用域ipsec策略禁止非域計算機訪問網絡

實現方法:

1.公司的電腦根據mac地址在DHCP服務器自動獲取固定ip,dns指向公司的dns服務器,dns服務器可以轉發dns查詢。

2.dns服務器和域服務器在同一臺服務器。

3.公司有一臺應用級別的防火牆,添加策略只有dns服務器才能訪問internet的dns的udp 53端口。

4.用ip安全策略實現只有入域計算機才能訪問dns服務器的udp53端口。


域ipsec策略配置:

1.服務器端的配置:

本案例的dns服務器和域服務器是同一服務器,不用新建服務器ou和新建gpo,直接編輯Default Domain Controllers Policy。

1)先建立ip篩選列表,相當於acl。可以建立多個acl。例如:任何ip 到 我的ip 的udp53端口。後面的連接類型選局域網。

2) 建立管理篩選器列表操作。這一點重要,要建立 協商安全、其他保持默認。加密選完整性和加密。這個篩選器保證入域計算機才能獲取ipsec策略執行,和服務器協商通信,沒入域計算機不能協商通信,也就訪問不了服務器。
   還可以建立允許和阻止操作。

3)根據上面的結果,建立新德ip安全策略,在ip安全策略裏面可以添加多個,例如領導不受控制的ip允許策略,還有黑名單的ip阻止策略。不要選激活默認的規則。並指派。


2.客戶端配置:
1)新建客戶端ou,把要訪問的域計算機加進出,不加的同樣無法訪問服務器。在這個ou新建gpo。
2)同服務器端一樣,建立ip篩選列表,這次可以指定服務器ip。如:我的 ip 到 固定 ip 53 端口。
3)選擇服務器端一樣的篩選器列表。並指派。

3.完成後,gpupdate /force

4.在服務器,客戶端 用 gpresult 查看域計算機執行的策略。

5.排錯:
  1)計算機沒有執行域的ipsec策略:
    我實際中的解決:再建多一個ou,把計算機放進去,新建gpo,看看。可以了再放回來。
  2)計算機加入域後又退域:
    用oldcmp查找
6.破解限制的方法:
  破壞總比建設容易,我想了幾條方法。這裏就不寫了,免得被公司人看見。領導規定,我也沒辦法。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章