IPSec为你的局域网建起一道安全防线文档格式.docx

IPSec为你的局域网建起一道安全防线文档格式.docx

《IPSec为你的局域网建起一道安全防线文档格式.docx》由会员分享，可在线阅读，更多相关《IPSec为你的局域网建起一道安全防线文档格式.docx（18页珍藏版）》请在冰豆网上搜索。

其实关于这个问题,博主认为使用IPSEC便可以解决!

是啊,有朋友说我们可以重新设定资源夹的访问权限啊,没错,可我们难不保这个客户是一个电脑高手呢?

或是拥有专门的黑客工具呢?

或许它的计算机感染了病毒,是病毒把文件给清掉的?

你将如何解决?

博主认为使用IPSEC,我们可以建立起一道属于我们自己的隔离防线!

通过对IPSEC的批理部署,让新增加的计算机无法访问我们的内网计算机.当然,有关这些,是通过控制相关的端口来实现的!

好的.现在我们一起来看看这个拓补图吧!

很简单很常见的拓补!

在这里我讲一下我的部署思路:

1.给客户端建立一条IPSEC组策略,让用户在访问139/445/3389这些端口时,使用IPSEC的共享密钥/证书来实现!

（在这里我们以共享密钥为例）

2.在域控制器上建立一条IPSEC组策略.内容跟客户端的一样.

通过对139/445/3389的加密设定,可以防止未授权的外来计算机:

1.病毒的传播

2.访问本地网络里的共享资源

3.防止其加入到域环境

當然如果你要封鎖更是可以的，但千萬不要把所有端口都加密，因為那樣客戶端登陸會很慢。

在这里,博主有一点要告诉大家:

那就是为什么这条策略要分两条来建立.因为445端口是客户端计算机在登入时需要的,如果统一用一条策略来实现的话,极有可以造成所有用户不能正常登入域哟!

操作步骤:

1.先给客户端计算机建立一条[IPsec加密]组策略

2.开始编辑这条组策略,并建立一条[客户端安全策略]

设定策略名称

激活响应规则

添加共享密钥

完成了策略的新建,但需要对其属性加以编辑

在这里我们要添加一个IP安全规则

现在我们来添加一个IP安全规则

有关隧道,只有我们使用VPN时才能使用的到哟

网络类型就选择本地网络吧.

我们还需要对规则中的默认筛选器进行编辑.

默认的筛选器是针对所有IP的,这显然不大符合实际中的需求,新增几个吧

不管源地址,因为不是针对特定的IP

目标地址可就要选好了哟....在这里我选我们使用的网段.

当然是TCP协议了!

端口号,我这里就以3389为例吧

完成这个筛选器.

后面的,有关135/445/389/2289都按那样做就行了...

在筛选器操作这里,我们要选择需要安全.不然的话,没有加密的客户端也是通行的.

身份认证还是用共享密钥

终于完成了安全规则....

现在我们需要对这个策略进行指派!

在客户端设置OK之后,让其重启计算机,并更新一下活动目录上的组策略.现在我们打开[默认域控制器安全设置],找到SecureServer指派它!

打开它的属性,我们会发现原来之前建立的筛选器都在里面..太棒了..

现在我们来使用一台新增的机器来测一下!

（默认情况下,我们是允许其可以PING通我们内网的机器,以便做排错!

看看,外来机器不能访问了吧,因为它没有共享密钥啊!

哈哈.....

远程桌面连接也是不行的....

看它能否加入域!

这个过程有些缓慢,为什么呢?

因为它是加密的,并且没有共享密钥

不得不说,哇,IPsec太棒了!

有博友可能就會問：

OK你是擋住了別人，如果是公司自己需要訪問怎麼辦呢？

OK，其實操作很簡單，隻需要給客戶端部署一下共享密鑰就行了