Server2008用IPSEC与组策略实现服务器和域隔离

《Server2008用IPSEC与组策略实现服务器和域隔离》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、Server2008用IPSEC与组策略实现服务器和域隔离　　服务器和域隔离　　在MicrosoftWindows的网络中，可以在逻辑上隔离服务器和域资源以限制对经过身份验证和授权的计算机的访问。　　例如，可以在现有物理网络内创建一个逻辑网络，在该网络中计算机共享一组常用的安全通信要求。在此逻辑隔离的网络中的每台计算机必须向隔离网络中的其他计算机提供身份验证凭据才能建立连接。　　这种隔离可以防止未经授权的计算机和程序以不正确的方式获取对资源的访问权限。忽略不属于隔离网络的计算机请求。服务器和域隔离可以帮

2、助保护特定高价值的服务器和数据，以及保护托管计算机防止计算机和用户未经管理或受到欺骗。　　可以使用以下两种隔离来保护网络：　　•服务器隔离。在服务器隔离方案中，特定服务器配置为需要IPSec策略才能接受来自其他计算机的经过身份验证的通信。例如，可以配置数据库服务器只接受来自Web应用程序服务器的连接。　　•域隔离。若要隔离域，请使用ActiveDirectory域成员身份确保是域成员的计算机只接受来自域成员的其他计算机的经过身份验证且安全的通信。隔离网络仅由属于域的计算机组成。域隔离使用IPSec策略为

3、域成员(包括所有客户端和服务器计算机)之间发送的流量提供保护。　　简单来理解，IPSEC的好处，用于隔离和加密数据。　　以下环境属于使用IPSEC实现逻辑网络的隔离，为了更好地理解，进行以下实验。　　目的：测试域环境下的网络的逻辑隔离和加密。　　环境：　　1台DC，1台成员服务器(如做telnet服务器，文件服务器)，1台加入域的客户端，1台工作组的客户端。　　　　DC环境：　　把成员服务器、客户端加入域。创建相应OU放置　　member环境：　　创建共享，用于验证　　domainclient环境：　　

4、工作组计算机：　　环境准备好之后，接下来，为了解IPSEC，执行以下操作，先通过能使用IPSEC通信的使用，不能使用IPSEC通信的也不阻止，看下如何实现。　　第一步：创建策略　　在DC上，打开组策略管理，对组策略对象上，创建策略，名domainisolation.　　编辑策略：　　新建隔离策略：　　为了解ipsec，先建立身份验证规则：可能时进行身份验证，但不要求，即身份验证不是必需的　　选择计算机kerberosv5验证，即域内可通过验证，工作组就不行了。　　应用的配置文件，即环境，按当前环境，是在

5、域内。　　命名为requestinboundoutbound　　第二步：应用策略　　把策略关联到成员服务器和客户端OU　　验证：　　先在member开启网络发现。　　域内client访问，　　在membersrv上，通过高级安全windows防火墙中的监示可看到　　策略被应用，且访问是基于IPSEC通信的：　　而工作组的客户端访问，能访问，但不是基于IPSEC的。一样可通过高级安全windows防火墙中的监示可得知。　　接下来，验证隔离实验：　　结果：Client能跟Membersrv通信，访问共享，而

6、工作组的机器不能访问.实验隔离效果。　　步骤如下：　　第一，先创建例外策略，保证Client能跟Membersrv通信之外，还要能跟DC通信。　　在DC上编辑domainisolation策略。　　为DC新建例外策略　　指定例外机器　　指定配置文件，为域　　命名　　第二步：修改原有策略，定义身份验证为要求入站和出站。那么不能通过身份验证的客户端不能访问。　　验证：　　客户端和membersrv刷新策略，使用gpupdate/force.　　client访问文件服务器　　membersrv上观察IPSEC

7、可知，现时策略已被应用，而使用IPSEC通信：　工作组机器不能访问。　　这样就实现了隔离，但又不影响域内通信，现时client和membersrv跟DC所有通信正常。　　以上只实现了通过身份验证，逻辑地隔离了网络，但没实现加密。　　在membersrv上安装网络监示器。网络监示器3.2(03自带，08要到微软单独下载安装)，监示得知，数据没经过加密：　　客户端访问：　　membersrv抓包结果，可知，数据没经加密　　目的：实现加密数据通信　　在DC上，打开组策略管理，找到domainisolation

8、,直接修改策略。　　刷新策略，客户端再次访问验证。　　在membersrv上抓包结果：　　实验完成，以上目的就在server2008域环境下，测试IPSEC服务器和域的逻辑隔离，同时实现加密。