IPSEC 安全连接
Myhat公司最近内部文件遭到丢失,原因是因为有客户电脑有接入公司内网,可能由于客户电脑中了病毒或是客户有接触到部分用户的共享资源夹,造成X部门的X同事的重要资料丢失.
对此,公司在进行了必要的处分之后,网络管理员便开始着手解决这个问题:
1.如何控制客户接入公司网络?
2.即使真有必要接入,怎么处理?
其实关于这个问题,博主认为使用IPSEC便可以解决!是啊,有朋友说我们可以重新设定资源夹的访问权限啊,没错,可我们难不保这个客户是一个电脑高手呢?或是拥有专门的***工具呢?或许它的计算机感染了病毒,是病毒把文件给清掉的?你将如何解决?
博主认为使用IPSEC,我们可以建立起一道属于我们自己的隔离防线!通过对IPSEC的批理部署,让新增加的计算机无法访问我们的内网计算机.当然,有关这些,是通过控制相关的端口来实现的!
好的.现在我们一起来看看这个拓补图吧!
很简单很常见的拓补!
在这里我讲一下我的部署思路:
1.给客户端建立一条IPSEC组策略,让用户在访问139/445/3389这些端口时,使用IPSEC的共享密钥/证书来实现!(在这里我们以共享密钥为例)
2.在域控制器上建立一条IPSEC组策略.内容跟客户端的一样.
1.病毒的传播
2.访问本地网络里的共享资源
3.防止其加入到域环境
當然如果你要封鎖更是可以的,但千萬不要把所有端口都加密,因為那樣客戶端登陸會很慢。
在这里,博主有一点要告诉大家:那就是为什么这条策略要分两条来建立.因为445端口是客户端计算机在登入时需要的,如果统一用一条策略来实现的话,极有可以造成所有用户不能正常登入域哟!
操作步骤:
1.先给客户端计算机建立一条[IPsec加密]组策略
2.开始编辑这条组策略,并建立一条[客户端安全策略]
设定策略名称
激活响应规则
添加共享密钥
完成了策略的新建,但需要对其属性加以编辑
在这里我们要添加一个IP安全规则
现在我们来添加一个IP安全规则
有关隧道,只有我们使用×××时才能使用的到哟
网络类型就选择本地网络吧.
我们还需要对规则中的默认筛选器进行编辑.
默认的筛选器是针对所有IP的,这显然不大符合实际中的需求,新增几个吧
不管源地址,因为不是针对特定的IP
目标地址可就要选好了哟....在这里我选我们使用的网段.
当然是TCP协议了!
端口号,我这里就以3389为例吧
完成这个筛选器.
后面的,有关135/445/389/2289都按那样做就行了...
在筛选器操作这里,我们要选择需要安全.不然的话,没有加密的客户端也是通行的.
身份认证还是用共享密钥
终于完成了安全规则....
现在我们需要对这个策略进行指派!
在客户端设置OK之后,让其重启计算机,并更新一下活动目录上的组策略.现在我们打开[默认域控制器安全设置],找到Secure Server指派它!
打开它的属性,我们会发现原来之前建立的筛选器都在里面..太棒了..
现在我们来使用一台新增的机器来测一下!(默认情况下,我们是允许其可以PING通我们内网的机器,以便做排错!
看看,外来机器不能访问了吧,因为它没有共享密钥啊!哈哈.....
远程桌面连接也是不行的....
看它能否加入域!这个过程有些缓慢,为什么呢?因为它是加密的,并且没有共享密钥
不得不说,哇,IPsec太棒了!
有博友可能就會問:OK你是擋住了別人,如果是公司自己需要訪問怎麼辦呢?
OK,其實操作很簡單,隻需要給客戶端部署一下共享密鑰就行了。
转载于:https://blog.51cto.com/pig1987/126892
IPSEC 安全连接相关推荐
- 【逗老师的小技巧】win10 l2tp ipsec 无法连接解决方案
1.单击"开始",单击"运行",键入"regedit",然后单击"确定" 2.找到下面的注册表子项 HKEY_LOCAL ...
- 搭建本地,AWS和Azure之间的IPSec 连接
背景 因为业务需要,需要在公司,AWS和Azure之间都搭建IPSec的连接.主要挑战在于: AWS只支持IKEv1 Azure默认支持IKEv2,如果使用IKEv1的话只能搭建一个policy ba ...
- JUNIPER SRX Ipsec ××× 点对点Policy base ×××连接测试
基于Ipsec ××× 点对点Policy base ×××连接测试功能的要求是:对2台SRX进行点对点的Ipsec通道连接,使两个SRX的内网数据能通过Ipsec ×××的加密进行广域网的数据传输. ...
- TP-LINK路由器与pfSense建立IPsec连接
同一品牌路由器之间进行IPsec连接设置较为简单,但如何与pfSense建立正确的IPsec连接,网上相关的教程却不多见,本文结合自己的实际,对这两种设备之间建立IPsec连接所需的设置进行详细说明. ...
- 操作:IPSec连接配置
实训目的: 掌握IPSec的连接配置. 相关知识点: 1.IPSec 互联网安全协议(Internet Protocol Security,缩写为IPSec),是一个协议包,通过对IP协议的分组进行加 ...
- SSL ×××的强劲发展势头似乎表明,它将取代IPSec ×××
SSL ×××的强劲发展势头似乎表明,它将取代IPSec ×××, 不过仔细分析你会发现,二者并不矛盾 选购理想的虚拟专用网对企业用户来说相当困难,当前盛行的说法是:风头渐劲的SSL ×××将迅速赶超 ...
- IPSEC ×××主模式的九个包交换
原文地址:IPSEC ×××主模式的九个包交换作者:棕鹰 主模式-第一阶段六个包交换细节总结: (1) 阶段1 这个阶段要协商的SA可以称为ISAKMP SA(在IKE中可以称为IKE SA),该SA ...
- ipsec***原理与配置
一.×××概述 ×××技术起初是为了解决明文数据在网络上传输带来的安全隐患而产生的.TCP/IP协议族中的很多协议都采用明文传输,如telnet.ftp.tftp等.一些***可能为了获取非法利益,通 ...
- 使用 IPsec 与组策略隔离服务器和域-第 7 章 IPsec 疑难解答
本章提供有关如何对 Internet 协议安全性 (IPsec) 问题(如服务器和域隔离方案中的安全性问题)进行疑难解答的信息,这些信息依赖于 Microsoft 信息技术 (IT) 小组的经验和方法 ...
- [dev][ipsec][esp] ipsec链路中断的感知问题
ipsec如何感知到链路中断了?以下内容讲的是在没有配置DPD,且没有rekey的场 景下.1. ESP认为,以下两个场景交由应用层来感知,应用层会发现ipsec的连接坏掉了.a,ESP承载的连接是t ...
最新文章
- PostgreSQL 批量权限 管理方法
- DVWA的安装与简单使用
- wdatepicker设置初始时间_滑动条的滑块的初始位置应该放在哪儿?
- mysql增加布尔字段_如何将布尔字段添加到MySQL?
- linux设置进程优先级,Linux线程属性及优先级设置
- 004 人物数据查找和代码编写
- PC微信逆向:分析微信发送文件call
- 嵌入式Linux学习笔记(0)基础命令。——Arvin
- 【Java文件操作(七)】序列化:将自定义类写入文件
- HTTP请求和MIME介绍
- python实现找到给定列表中满足给定和的所有子列表,元素可重复使用
- 计算机专业过度饱和,教育部:撤销518个本科专业,计算机专业也被撤销,市场饱和了?...
- 微型计算机就是完全采用大规模集成电路,湖南工大计算机在线作业
- 联想G480改装固态硬盘、光驱变机械硬盘以及装系统(上)
- JDK 运行参数 JAVA -Dxxx与System.setProperty()的关系
- Kubernetes 学习总结(27)—— Kubernetes 安装 Redis 集群的两个方案
- USB-C PD接口DRP芯片功能介绍
- 《巴黎评论》启示录连载之一村上春树
- tekla钢筋组弯钩方向
- 解决:向日葵连接已断开