我们的公司笔记本电脑被限制只能通过我们的代理访问互联网(Internet Explorer 中的连接配置文件通过 GPO 推送)。在远程/第三方连接上,可以通过创建 VPN 返回公司网络(Cisco VPN 客户端 -> Cisco ASA)来实现,此时代理可用,我们通过该代理路由所有互联网流量。
我们最近收到一位用户提出的问题,他试图在火车上使用无线连接。火车公司要求用户填写一份托管在他们自己网络上的表格。
我们遇到的问题是,由于代理不可用,用户无法访问火车公司的内部页面。他们无法连接 VPN,因为他们还没有完成火车公司的登录页面。
我们考虑过在‘绕过此地址的代理...’中指定此页面,这样只允许连接到该页面,但这被拒绝了,因为我们必须开始添加每个以这种方式工作的火车公司、酒店、公共热点(必须是数千个列表)
第二个建议是允许连接到任何本地网络范围(10.* 或 192.*),但安全方面的影响似乎很危险。此外,火车公司提供的页面将是http://virginrailwifisignup页面,而不是http://192.168.1.1
这时我们被难住了。办公室里响起了熟悉的呼声:“我们不可能是唯一遇到这个问题的人”,但我找不到任何人提出有用的解决方案。
所以我问你,Server Fault,你是如何解决这个问题的?
值得注意的是,我们为所有移动用户提供 3G 连接,当他们外出时,他们可以通过 VPN 重新连接,但在火车上,连接非常不稳定。
答案1
我们的公司笔记本电脑被限制只允许通过我们的代理访问互联网(通过 GPO 推送的 Internet Explorer 中的连接配置文件)。
将设置推送到 IE 中的连接配置文件,您不需要仅有的允许通过代理访问互联网。您只需通过代理访问互联网,即可提高可访问性。
如果我理解正确的话,您想要的是让用户连接到您的 VPN 以便使用您的代理访问互联网。如果是这样的话,您必须小心,因为现在所有潜在的恶意软件/攻击都会通过您的网络进行路由。
在 XP 之后的大多数 Windows 中,默认情况下,当您连接到 VPN 时,您使用的是远程网络上的默认网关。因此,您必须确保此设置保持这种状态。您可以通过 GP 或 CMAK 或脚本来实现这一点,甚至可以作为杠杆用户为每台机器手动执行一次。
但在基于 Web 的登录中,您的用户必须访问一些随机网站(因此是互联网)!这就是网络位置感知开始
每当域控制器恢复可用性时,组策略客户端就会应用策略设置。触发组策略处理的连接事件示例包括建立 VPN 会话、从休眠或待机状态恢复以及笔记本电脑对接。通过更快地应用组策略更改,此优势可以潜在地提高工作站的安全级别。
因此,如果您的用户与工作网络以外的网络建立连接,您将触发您的 VPN 连接,一切正常。
我必须承认这不是一项容易的工作,特别是在客户多样化的情况下。
解决这个问题的另一种方法是锁定所有内容,禁用所有内容,并创建另一个用户帐户供 VPN 之外使用,并强制实施其他类型的限制(例如,没有视频、音频、特定域等)。
另一种方法是阻止特定连接的某些端口或限制对 VPN 的访问,例如禁止访问内部服务器
答案2
我想我有点困惑,但是为什么您的所有客户(当您的实体店之外)都必须被迫连接到互联网,然后才能通过您自己的网络路由回来?
我知道使用 VPN 客户端可以拨打电话回家并访问网络上的资源,但为什么您要将他们的所有浏览流量都发回给您,然后再路由回去呢?是为了内容过滤目的,还是只是为了让他们也能访问公司资源。
不管怎样,我想我只是有点困惑,为什么一开始就需要这样设置。如果他们不在你的网络上,为什么还要费心将他们代理回办公室,如果他们实际上也有 VPN 客户端?我想我很好奇整个事情是否有点过于复杂,或者说过于设计。
答案3
使用真正的防火墙来限制访问 - 而不仅仅是 MSIE 连接配置文件。