用域ipsec策略禁止非域计算机访问网络公司必用

楼主^#

更多发布于：2011-10-03 12:48

[] 1


	实现方法： 1.公司的电脑根据mac地址在DHCP服务器自动获取固定ip，dns指向公司的dns服务器，dns服务器可以转发dns查询。 2.dns服务器和域服务器在同一台服务器。 3.公司有一台应用级别的防火墙，添加策略只有dns服务器才能访问internet的dns的udp 53端口。 4.用ip安全策略实现只有入域计算机才能访问dns服务器的udp53端口。域ipsec策略配置： 1.服务器端的配置：本案例的dns服务器和域服务器是同一服务器，不用新建服务器ou和新建gpo，直接编辑Default Domain Controllers Policy。 1）先建立ip筛选列表，相当于acl。可以建立多个acl。例如:任何ip 到我的ip 的udp53端口。后面的连接类型选局域网。 2) 建立管理筛选器列表操作。这一点重要，要建立协商安全、其他保持默认。加密选完整性和加密。这个筛选器保证入域计算机才能获取ipsec策略执行，和服务器协商通信，没入域计算机不能协商通信，也就访问不了服务器。还可以建立允许和阻止操作。 3）根据上面的结果，建立新德ip安全策略，在ip安全策略里面可以添加多个，例如领导不受控制的ip允许策略，还有黑名单的ip阻止策略。不要选激活默认的规则。并指派。 2.客户端配置： 1）新建客户端ou，把要访问的域计算机加进出，不加的同样无法访问服务器。在这个ou新建gpo。 2）同服务器端一样，建立ip筛选列表，这次可以指定服务器ip。如：我的 ip 到固定 ip 53 端口。 3）选择服务器端一样的筛选器列表。并指派。 3.完成后，gpupdate /force 4.在服务器，客户端用 gpresult 查看域计算机执行的策略。 5.排错： 1）计算机没有执行域的ipsec策略：我实际中的解决：再建多一个ou，把计算机放进去，新建gpo，看看。可以了再放回来。 2）计算机加入域后又退域：用oldcmp查找 6.破解限制的方法：破坏总比建设容易，我想了几条方法。这里就不写了，免得被公司人看见。领导规定，我也没办法。作者“闻风起舞”