(战略管理)部署基本域隔离策略
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
部署基本域隔离策略
更新时间2009年8月
应用到:Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
通过使用高级安全Windows防火墙,您可以创建用来指定必须通过IPSec的一个或多个功能保护流量的连接安全规则。在域隔离中,使用IPsec身份验证要求连接所涉及的每台域成员计算机正确建立其他计算机的标识。
通过创建要求域成员进行身份验证的规则,可有效地将域成员计算机与不属于域的计算机隔离。
域隔离环境中的计算机要求对入站连接进行身份验证。对于出站连接,通常使用该选项来请求而非要求IPsec保护。这样,计算机便可在与其他同样可以使用IPSec的计算机通信时保护流量,但在与无法使用IPSec的计算机通信时,将恢复使用纯文本。在WindowsXP和早期版本的Windows中,如果启用了恢复使用纯文本,则将在尝试使用IPsec三秒后使用纯文本。但是,某些服务的响应超时时间小于三秒,这导致其失败。在以上早期版本的Windows中,这意味着必须创建(有时为大量的)出站豁免规则,以支持这些无法进行身份验证的服务器或服务。为解决此问题,Microsoft发布了WindowsServer2003和WindowsXP的简单策略更新。此更新会在受IPSec保护的客户端和未受IPSec保护的客户端之间的尝试延迟缩短到半秒。有关WindowsServer2003和WindowsXP的简单策略更新的详细信息,请参阅使用简单策略更新简化IPSec策略。
较新版本的Windows进一步改进了这一点,不再需要更新。当在WindowsVista和较新版本的Windows中使用请求模式时,Windows同时发送两种连接尝试。如果远程主机使用IPSec响应,则将放弃非IPSec尝试。如果IPSec请求不生成响应,则非IPSec尝试将继续。
延迟缩短或消除后,解决了大多数程序的超时失败问题。但是,有时仍希望确保计算机不使用IPSec来尝试与网络上的某些主机通信。在这些情况下,可为客户端创建身份验证豁免规则,它们不再使用IPSec与豁免列表中的计算机通信。有关域隔离的详细信息,请参阅WindowsServer技术库中“服务器和域隔离简介和使用MicrosoftWindows的域隔离说明。
创建连接安全规则以强制执行域隔离的步骤
在此部分中,创建连接安全规则指定域中的计算机要求对入站网络流量进行身份验证并对出站流量请求身份验证。
重要事项
步骤1:创建请求身份验证的连接安全规则
步骤2:部署并测试连接安全规则
步骤3:将隔离规则更改为要求身份验证
步骤4:使用不具有域隔离规则的计算机测试隔离
步骤5:为不是域成员的计算机创建豁免规则
步骤1:创建请求身份验证的连接安全规则
更新时间:2009年8月
应用到:Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista
在此步骤中,为域创建连接安全规则,这些规则导致所有成员计算机要求对入站网络流量进行身份验证,并请求对出站流量进行身份验证。首先,使用仅请求入站身份验证的GPO,确认它正常工作后,对其进行修改以要求入站身份验证。
指定要使用的IPsec算法
为了简化,在以下过程中创建的规则使用的是默认IPsec主模式和快速模式设置,它们指定了协商中包含的完整性算法和加密算法的某些组合。但是,Windows也为配置用于任意给定连接的特定主模式和快速模式算法提供了许多灵活性。可以彼此通信的所有计算机必须至少支持一组通用的算法。如果必须使用某一特定算法组合,请执行以下操作之一:
•更改全局IPSec的默认值。在GPO中,打开“高级安全Windows防火墙属性”页面,然后在“IPsec默认值”
部分,单击“自定义”。可以配置用于协商保护主模式和快速模式安全关联(SA)的算法,以及可用的身份验
证选项。更改这些设置将对连接安全规则没有另行指定以及连接安全规则与主模式规则不符的计算机上经过
的所有IPsec连接的设置进行更改。
•使用特定快速模式设置创建连接安全规则。使用netshadvfirewallconsecaddrule命令可以创建包含特定快速模式算法组合的连接安全规则。如果在规则中指定这些算法,则将其用于代替全局IPsec默认设置中的算
法。使用qmsecmethods参数。添加到Windows7和WindowsServer2008R2的一个快速模式选项是“空封装”。
此选项指定不向连接中的每个网络数据包提供任何完整性保护。不使用任何AH或ESP标头封装数据。此选项为与AH或ESP不兼容的网络设备和软件提供兼容性。您可以指定在全局IPsec默认值中使用空封装(不推荐),也可指定在仅符合必须使用空封装的网络通信的连接安全规则中使用空封装。有关如何使用自定义的快速模
式设置创建连接安全规则的详细信息,请参阅NetshAdvFirewallConsec命令。
备注
•创建主模式规则.从Windows7和WindowsServer2008R2开始,您可以创建指定主模式加密、完整性和身份验证设置的规则。符合主模式规则的连接使用的是主模式规则设置,而不是连接安全规则或全局IPsec默认值
中指定的设置。若要创建主模式规则,请使用netshadvfirewallmainmodeaddrule命令。有关详细信息,请
参阅NetshAdvFirewallMainMode命令。
防火墙和连接安全集成
将防火墙功能与IPsec集成的一个主要优势就是可以在防火墙规则中使用其他选项。在WindowsVista及更高版本的Windows中,您现在可以创建根据以下条件筛选网络通信的防火墙规则: