Server2008如何实现服务器和域隔离呢?用IPSEC和组策略。具体怎么实行,由下文具体所述。
服务器和域隔离
在Microsoft Windows 的网络中,可以在逻辑上隔离服务器和域资源以限制对经过身份验证和授权的计算机的访问。
例如,可以在现有物理网络内创建一个逻辑网络,在该网络中计算机共享一组常用的安全通信要求。在此逻辑隔离的网络中的每台计算机必须向隔离网络中的其他计算机提供身份验证凭据才能建立连接。
这种隔离可以防止未经授权的计算机和程序以不正确的方式获取对资源的访问权限。忽略不属于隔离网络的计算机请求。服务器和域隔离可以帮助保护特定高价值的服务器和数据,以及保护托管计算机防止计算机和用户未经管理或受到欺骗。
可以使用以下两种隔离来保护网络:
1.服务器隔离。在服务器隔离方案中,特定服务器配置为需要 IPSec 策略才能接受来自其他计算机的经过身份验证的通信。例如,可以配置数据库服务器只接受来自 Web 应用程序服务器的连接。
2.域隔离。若要隔离域,请使用 Active Directory 域成员身份确保是域成员的计算机只接受来自域成员的其他计算机的经过身份验证且安全的通信。隔离网络仅由属于域的计算机组成。域隔离使用 IPSec 策略为域成员(包括所有客户端和服务器计算机)之间发送的流量提供保护。
简单来理解,IPSEC的好处,用于隔离和加密数据。
以下环境属于使用IPSEC实现逻辑网络的隔离,为了更好地理解,进行以下实验。
目的:测试域环境下的网络的逻辑隔离和加密。
环境:
1台DC,1台成员服务器(如做telnet服务器,文件服务器),1台加入域的客户端,1台工作组的客户端。
DC环境:
把成员服务器、客户端加入域。创建相应OU放置
member环境:
创建共享,用于验证
domain client 环境:
工作组计算机:
环境准备好之后,接下来,为了解IPSEC,执行以下操作,先通过能使用IPSEC通信的使用,
不能使用IPSEC通信的也不阻止,看下如何实现。
***步:创建策略
在DC上,打开组策略管理,对组策略对象上,创建策略,名domain isolation.
编辑策略:
新建隔离策略:
为了解ipsec,先建立身份验证规则:可能时进行身份验证,但不要求,即身份验证不是必需的
选择计算机kerberos v5验证,即域内可通过验证,工作组就不行了。
欲知更多内容请点击Server2008用IPSEC与组策略实现服务器和域隔离(下)
【编辑推荐】
