,因为我们这里不打算使用(虚拟专用网络)服务器的网络资源上网,而使用客户机自己的网络资源,见第三步第3条)
在路由和远程访问-->IPv4-->NAT右键-->新增接口-->选择内网网卡-->公用接口连接到Internet,并且勾上 在此接口上启用NAT,以便客户机可以通过(虚拟专用网络)服务器的内网访问其它服务器.(这个网卡的设置是试验出来的,内网的不选 在此接口上启用NAT,则不能访问其它服务器,转发原理不太明白)
建立一个专用的(虚拟专用网络)帐户,指定其属性-->拨入 为允许拨入.
具体的图可以参考ske_tech的文章
三。 客户端建立(虚拟专用网络)连接
控制面板-->网络和 Internet-->网络和共享中心 建立VPN连接 填入VPN服务器地址,以及刚才添加的VPN帐户,跳过验证阶段。
然后修改,(虚拟专用网络)连接属性-->安全-->仅允许MS-CHAP V2验证, VPN连接属性-->网络-->同样去掉IPV6
修改VPN连接属性-->网络-->IP V4属性-->高级-->取消"在远程网络上使用默认网关"(使得连上VPN后可以用本机访问互联网)
添加一路由信息,以管理员身份打开命令行窗口, 执行 route add 192.168.1.0/24 192.168.99.100
四。 连接(虚拟专用网络)测试
设置好以后, 打开远程桌面, 不连接(虚拟专用网络), 直接使用服务器外网IP连接不上, 直接连服务器内网IP也连不上.
连接(虚拟专用网络), 连接远程服务器的内网IP 192.168.1.3,可以连接上. 实现了我们根据(虚拟专用网络) IP限制服务器远程桌面的目标.
五。 存在问题
在限制远程连接IP时,若筛选器操作不选择"许可",而使用"协商安全",并且也指定好 身份验证方法 为 预共享字符串, 则在允许列表中的机器还是不能连接该服务器. 原因不明
在路由和远程访问-->IPv4-->NAT右键-->新增接口 下的NAT设置依然不太明白原理
在客户端建立好(虚拟专用网络)连接后,添加的路由在(虚拟专用网络)断开后会失效,再次连接上需要再添加. 使用route add -p也不行. 原因不明
由于时间比较仓促, 不足之处还望指正.
1074
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
