使用IPsec与组策略隔离服务器和域

预备知识

需要熟悉 Microsoft® Windows Server™ 2003 的以下方面：

组织先决条件

规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见，他们可能需要参与隔离规划，包括扮演下列角色的人：

服务器和域隔离项目的范围要求整个组都了解业务需求、技术问题、对用户的影响和整个项目过程。 需要进行广泛输入时，有可担当此项目的主要联系人的资深人士是很有益的，如支持人员或在部署中会受影响的用户。 在复杂项目中出现问题的两个主要原因是规划不好和通信差。 项目小组必须了解这些潜在的风险并确保已采取措施对其缓解。

标识受信任计算机

对信任及信任与计算机如何相关的讨论是服务器和域隔离主题的重要部分。 从其核心功能来说，隔离是任何特定的受信任主机决定谁对其有网络级访问权限的能力。 因此，不管远程计算机在远程连接端如何连接（例如，无线、LAN、Internet），它都必须使用 IPsec 来协商信任并确保端到端的 TCP/IP 通信流与目标计算机的安全。 此端到端安全模型提供其他基于链接的网络访问控制和安全技术所无法提供的网络通信的保护级别（例如，VPN、802.1x、802.11 WEP）。 信任远程计算机将首先防止被盗窃、破坏或误用的用户凭据具有极大的价值。

在本解决方案的内容中，信任是组织的一种能力，它合理确保某特定的计算机处于已知状态并且符合组织已同意的最低安全要求。 这些要求可以是本身技术性的、以安全为重点的、与业务相关的或任何组合。 这些要求还规定计算机在建立与其他计算机的通信之前应处的状态。 Microsoft 建议受信任计算机的规格包括定期更新的安全更新列表和所需的 Service Pack。 理想情况是，应通过使用修补程序治理系统（如 Windows Update 服务或 Microsoft Systems Management Server (SMS)）来治理和实施这些更新。 应用这些更新的频率取决于组织测试和部署每个更新所需的时间长度。 但要获得最高的安全性，应尽快为您的环境应用这些更新。

不受信任计算机是无法确保符合这些安全要求的计算机。 一般来说，一台计算机在无人治理或无安全保护的情况下被视为不受信任。

服务器和域隔离解决方案的目的在于通过实施保护组织资产的工具、技术和过程来缓解对受信任的资源带来的风险。 本解决方案可确保：

应答应仅从其他受信任资源对受信任资源（在默认情况下）进行网络级别的访问。 此外，通过对受信任环境中的特定用户和计算机使用答应或拒绝权限及 ACL 来控制网络层的访问。

通过建立这种受信任环境及限制答应在该环境内部和外部通信，企业可降低对其数据资产带来的整体风险。 其他业务优势可能包括：

	相关文档
·Windows中快速访问分散共享资源的妙招 ·内网IP建ftp服务器教程 ·企业内部FTP服务器的架设 ·创建"用户隔离"模式的FTP站点 ·教你如何巧妙设定匿名FTP的安全 ·Windows下FTP服务器安全管理 ·Windows下FTP服务器架设攻略 ·Serv-U FTP软件的攻击防守 ·网管必读：为SERV-U打造最安全的FTP设置 ·服务器应用:用typsoft ftp建FTP站点1(图) ·服务器应用:用typsoft ftp建FTP站点2(图) ·SOHO族安全建议之保证上传服务器安全一 ·怎样配置具有SSL保护的FTP服务器 ·SOHO族安全建议之保证上传服务器安全二 ·SERV-U 6002版安全设置全攻略一(图文) ·SERV-U 6002版安全设置全攻略二(图文)

	发表评论
密码： 匿名评论 评论内容： (不超过250字，需审核后才会公布，请自觉遵守互联网相关政策法规)