部署基本域隔离策略.docx

《部署基本域隔离策略.docx》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、部署基本域隔离策略更新时间2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista通过使用高级安全Windows防火墙，您可以创建用来指定必须通过IPSec的一个或多个功能保护流量的连接安全规则。在域隔离中，使用IPs

2、ec身份验证要求连接所涉及的每台域成员计算机正确建立其他计算机的标识。通过创建要求域成员进行身份验证的规则，可有效地将域成员计算机与不属于域的计算机隔离。域隔离环境中的计算机要求对入站连接进行身份验证。对于出站连接，通常使用该选项来请求而非要求IPsec保护。这样，计算机便可在与其他同样可以使用IPSec的计算机通信时保护流量，但在与无法使用IPSec的计算机通信时，将恢复使用纯文本。在WindowsXP和早期版本的Windows中，如果启用了恢复使用纯文本，则将在尝试使用IPsec三秒后使用纯文本。但是，某

3、些服务的响应超时时间小于三秒，这导致其失败。在以上早期版本的Windows中，这意味着必须创建（有时为大量的）出站豁免规则，以支持这些无法进行身份验证的服务器或服务。为解决此问题，Microsoft发布了WindowsServer2003和WindowsXP的简单策略更新。此更新会在受IPSec保护的客户端和未受IPSec保护的客户端之间的尝试延迟缩短到半秒。有关WindowsServer2003和WindowsXP的简单策略更新的详细信息，请参阅使用简单策略更新简化IPSec策略。较新版本的Windows进

4、一步改进了这一点，不再需要更新。当在WindowsVista和较新版本的Windows中使用请求模式时，Windows同时发送两种连接尝试。如果远程主机使用IPSec响应，则将放弃非IPSec尝试。如果IPSec请求不生成响应，则非IPSec尝试将继续。延迟缩短或消除后，解决了大多数程序的超时失败问题。但是，有时仍希望确保计算机不使用IPSec来尝试与网络上的某些主机通信。在这些情况下，可为客户端创建身份验证豁免规则，它们不再使用IPSec与豁免列表中的计算机通信。有关域隔离的详细信息，请参阅WindowsS

5、erver技术库中“服务器和域隔离简介和使用MicrosoftWindows的域隔离说明。创建连接安全规则以强制执行域隔离的步骤在此部分中，创建连接安全规则指定域中的计算机要求对入站网络流量进行身份验证并对出站流量请求身份验证。重要事项请记住，如果您已将默认的出站行为配置为阻止与出站允许规则不匹配的流量，则必须创建允许出站量的规则。IPsec网络流