Server2008用IPSEC与组策略实现服务器和域隔离

服务器, 跟贴 服务器和域隔离
在Microsoft Windows 的网络中，可以在逻辑上隔离服务器和域资源以限制对经过身份验证和授权的计算机的访问。
例如，可以在现有物理网络内创建一个逻辑网络，在该网络中计算机共享一组常用的安全通信要求。在此逻辑隔离的网络中的每台计算机必须向隔离网络中的其他计算机提供身份验证凭据才能建立连接。
这种隔离可以防止未经授权的计算机和程序以不正确的方式获取对资源的访问权限。忽略不属于隔离网络的计算机请求。服务器和域隔离可以帮助保护特定高价值的服务器和数据，以及保护托管计算机防止计算机和用户未经管理或受到欺骗。
可以使用以下两种隔离来保护网络：
•服务器隔离。在服务器隔离方案中，特定服务器配置为需要 IPSec 策略才能接受来自其他计算机的经过身份验证的通信。例如，可以配置数据库服务器只接受来自 Web 应用程序服务器的连接。
•域隔离。若要隔离域，请使用 Active Directory 域成员身份确保是域成员的计算机只接受来自域成员的其他计算机的经过身份验证且安全的通信。隔离网络仅由属于域的计算机组成。域隔离使用 IPSec 策略为域成员（包括所有客户端和服务器计算机）之间发送的流量提供保护。
简单来理解，IPSEC的好处，用于隔离和加密数据。
以下环境属于使用IPSEC实现逻辑网络的隔离，为了更好地理解，进行以下实验。

1

评分人数

• yansy: 很麻烦的一个实验，终于做出来了。技术积分 + 5

本主题由 lianggj 于 2009-8-13 21:11 加入精华 收藏 分享 0

• 0
• 0

• 顶
• 踩

回复 引用

报告 使用道具

• 发短消息
• MSN 聊天
• 加为好友

lianggj

UID

20 

帖子

10991 

主题

4 

精华

109 

积分

238 

阅读权限

200 

性别

男 

在线时间

3029 小时 

注册时间

2005-11-30 

最后登录

2010-1-14 

管理员

技术积分

229  

论坛资产

10180 wb 

其他积分

9  

2楼 lianggj 发表于 2009-8-11 19:17 | 只看该作者 目的：测试域环境下的网络的逻辑隔离和加密。
环境：
1台DC，1台成员服务器（如做telnet服务器，文件服务器），1台加入域的客户端，1台工作组的客户端。

1.jpg (28.1 KB)

下载次数:3

2009-8-11 19:17

 

回复 引用

报告 使用道具 TOP

• 发短消息
• MSN 聊天
• 加为好友

lianggj

UID

20 

帖子

10991 

主题

4 

精华

109 

积分

238 

阅读权限

200 

性别

男 

在线时间

3029 小时 

注册时间

2005-11-30 

最后登录

2010-1-14 

管理员

技术积分

229  

论坛资产

10180 wb 

其他积分

9  

3楼 lianggj 发表于 2009-8-11 19:54 | 只看该作者 DC环境：

把成员服务器、客户端加入域。创建相应OU放置

回复 引用

报告 使用道具 TOP

• 发短消息
• MSN 聊天
• 加为好友

lianggj

UID

20 

帖子

10991 

主题

4 

精华

109 

积分

238 

阅读权限

200 

性别

男 

在线时间

3029 小时 

注册时间

2005-11-30 

最后登录

2010-1-14 

管理员

技术积分

229  

论坛资产

10180 wb 

其他积分

9  

4楼 lianggj 发表于 2009-8-11 19:56 | 只看该作者 member环境：

创建共享，用于验证

回复 引用

报告 使用道具 TOP

• 发短消息
• MSN 聊天
• 加为好友

lianggj

UID

20 

帖子

10991 

主题

4 

精华

109 

积分

238 

阅读权限

200 

性别

男 

在线时间

3029 小时 

注册时间

2005-11-30 

最后登录

2010-1-14 

管理员

技术积分

229  

论坛资产

10180 wb 

其他积分

9  

5楼 lianggj 发表于 2009-8-11 19:56 | 只看该作者 domain client 环境：

8.jpg (37.99 KB)

