如何防止任何未加入域的计算机从我的网络请求任何服务?考虑到该计算机位于另一个网络上。
答案1
我猜这在 TCP/IP 级别上是不可能的。您可以使用 AD 身份验证保护每个服务。如果服务本身不支持此功能,您可以尝试使用支持此功能的代理(例如 SOCKS)。另一种方法是更深层次的,通过在交换机上使用基于 802.1x 端口的身份验证。这将要求机器在交换机“打开”端口之前进行身份验证。未经身份验证的机器将没有网络连接,也无法访问互联网。应该可以使用 AD 作为身份验证的后端。您还需要支持 802.1x 的交换机
答案2
问题在于 TCP/IP 无法识别 AD 域数据包的来源。据我所知,市场上没有防火墙可以帮助创建“仅允许来自 AD 域 MYCORP.COM 成员的流量”规则。防火墙必须拥有源域的凭据,并且必须查询 AD 以获取每个新 IP 地址 - 这会非常慢。
您可以做的是识别授权用户的 IP 地址或子网,创建一个包含这些用户的组,并创建一个规则,规定“允许此组中的机器访问我的网络”。除非您熟悉 TCP/IP 和防火墙,否则这不是一项简单的任务。我认为您应该考虑聘请一名顾问。