使用 IPsec 與組策略隔離伺服器和域概述

microsoft 認識到大型組織機構在加強其網路周邊安全方面面臨著日益嚴峻的挑戰。隨著組織機構的成長和業務關係的變更，控制對網路的物理訪問越來越難以實現。客戶、**商和顧問們可能出於正當的業務原因將移動裝置連線至您的網路。無線網路和無線連線技術的出現，使得網路訪問比以前更為容易。連線的增多意味著內部網路域成員需要承受來自內部網路中其他計算機的越來越大的安全風險，並且也影響到了周邊環境的安全。

本指南闡述的邏輯隔離概念包含兩個解決方案：伺服器隔離方案確保伺服器僅接受來自受信任的域成員或特定一組域成員的網路連線，域隔離方案用於將域成員與不受信任的連線隔離。這兩個解決方案可作為整體邏輯隔離解決方案的一部分單獨使用或配合使用。

伺服器與域隔離的核心是，它允許 it 管理員限制作為受信任計算機的域成員的 tcp/ip 通訊。這些受信任的計算機可以被配置為僅允許來自其他受信任計算機或者特定一組受信任計算機的傳入連線。通過使用 active directory® 組策略來控制網路登入許可權，可集中管理訪問控制。幾乎所有 tcp/ip 網路連線都能夠受保護，而不必更改應用程式，這是因為 ipsec 在應用層之下的網路層工作，它在計算機之間以端到端方式提供身份驗證功能以及逐個資料報的安全性。在各種可自定義的方案中，可以對網路通訊流進行身份驗證或者進行身份驗證並加密。

本頁內容

業務益處

本指南的目標讀者

引入邏輯隔離防護層的益處包括：

•更加安全。邏輯隔離防護層使網路中所有被管理的計算機更加安全。

•更嚴格地控制能夠訪問特定資訊的人員。通過使用此解決方案，計算機單憑連線到網路是不能自動獲得所有網路資源的訪問許可權的。

•成本更低。此解決方案的實施費用通常遠低於物理隔離解決方案。

•增加了被管理的計算機的數目。如果只有被管理的計算機才能訪問組織的資訊，那麼所有裝置都必須成為被管理的系統，它們的使用者才能訪問組織的資訊。

•提高了抵禦惡意軟體攻擊的防護程度。隔離解決方案有效地限制了不受信任計算機訪問受信任資源的能力。因此，不受信任計算機進行的惡意軟體攻擊不會得逞，這是因為不允許進行連線，即使攻擊者獲得了有效使用者名稱和密碼亦如此。

•網路資料加密機制。邏輯隔離使得要求對所選計算機之間的所有網路通訊流進行加密成為可能。

•快速緊急隔離。此解決方案提供了一種機制來在受到攻擊時快速有效地隔離網路中的特定資源。

•改善了審核功能。此解決方案提供了一種對被管理資源進行的網路訪問進行記錄和審核的方法。

返回頁首

本指南旨在貫穿 it 生命週期的所有階段對伺服器與域隔離解決方案提供支援，這些階段包括最初的評估和核准階段、隨後的部署和測試階段以及對已完成的實施進行的管理。因此，本指南的各章節是針對各種讀者的不同需求撰寫的。

第 1 章主要是為業務決策人員設計的，他們確定其所在組織是否能夠從伺服器與域隔離專案中受益。除了了解組織的業務和安全需求外，讀者理解本章內容並不需要具備特定的技術知識。

本指南中有關規劃的各章（第 2、3 和 4 章）對於負責為組織設計自定**決方案的技術架構師和 it 專業人員來說最有幫助。要從這些章節獲得最大益處，需要在技術上對所採用的技術和組織的當前基礎結構有良好的了解。

本指南的第 6 章旨在為解決方案實施並全面運作後負責日常操作的人員提供參考。本章重點介紹的許多操作過程和步驟應該納入組織的操作框架。

第 7 章提供了有關對伺服器和域隔離部署進行疑難解答的資訊。由於 ipsec 從根本上影響了網路通訊，因此疑難解答資訊和技術作為本解決方案的一部分可以為實施 ipsec 的組織提供極大的幫助。

•我們提供的資訊實用性如何？

•循序漸進的過程是否準確？

•各章節是否具有可讀性，是否有趣？

•您對本解決方案的總體評價如何？

使用 IPsec 與組策略隔離伺服器和域概述

使用 IPsec 與組策略隔離伺服器和域索引

使用組策略部署Office 2007

使用組策略批量禁用u盤

使用 IPsec 與組策略隔離伺服器和域 概述

使用 IPsec 與組策略隔離伺服器和域 索引

使用組策略部署Office 2007

使用組策略批量禁用u盤

相關推薦

使用 IPsec 與組策略隔離伺服器和域概述

使用 IPsec 與組策略隔離伺服器和域索引