Server2008用IPSEC与组策略实现服务器和域隔离.doc

Server2008用IPSEC与组策略实现服务器和域隔离 　　服务器和域隔离 　　在Microsoft Windows 的网络中，可以在逻辑上隔离服务器和域资源以限制对经 过身份验证和授权的计算机的访问。 　　例如，可以在现有物理网络内创建一个逻辑网络，在该网络中计算机共享一组常用 的安全通信要求。在此逻辑隔离的网络中的每台计算机必须向隔离网络中的其他计算机 提供身份验证凭据才能建立连接。 　　这种隔离可以防止未经授权的计算机和程序以不正确的方式获取对资源的访问权 限。忽略不属于隔离网络的计算机请求。服务器和域隔离可以帮助保护特定高价值的服 务器和数据，以及保护托管计算机防止计算机和用户未经管理或受到欺骗。 　　可以使用以下两种隔离来保护网络： 　　?服务器隔离。在服务器隔离方案中，特定服务器配置为需要 IPSec 策略才能接受来自其他计算机的经过身份验证的通信。例如，可以配置数据库服务器只接受来自 Web 应用程序服务器的连接。 　　?域隔离。若要隔离域，请使用 Active Directory 域成员身份确保是域成员的计算 机只接受来自域成员的其他计算机的经过身份验证且安全的通信。隔离网络仅由属于域 的计算机组成。域隔离使用 IPSec 策略为域成员(包括所有客户端和服务器计算机)之间 发送的流量提供保护。 　　简单来理解，IPSEC的好处，用于隔离和加密数据。 　　以下环境属于使用IPSEC实现逻辑网络的隔离，为了更好地理解，进行以下实验。 　　目的：测试域环境下的网络的逻辑隔离和加密。 　　环境： 　　1台DC，1台成员服务器(如做telnet服务器，文件服务器)，1台加入域的客户端， 1台工作组的客户端。　　 　　DC环境： 　　 把成员服务器、客户端加入域。创建相应OU放置 　 　member环境： 　　 创建共享，用于验证 　　 domain client 环境： 　　 工作组计算机： 　　 环境准备好之后，接下来，为了解IPSEC，执行以下操作，先通过能使用IPSEC通信的使用， 不能使用IPSEC通信的也不阻止，看下如何实现。 　　第一步：创建策略 　　在DC上，打开组策略管理，对组策略对象上，创建策略，名domain isolation. 　 　编辑策略： 　　 新建隔离策略： 　　 为了解ipsec，先建立身份验证规则：可能时进行身份验证，但不要求，即身份验证不是必需的 　 　选择计算机kerberos v5验证，即域内可通过验证，工作组就不行了。 　　 应用的配置文件，即环境，按当前环境，是在域内。 　 　命名为 request inbound outbound 　 　第二步：应用策略 　　把策略关联到成员服务器和客户端OU 　 　验证： 　　先在member开启网络发现。 　 　域内client 访问， 　　 在membersrv上，通过高级安全windows防火墙中的监示可看到 　　策略被应用，且访问是基于IPSEC通信的： 　　 而工作组的客户端访问，能访问，但不是基于IPSEC的。一样可通过高级安全windows防火墙中的监示可得知。 　　接下来，验证隔离实验： 　　结果：Client 能跟Membersrv通信，访问共享，而工作组的机器不能访问.实验隔离效果。 　　步骤如下： 　　第一，先创建例外策略，保证Client 能跟Membersrv通信之外，还要能跟DC通信。 　　在DC上编辑domain isolation策略。 　　 为DC新建例外策略 　　 指定例外机器 　 　指定配置文件，为域 　　 命名 　　 第二步：修改原有策略，定义身份验证为要求入站和出站。那么不能通过身份验证的客户端不能访问。 　　 验证： 　　客户端和membersrv刷新策略，使用gpupdate /force . 　　client 访问文件服务器 　　 membersrv上观察IPSEC可知，现时策略已被应用，而使用IPSEC通信： 　 工作组机器不能访问。 　　 这样就实现了隔离，但又不影响域内通信，现时client和membersrv跟DC所有通信正常。 　　 以上只实现了通过身份验证，逻辑地隔离了网络，但没实现加密。 　　在membersrv上安装网络监示器。网络监示器3.2(03自带，08要到微软单独下载安装)， 监示得知，数据没经过加密： 　　客户端访问： 　　 membersrv抓包结果，可知，数据 没经加密 　　 目的：实现加密数据通信 　　在DC上，打开组策略管理，找到domain isolation,直接修改策略。 　 　刷新策略，客户端再次访问验证。 　　在 membersrv上抓包结果： 　 　实验完成，以上目的就在server2008域环境下，测试IPSEC服务器和域的逻辑隔离，同时实