ブリッジ ファイアウォールでは非常に悪い結果が出たので、スタンドアロン プロキシを作成することにしました。ドメイン上の PC はデフォルトでプロキシを取得し、インターネット アクセスがフィルタリングされます。すべて順調です!
しかし、誰かがドメイン外のPCを持ち込んだ場合、プロキシを経由しないので制限なくインターネットにアクセスできます。これはWi-Fiと同じで、ドメイン外のデバイスは完全にインターネットにアクセスできます。
私のルータは cisco 2811 で、dhcp は DC 上で実行されています。グループ ポリシーを取得しているドメイン上にない場合でもすべてのトラフィックがフィルタリングされるように、すべてのデータをプロキシを通過させるにはどうすればよいですか?
答え1
グループ ポリシーを取得するドメイン上になくてもすべてのトラフィックがフィルター処理されるように、すべてのデータをプロキシ経由で通過させるにはどうすればよいですか?
次のいずれかを行う必要があります。
ネットワーク上のサードパーティ製デバイスのユーザーにプロキシサーバーを明示的に設定するお客様がネットワークに接続するときに、デバイス/ブラウザに表示されます。
これは技術的な変更ではなく、ポリシーの変更です。また、ユーザーは通常、プロキシ サーバーの構成プロセスに精通していないため、サポート チームに負担がかかる可能性があります。
プロキシを有効にする透過プロキシゲートウェイ デバイスを構成して、アウトバウンド Web (HTTP) トラフィックをプロキシに渡してフィルタリングし、その後の配信を行うようにします。私の経験では、これが最も効果的な方法ですが、プロキシがユーザー認証を介してさまざまなレベルのフィルタリングを提供する場合は特に、上記の方法と組み合わせることもできます。
PAC ファイルと自動プロキシ検出を使用して、プロキシ サーバーを構成するための自動化メカニズムを使用することもできます。ただし、コメントに記載されているように、これらには重大なセキュリティ上の脆弱性があり、推奨されません (ソース)。
ドメイン外のPCを持ち込んだ場合、プロキシを経由しないので、制限なくインターネットにアクセスできます。
この問題を解決するには、ファイアウォールまたはゲートウェイ デバイスで Web への直接かつ無制限のアクセスをブロックする必要があります。この予防措置を講じないと、管理されていないデバイスの所有者は、デバイスにプッシュされたプロキシ設定を無視するようにデバイスを構成するだけで (展開方法に関係なく)、無制限のアクセス権を取得できます。ポリシーで適用する制限のレベルによっては、会社のマシンにもこれが当てはまる場合があります (たとえば、ユーザーはグループ ポリシーで強制されるプロキシ設定を回避するために独自のブラウザーをインストールできますか?)。
これは、Web (HTTP) トラフィックのアクセスを拒否する ACL を作成するか、そのようなトラフィックをプロキシ サーバーに自動的に渡す透過プロキシ ルールを構成することを意味します。ワールド ワイド ウェブへの直接アクセスを許可するルールは、プロキシ サーバーのみに設定する必要があります。
TCP層でフィルタリングを実行するには、明らかなWebポート(80/443)をブロックするか、すべての送信ポート(最も安全)をブロックするかを選択できます。または、より上位の層で、次のトラフィックに対してフィルタリングを実行する機能もあります。似ているディープパケットインスペクションを実行することにより HTTP を検査します。