用域ipsec策略禁止非域计算机访问网络 公司必用
1815 点击·0 回帖
灯火互联
楼主
 |  | |
 | 实现方法: 1.公司的电脑根据mac地址在DHCP服务器自动获取固定ip,dns指向公司的dns服务器,dns服务器可以转发dns查询。 2.dns服务器和域服务器在同一台服务器。 3.公司有一台应用级别的防火墙,添加策略只有dns服务器才能访问internet的dns的udp 53端口。 4.用ip安全策略实现只有入域计算机才能访问dns服务器的udp53端口。 域ipsec策略配置: 1.服务器端的配置: 本案例的dns服务器和域服务器是同一服务器,不用新建服务器ou和新建gpo,直接编辑Default Domain Controllers Policy。 1)先建立ip筛选列表,相当于acl。可以建立多个acl。例如:任何ip 到 我的ip 的udp53端口。后面的连接类型选局域网。 2) 建立管理筛选器列表操作。这一点重要,要建立 协商安全、其他保持默认。加密选完整性和加密。这个筛选器保证入域计算机才能获取ipsec策略执行,和服务器协商通信,没入域计算机不能协商通信,也就访问不了服务器。 还可以建立允许和阻止操作。 3)根据上面的结果,建立新德ip安全策略,在ip安全策略里面可以添加多个,例如领导不受控制的ip允许策略,还有黑名单的ip阻止策略。不要选激活默认的规则。并指派。 2.客户端配置: 1)新建客户端ou,把要访问的域计算机加进出,不加的同样无法访问服务器。在这个ou新建gpo。 2)同服务器端一样,建立ip筛选列表,这次可以指定服务器ip。如:我的 ip 到 固定 ip 53 端口。 3)选择服务器端一样的筛选器列表。并指派。 3.完成后,gpupdate /force 4.在服务器,客户端 用 gpresult 查看域计算机执行的策略。 5.排错: 1)计算机没有执行域的ipsec策略: 我实际中的解决:再建多一个ou,把计算机放进去,新建gpo,看看。可以了再放回来。 2)计算机加入域后又退域: 用oldcmp查找 6.破解限制的方法: 破坏总比建设容易,我想了几条方法。这里就不写了,免得被公司人看见。领导规定,我也没办法。 作者“闻风起舞” | |
 |  |