因此,我使用桥接防火墙的结果非常糟糕,因此决定创建一个独立代理,域中的 PC 默认获取代理,然后其互联网访问将被过滤。一切都很好!
但是如果有人带了一台不在域内的电脑,他们就不会通过代理,所以可以不受限制地访问互联网,这与 wifi 相同,不在域内的设备可以完全访问互联网
我的路由器是 cisco 2811,并且 dhcp 在我的 DC 上运行,我该怎么做才能强制所有数据都通过代理,以便所有流量都被过滤,即使它们不在获取组策略的域中?
答案1
我该怎么做才能强制所有数据通过代理,以便所有流量都被过滤,即使它们不在获取组策略的域中?
您需要:
要求网络上的第三方设备用户明确配置代理服务器当他们连接到您的网络时,在他们的设备/浏览器中。
这是政策变化,而非技术变化;它也会给您的支持团队带来负担,因为用户通常不熟悉配置代理服务器的过程。
启用您的代理作为透明代理通过配置网关设备将出站 Web (HTTP) 流量传递到代理进行过滤和转发。根据我的经验,这是最有效的方法,尽管您可能选择将其与上述方法结合使用,特别是如果您的代理通过用户身份验证提供不同级别的过滤。
还可以使用自动机制来配置代理服务器,使用 PAC 文件和自动代理发现。但是,正如评论中指出的那样,这些方法存在严重的安全漏洞,不推荐使用(来源)。
[如果] 有人带了一台不在域内的电脑,他们就不会通过代理,因此可以不受限制地访问互联网
任何解决此问题的方法都要求您在防火墙或网关设备中阻止直接、不受限制的 Web 访问。如果没有这种预防措施,非托管设备的所有者可以简单地将他们的设备配置为忽略您推送到其设备的任何代理设置(无论部署方法如何),并获得不受限制的访问权限。这也适用于您的公司机器,具体取决于您通过策略应用的限制级别(例如,用户是否可以安装自己的浏览器来绕过组策略强制执行的代理设置?)。
这可能意味着创建拒绝访问 Web(HTTP)流量的 ACL,或配置透明代理规则以自动将此类流量传递到代理服务器。只有代理服务器才应该具有允许直接访问万维网的规则。
您可以选择在 TCP 层执行此过滤,方法是阻止明显的 Web 端口 (80/443) 或阻止所有出站端口(最安全)。或者,您可以有能力在更高层对任何流量执行此过滤,好像通过执行深度数据包检测来检测 HTTP。