IPSec爲你的局域網建起一道安全防線(轉)

[url]http://lovesu.blog.51cto.com/391263/125979[/url]

 

IPSec爲你的局域網建起安全防線
Myhat公司最近內部文件遭到丟失,原因是因爲有客戶電腦有接入公司內網,可能由於客戶電腦中了病毒或是客戶有接觸到部分用戶的共享資源夾,造成X部門的X同事的重要資料丟失.
對此,公司在進行了必要的處分之後,網絡管理員便開始着手解決這個問題:
1.如何控制客戶接入公司網絡?
2.即使真有必要接入,怎麼處理?

其實關於這個問題,博主認爲使用IPSEC便可以解決!是啊,有朋友說我們可以重新設定資源夾的訪問權限啊,沒錯,可我們難不保這個客戶是一個電腦高手呢?或是擁有專門的***工具呢?或許它的計算機感染了病毒,是病毒把文件給清掉的?你將如何解決?
博主認爲使用IPSEC,我們可以建立起一道屬於我們自己的隔離防線!通過對IPSEC的批理部署,讓新增加的計算機無法訪問我們的內網計算機.當然,有關這些,是通過控制相關的端口來實現的!
好的.現在我們一起來看看這個拓補圖吧!


很簡單很常見的拓補!
在這裏我講一下我的部署思路:
1.給客戶端建立一條IPSEC組策略,讓用戶在訪問139/445/3389這些端口時,使用IPSEC的共享密鑰/證書來實現!(在這裏我們以共享密鑰爲例)
2.在域控制器上建立一條IPSEC組策略.內容跟客戶端的一樣.

通過對139/445/3389的加密設定,可以防止未授權的外來計算機:
1.病毒的傳播
2.訪問本地網絡裏的共享資源
3.防止其加入到域環境
當然如果你要封鎖更是可以的，但千萬不要把所有端口都加密，因為那樣客戶端登陸會很慢。

在這裏,博主有一點要告訴大家:那就是爲什麼這條策略要分兩條來建立.因爲445端口是客戶端計算機在登入時需要的,如果統一用一條策略來實現的話,極有可以造成所有用戶不能正常登入域喲!

操作步驟:
1.先給客戶端計算機建立一條[IPsec加密]組策略


2.開始編輯這條組策略,並建立一條[客戶端安全策略]

設定策略名稱


激活響應規則

添加共享密鑰

完成了策略的新建,但需要對其屬性加以編輯

在這裏我們要添加一個IP安全規則

現在我們來添加一個IP安全規則

有關隧道,只有我們使用***時才能使用的到喲

網絡類型就選擇本地網絡吧.

我們還需要對規則中的默認篩選器進行編輯.

默認的篩選器是針對所有IP的,這顯然不大符合實際中的需求,新增幾個吧

不管源地址,因爲不是針對特定的IP

目標地址可就要選好了喲....在這裏我選我們使用的網段.

當然是TCP協議了!

端口號,我這裏就以3389爲例吧

完成這個篩選器.

後面的,有關135/445/389/2289都按那樣做就行了...


在篩選器操作這裏,我們要選擇需要安全.不然的話,沒有加密的客戶端也是通行的.


身份認證還是用共享密鑰

終於完成了安全規則....

現在我們需要對這個策略進行指派!

在客戶端設置OK之後,讓其重啓計算機,並更新一下活動目錄上的組策略.現在我們打開[默認域控制器安全設置],找到Secure Server指派它!

打開它的屬性,我們會發現原來之前建立的篩選器都在裏面..太棒了..

現在我們來使用一臺新增的機器來測一下!(默認情況下,我們是允許其可以PING通我們內網的機器,以便做排錯!

看看,外來機器不能訪問了吧,因爲它沒有共享密鑰啊!哈哈.....

遠程桌面連接也是不行的....

看它能否加入域!這個過程有些緩慢,爲什麼呢?因爲它是加密的,並且沒有共享密鑰


不得不說,哇,IPsec太棒了!

有博友可能就會問：OK你是擋住了別人，如果是公司自己需要訪問怎麼辦呢？
OK，其實操作很簡單，隻需要給客戶端部署一下共享密鑰就行了。