9部署基本域隔离策略.docxVIP

部署基本域隔离策略 更新时间2009年8月 应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista 通过使用高级安全Windows防火墙，您可以创建用来指定必须通过IPSec的一个或多个功能保护流量的连接安全规则。在域隔离中，使用IPsec身份验证要求连接所涉及的每台域成员计算机正确建立其他计算机的标识。 通过创建要求域成员进行身份验证的规则，可有效地将域成员计算机与不属于域的计算机隔离。 域隔离环境中的计算机要求对入站连接进行身份验证。对于出站连接，通常使用该选项来请求而非要求IPsec保护。这样，计算机便可在与其他同样可以使用IPSec的计算机通信时保护流量，但在与无法使用IPSec的计算机通信时，将恢复使用纯文本。在WindowsXP和早期版本的Windows中，如果启用了恢复使用纯文本，则将在尝试使用IPsec三秒后使用???文本。但是，某些服务的响应超时时间小于三秒，这导致其失败。在以上早期版本的Windows中，这意味着必须创建（有时为大量的）出站豁免规则，以支持这些无法进行身份验证的服务器或服务。为解决此问题，Microsoft发布了WindowsServer2003和WindowsXP的简单策略更新。此更新会在受IPSec保护的客户端和未受IPSec保护的客户端之间的尝试延迟缩短到半秒。有关WindowsServer2003和WindowsXP的简单策略更新的详细信息，请参阅使用简单策略更新简化IPSec策略。 较新版本的Windows进一步改进了这一点，不再需要更新。当在WindowsVista和较新版本的Windows中使用请求模式时，Windows同时发送两种连接尝试。如果远程主机使用IPSec响应，则将放弃非IPSec尝试。如果IPSec请求不生成响应，则非IPSec尝试将继续。 延迟缩短或消除后，解决了大多数程序的超时失败问题。但是，有时仍希望确保计算机不使用IPSec来尝试与网络上的某些主机通信。在这些情况下，可为客户端创建身份验证豁免规则，它们不再使用IPSec与豁免列表中的计算机通信。 有关域隔离的详细信息，请参阅WindowsServer技术库中“服务器和域隔离简介和使用MicrosoftWindows的域隔离说明。 创建连接安全规则以强制执行域隔离的步骤 在此部分中，创建连接安全规则指定域中的计算机要求对入站网络流量进行身份验证并对出站流量请求身份验证。 重要事项请记住，如果您已将默认的出站行为配置为阻止与出站允许规则不匹配的流量，则必须创建允许出站IPsec网络流量的规则。步骤1：创建请求身份验证的连接安全规则 步骤2：部署并测试连接安全规则 步骤3：将隔离规则更改为要求身份验证 步骤4：使用不具有域隔离规则的计算机测试隔离 步骤5：为不是域成员的计算机创建豁免规则 步骤1：创建请求身份验证的连接安全规则 更新时间：2009年8月 应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista 在此步骤中，为域创建连接安全规则，这些规则导致所有成员计算机要求对入站网络流量进行身份验证，并请求对出站流量进行身份验证。首先，使用仅请求入站身份验证的GPO，确认它正常工作后，对其进行修改以要求入站身份验证。 指定要使用的IPsec算法 为了简化，在以下过程中创建的规则使用的是默认IPsec主模式和快速模式设置，它们指定了协商中包含的完整性算法和加密算法的某些组合。但是，Windows也为配置用于任意给定连接的特定主模式和快速模式算法提供了许多灵活性。可以彼此通信的所有计算机必须至少支持一组通用的算法。如果必须使用某一特定算法组合，请执行以下操作之一： 更改全局IPSec的默认值。在GPO中，打开“高级安全Windows防火墙属性”页面，然后在“IPsec默认值”部分，单击“自定义”。可以配置用于协商保护主模式和快速模式安全关联(SA)的算法，以及可用的身份验证选项。更改这些设置将对连接安全规则没有另行指定以及连接安全规则与主模式规则不符的计算机上经过的所有IPsec连接的设置进行更改。 使用特定快速模式设置创建连接安全规则。使用netsh