上文介绍了Server2008用IPSEC与组策略实现服务器和域隔离(上),本文接着介绍Server2008用IPSEC与组策略实现服务器和域隔离的方法。
应用的配置文件,即环境,按当前环境,是在域内。
命名为 request inbound outbound
第二步:应用策略
把策略关联到成员服务器和客户端OU
验证:
先在member开启网络发现。
域内client 访问,
在membersrv上,通过高级安全windows防火墙中的监示可看到
策略被应用,且访问是基于IPSEC通信的:
而工作组的客户端访问,能访问,但不是基于IPSEC的。一样可通过高级安全windows防火墙中的监示可得知。
接下来,验证隔离实验:
结果:Client 能跟Membersrv通信,访问共享,而工作组的机器不能访问.实验隔离效果。
步骤如下:
第一,先创建例外策略,保证Client 能跟Membersrv通信之外,还要能跟DC通信。
在DC上编辑domain isolation策略。
为DC新建例外策略
指定例外机器
指定配置文件,为域
命名
第二步:修改原有策略,定义身份验证为要求入站和出站。那么不能通过身份验证的客户端不能访问。
验证:
客户端和membersrv刷新策略,使用gpupdate /force .
client 访问文件服务器
membersrv上观察IPSEC可知,现时策略已被应用,而使用IPSEC通信:
工作组机器不能访问。
这样就实现了隔离,但又不影响域内通信,现时client和membersrv跟DC所有通信正常。
以上只实现了通过身份验证,逻辑地隔离了网络,但没实现加密。
在membersrv上安装网络监示器。网络监示器3.2(03自带,08要到微软单独下载安装),
监示得知,数据没经过加密:
客户端访问:
membersrv抓包结果,可知,数据 没经加密
目的:实现加密数据通信
在DC上,打开组策略管理,找到domain isolation,直接修改策略。
刷新策略,客户端再次访问验证。
在 membersrv上抓包结果:
实验完成,以上目的就在server2008域环境下,测试IPSEC服务器和域的逻辑隔离,同时实现加密。
希望Server2008用IPSEC与组策略实现服务器和域隔离的方法能够对读者有所帮助。
【编辑推荐】
