IPSec为你的局域网建起安全防线
Myhat公司最近内部文件遭到丢失,原因是因为有客户电脑有接入公司内网,可能由于客户电脑中了病毒或是客户有接触到部分用户的共享资源夹,造成X部门的X同事的重要资料丢失.
对此,公司在进行了必要的处分之后,网络管理员便开始着手解决这个问题:
1.如何控制客户接入公司网络?
2.即使真有必要接入,怎么处理?
其实关于这个问题,博主认为使用IPSEC便可以解决!是啊,有朋友说我们可以重新设定资源夹的访问权限啊,没错,可我们难不保这个客户是一个电脑高手呢?或是拥有专门的***工具呢?或许它的计算机感染了病毒,是病毒把文件给清掉的?你将如何解决?
博主认为使用IPSEC,我们可以建立起一道属于我们自己的隔离防线!通过对IPSEC的批理部署,让新增加的计算机无法访问我们的内网计算机.当然,有关这些,是通过控制相关的端口来实现的!
好的.现在我们一起来看看这个拓补图吧!
很简单很常见的拓补!
在这里我讲一下我的部署思路:
1.给客户端建立一条IPSEC组策略,让用户在访问139/445/3389这些端口时,使用IPSEC的共享密钥/证书来实现!(在这里我们以共享密钥为例)
2.在域控制器上建立一条IPSEC组策略.内容跟客户端的一样.
在这里,博主有一点要告诉大家:那就是为什么这条策略要分两条来建立.因为445端口是客户端计算机在登入时需要的,如果统一用一条策略来实现的话,极有可以造成所有用户不能正常登入域哟!
操作步骤:
1.先给客户端计算机建立一条[IPsec加密]组策略
2.开始编辑这条组策略,并建立一条[客户端安全策略]
设定策略名称
激活响应规则
添加共享密钥
完成了策略的新建,但需要对其属性加以编辑
在这里我们要添加一个IP安全规则
现在我们来添加一个IP安全规则
有关隧道,只有我们使用×××时才能使用的到哟
网络类型就选择本地网络吧.
我们还需要对规则中的默认筛选器进行编辑.
默认的筛选器是针对所有IP的,这显然不大符合实际中的需求,新增几个吧
不管源地址,因为不是针对特定的IP
目标地址可就要选好了哟....在这里我选我们使用的网段.
当然是TCP协议了!
端口号,我这里就以3389为例吧
完成这个筛选器.
后面的,有关135/445/389/2289都按那样做就行了...
在筛选器操作这里,我们要选择需要安全.不然的话,没有加密的客户端也是通行的.
身份认证还是用共享密钥
终于完成了安全规则....
现在我们需要对这个策略进行指派!
在客户端设置OK之后,让其重启计算机,并更新一下活动目录上的组策略.现在我们打开[默认域控制器安全设置],找到Secure Server指派它!
打开它的属性,我们会发现原来之前建立的筛选器都在里面..太棒了..
现在我们来使用一台新增的机器来测一下!(默认情况下,我们是允许其可以PING通我们内网的机器,以便做排错!
看看,外来机器不能访问了吧,因为它没有共享密钥啊!哈哈.....
远程桌面连接也是不行的....
看它能否加入域!这个过程有些缓慢,为什么呢?因为它是加密的,并且没有共享密钥
不得不说,哇,IPsec太棒了!
有博友可能就會問:OK你是擋住了別人,如果是公司自己需要訪問怎麼辦呢?
OK,其實操作很簡單,隻需要給客戶端部署一下共享密鑰就行了。
Myhat公司最近内部文件遭到丢失,原因是因为有客户电脑有接入公司内网,可能由于客户电脑中了病毒或是客户有接触到部分用户的共享资源夹,造成X部门的X同事的重要资料丢失.
对此,公司在进行了必要的处分之后,网络管理员便开始着手解决这个问题:
1.如何控制客户接入公司网络?
2.即使真有必要接入,怎么处理?
其实关于这个问题,博主认为使用IPSEC便可以解决!是啊,有朋友说我们可以重新设定资源夹的访问权限啊,没错,可我们难不保这个客户是一个电脑高手呢?或是拥有专门的***工具呢?或许它的计算机感染了病毒,是病毒把文件给清掉的?你将如何解决?
博主认为使用IPSEC,我们可以建立起一道属于我们自己的隔离防线!通过对IPSEC的批理部署,让新增加的计算机无法访问我们的内网计算机.当然,有关这些,是通过控制相关的端口来实现的!
好的.现在我们一起来看看这个拓补图吧!
很简单很常见的拓补!
在这里我讲一下我的部署思路:
1.给客户端建立一条IPSEC组策略,让用户在访问139/445/3389这些端口时,使用IPSEC的共享密钥/证书来实现!(在这里我们以共享密钥为例)
2.在域控制器上建立一条IPSEC组策略.内容跟客户端的一样.
通过对139/445/3389的加密设定,可以防止未授权的外来计算机:
1.病毒的传播
2.访问本地网络里的共享资源
3.防止其加入到域环境
當然如果你要封鎖更是可以的,但千萬不要把所有端口都加密,因為那樣客戶端登陸會很慢。
1.病毒的传播
2.访问本地网络里的共享资源
3.防止其加入到域环境
當然如果你要封鎖更是可以的,但千萬不要把所有端口都加密,因為那樣客戶端登陸會很慢。
在这里,博主有一点要告诉大家:那就是为什么这条策略要分两条来建立.因为445端口是客户端计算机在登入时需要的,如果统一用一条策略来实现的话,极有可以造成所有用户不能正常登入域哟!
操作步骤:
1.先给客户端计算机建立一条[IPsec加密]组策略
2.开始编辑这条组策略,并建立一条[客户端安全策略]
设定策略名称
激活响应规则
添加共享密钥
完成了策略的新建,但需要对其属性加以编辑
在这里我们要添加一个IP安全规则
现在我们来添加一个IP安全规则
有关隧道,只有我们使用×××时才能使用的到哟
网络类型就选择本地网络吧.
我们还需要对规则中的默认筛选器进行编辑.
默认的筛选器是针对所有IP的,这显然不大符合实际中的需求,新增几个吧
不管源地址,因为不是针对特定的IP
目标地址可就要选好了哟....在这里我选我们使用的网段.
当然是TCP协议了!
端口号,我这里就以3389为例吧
完成这个筛选器.
后面的,有关135/445/389/2289都按那样做就行了...
在筛选器操作这里,我们要选择需要安全.不然的话,没有加密的客户端也是通行的.
身份认证还是用共享密钥
终于完成了安全规则....
现在我们需要对这个策略进行指派!
在客户端设置OK之后,让其重启计算机,并更新一下活动目录上的组策略.现在我们打开[默认域控制器安全设置],找到Secure Server指派它!
打开它的属性,我们会发现原来之前建立的筛选器都在里面..太棒了..
现在我们来使用一台新增的机器来测一下!(默认情况下,我们是允许其可以PING通我们内网的机器,以便做排错!
看看,外来机器不能访问了吧,因为它没有共享密钥啊!哈哈.....
远程桌面连接也是不行的....
看它能否加入域!这个过程有些缓慢,为什么呢?因为它是加密的,并且没有共享密钥
不得不说,哇,IPsec太棒了!
有博友可能就會問:OK你是擋住了別人,如果是公司自己需要訪問怎麼辦呢?
OK,其實操作很簡單,隻需要給客戶端部署一下共享密鑰就行了。
转载于:https://blog.51cto.com/myhat/125979
412
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
