公司需求

1、公司用户全部使用3389登录到一台服务器上上网

2、为了安全,只能把网上的东西copy到本地,禁止内部的东西传到外网

-----------------------------------------

需要做的工作

1、远程桌面配置,关闭剪切板映射、磁盘映射(防止截图、复制内容到上网机

2、服务器上共享文件夹,仅只读权限(用户在本地电脑访问服务器共享,取回上网下载的资料,无法将自己电脑的资料放进共享

3、用IPSec开启共享文件夹和远程桌面需使用的端口,其他端口对内网完全关闭(防止用户在上网机上架设代理服务器使自己电脑上网

==========================================

 

2点简单就不介绍了,下面来介绍IPSec配置遇到的问题

 

环境:AD域环境

服务器:192.168.3.21

客户端A:192.168.8.2(XP)

客户端B:192.168.8.3(XP)

客户端C:192.168.8.4(win7)

----------------------------------

服务器配置IPSec策略如下:

一、允许(如图)

1、允许本机访问域控制器所有端口

2、允许192.168.0.0/16访问本机135、139、445、3389端口

二、拒绝(如图)

1、拒绝本机IP访问192.168.0.0/16所有端口

----------------------------------

异常介绍

1、客户端A,无法访问服务器共享,提示(如图) 

2、客户端B,可以访问服务器共享

3、客户端C,可以访问服务器共享

----------------------------------

《测试过程》

测试一

1、将IPSec策略关闭

2、客户端A,可以访问服务器共享

3、开启IPSec策略

4、客户端A,无法访问服务器共享

5、客户端B、C,可以访问服务器共享

测试二

1、将IPSec策略关闭

2、客户端A,可以访问服务器共享

3、不关闭客户端A打开的共享文件夹,开启IPSec策略

4、客户端A,任然可以访问服务器共享,但是首次点击共享文件夹稍慢,之后正常

5、客户端B、C,可以访问服务器共享

《测试结论》

1、与服务器共享连接中的客户端,不受IPSec限制影响

2、重新与服务器建立共享连接,无法连接

3、win7不存在此现象,部分XP存在此现象

疑问:

是否与服务器共享连接时,会用到其他端口(如身份验证?)

 

 

==========================================

问题解决测试

 

测试一

IPSec的阻止策略由原来的所有协议、改成TCP协议,端口任意,意思是只阻止除去1354453389139TCP所有其他端口访问服务器,这样来测试是否能访问

结果:XP访问成功

结论:XP在访问共享时,可能先使用了一个UDP的连接,连接成功后再TCP139通讯

 

测试二

既然已经知道还有用除去TCP以外的协议访问,我也没有什么好办法测试,因为配置这个IP筛选器只能是指定端口,不能定义一个范围,所以我只能一个一个端口测试,我先打开所有有可能的UDP端口,我尝试开启135137138139445UDP端口,最后一个一个删除,发现,只需要开启137UDP即可。

 

从此,奇怪的问题解决了,有人说可以不需要开启445端口,我也测试过,将445端口关闭,也成功了,不过我建议还是开启445端口比较好,原因如下

1、域环境访问共享的默认端口是445.如果失败,就使用139端口访问,这样减慢了共享的访问速度

2、对于安全来说,也没有什么优势,即使开启445端口,用户也不可能使用445来开代理,因为系统已占用这个端口

 

我们公司访问共享、远程桌面,都是使用IP来访问的,所以135137138TCP端口我也关闭了,因为用不上,你懂的!