下载次数:1

2009-8-11 19:56

 

回复 引用

报告 使用道具 TOP

• 发短消息
• MSN 聊天
• 加为好友

lianggj

UID

20 

帖子

10991 

主题

4 

精华

109 

积分

238 

阅读权限

200 

性别

男 

在线时间

3029 小时 

注册时间

2005-11-30 

最后登录

2010-1-14 

管理员

技术积分

229  

论坛资产

10180 wb 

其他积分

9  

6楼 lianggj 发表于 2009-8-11 19:57 | 只看该作者 工作组计算机：

9.jpg (35.36 KB)

下载次数:1

2009-8-11 19:57

 

回复 引用

报告 使用道具 TOP

• 发短消息
• MSN 聊天
• 加为好友

lianggj

UID

20 

帖子

10991 

主题

4 

精华

109 

积分

238 

阅读权限

200 

性别

男 

在线时间

3029 小时 

注册时间

2005-11-30 

最后登录

2010-1-14 

管理员

技术积分

229  

论坛资产

10180 wb 

其他积分

9  

7楼 lianggj 发表于 2009-8-11 20:12 | 只看该作者 环境准备好之后，接下来，为了解IPSEC，执行以下操作，先通过能使用IPSEC通信的使用，不能使用IPSEC通信的也不阻止，看下如何实现。
第一步：创建策略
在DC上，打开组策略管理，对组策略对象上，创建策略，名domain isolation.

编辑策略：

新建隔离策略：

为了解ipsec，先建立身份验证规则：可能时进行身份验证，但不要求，即身份验证不是必需的

选择计算机kerberos v5验证，即域内可通过验证，工作组就不行了。

应用的配置文件，即环境，按当前环境，是在域内。

命名为 request inbound outbound
回复 引用

报告 使用道具 TOP

• 发短消息
• MSN 聊天
• 加为好友

lianggj

UID

20 

帖子

10991 

主题

4 

精华

109 

积分

238 

阅读权限

200 

性别

男 

在线时间

3029 小时 

注册时间

2005-11-30 

最后登录

2010-1-14 

管理员

技术积分

229  

论坛资产

10180 wb 

其他积分

9  

8楼 lianggj 发表于 2009-8-11 20:16 | 只看该作者 第二步：应用策略
把策略关联到成员服务器和客户端OU

17.jpg (31.69 KB)

下载次数:1

2009-8-11 20:16

 

回复 引用

报告 使用道具 TOP

• 发短消息
• MSN 聊天
• 加为好友

lianggj

UID

20 

帖子

10991 

主题

4 

精华

109 

积分

238 

阅读权限

200 

性别

男 

在线时间

3029 小时 

注册时间

2005-11-30 

最后登录

2010-1-14 

管理员

技术积分

229  

论坛资产

10180 wb 

其他积分

9  

9楼 lianggj 发表于 2009-8-11 20:29 | 只看该作者 验证：
先在member开启网络发现。

域内client 访问，


在membersrv上，通过高级安全windows防火墙中的监示可看到
策略被应用，且访问是基于IPSEC通信的：


而工作组的客户端访问，能访问，但不是基于IPSEC的。一样可通过高级安全windows防火墙中的监示可得知。 回复 引用

报告 使用道具 TOP

• 发短消息
• MSN 聊天
• 加为好友

lianggj

UID

20 

帖子

10991 

主题

4 

精华

109 

积分

238 

阅读权限

200 

性别

男 

在线时间

3029 小时 

注册时间

2005-11-30 

最后登录

2010-1-14 

管理员

技术积分

229  

论坛资产

10180 wb 

其他积分

9  

10楼 lianggj 发表于 2009-8-11 20:41 | 只看该作者 接下来，验证隔离实验：
结果：Client 能跟Membersrv通信，访问共享，而工作组的机器不能访问.实验隔离效果。
步骤如下：
第一，先创建例外策略，保证Client 能跟Membersrv通信之外，还要能跟DC通信。
在DC上编辑domain isolation策略。

为DC新建例外策略

指定例外机器

指定配置文件，为域

命名