实施ipsec进行网络管理.docVIP

实施ipsec 进行网络管理 在AD中进行组策略配置 在计算机OU（网络管理\计算机）上，进行组策略配置 单击OU（网络管理\计算机）右键—属性---组策略—新建—编辑---计算机配置---windows设置---安全设置---ip安全策略---client (respond only) 策略指派---确定 在ISA Server OU上，进行组策略配置 单击ISA Server OU右键—属性---组策略—新建—编辑---计算机配置---windows设置---安全设置---ip安全策略--- IPsec on ISA 策略指派---属性---添加ip安全规则---下一步----下一步—所有网络连接，下一步—ip筛选器列表，添加---下一步---下一步---原地址：我的ip地址，下一步---目标地址：一个特定的ip子网(ip地址，子网掩码根据实施ipsec的网段实际情况填写) ，下一步---协议类型：tcp,下一步---ip协议端口：从任意端口，到任意端口，下一步—完成-----确定 在ISA中进行防火墙策略配置 在ISA上，打开ISA服务器管理。 添加新的子网。 在其中的防火墙策略中----网络对象----子网---新建子网----输入IP地址及掩码---确定 在用户中，新建用户集。 新建---输入名称，下一步---添加，Windows用户和组----在整个目录中查找，添加用户或组，下一步---完成 添加防火墙访问规则 创建一条访问规则允许 IKE protocol traffic to the Local Host network. 在防火墙策略上右键---新建---访问规则----输入规则名称，下一步---允许，下一步----选择VPN and IPSec 中的IKE Client，下一步----访问规则源，所有网络主机，根据实际情况添加子网，下一步----访问规则目标，添加目标网络，所有网络主机，根据实际情况添加子网，下一步----选择实施此规则的用户集，所有用户，下一步----完成 在防火墙策略上右键---新建---访问规则----输入规则名称，下一步---允许，下一步----所有出站协议，下一步----访问规则源，添加所要实施IPSEC的子网，下一步----访问规则目标，添加目标网络，下一步----选择实施此规则的用户集，下一步----完成 应用防火墙策略 对于实施网络管理的VLAN进行相关的信息收集 需要收集以下信息：部门，姓名，原ip地址，MAC地址，新ip地址，所在交换机端口，网络状态（受限或者开放），计算机名称，加入域（是否），域用户加入到本机administrator组（是否），用户桌面迁移（是否已完成），操作系统等。 通过组策略的安全策略 利用组策略中的安全策略，针对不同的活动目录对象进行集中配置，限制每台计算机上的本地登录用户。此方案可以集中控制，而且简单易行，建议采用。 实施 针对相应的集合建立组策略，如下图，针对Client组织单元建立的Local Logon组策略，同时在此策略的属性中钩选禁用用户配置设置。 在策略的计算机配置-Windows设置-安全设置-本地策略-用户权利指派-在本地登录中选中在模板中定义这些策略设置，并添加以下三个账户： Administrators Domain name\Domain Admins SYSTEM 在受该组策略控制的客户端计算机上运行以下命令刷新本地策略： Windows XP：gpupdate Windows 2000：secedit /refreshpolicy machine_policy /enforce 数分钟后，在客户端计算机运行gpresult，如果结果显示刚才建立的组策略已经应用，则在本地组策略中可以看到本地登录属性已经变灰且无法更改。