그래서 브리지된 방화벽으로 인해 매우 나쁜 결과가 나왔기 때문에 독립형 프록시를 만들기로 결정했습니다. 도메인에 있는 PC는 기본적으로 프록시를 가져오고 인터넷 액세스는 필터링됩니다. 문제 없다!
하지만 누군가가 도메인에 없는 PC를 가져오는 경우 프록시를 거치지 않으므로 무제한으로 인터넷에 액세스할 수 있습니다. 이는 Wi-Fi와 동일하며 도메인에 없는 장치는 인터넷에 완전히 액세스할 수 있습니다.
내 라우터는 cisco 2811이고 dhcp는 내 DC에서 실행됩니다. 모든 데이터가 프록시를 통과하도록 강제하여 그룹 정책을 받는 도메인에 없는 경우에도 모든 트래픽이 필터링되도록 하려면 어떻게 해야 합니까?
답변1
모든 데이터가 프록시를 통과하도록 강제하여 그룹 정책을 받는 도메인에 없는 경우에도 모든 트래픽이 필터링되도록 하려면 어떻게 해야 합니까?
다음 중 하나를 수행해야 합니다.
네트워크에 있는 타사 장치 사용자에게 다음을 요구합니다.프록시 서버를 명시적으로 구성네트워크에 연결할 때 장치/브라우저에서.
이는 기술적인 변화가 아닌 정책 변화입니다. 사용자는 일반적으로 프록시 서버 구성 프로세스에 익숙하지 않기 때문에 지원 팀에 부담이 될 수도 있습니다.
프록시를 다음으로 활성화하십시오.투명 프록시필터링 및 계속 전달을 위해 아웃바운드 웹(HTTP) 트래픽을 프록시에 전달하도록 게이트웨이 장치를 구성합니다. 내 경험상 이것이 가장 효과적인 접근 방식이지만, 특히 프록시가 사용자 인증을 통해 다양한 수준의 필터링을 제공하는 경우 위의 방법과 결합하도록 선택할 수도 있습니다.
PAC 파일 및 자동 프록시 검색을 사용하여 프록시 서버 구성을 위한 자동화된 메커니즘을 사용하는 것도 가능합니다. 그러나 의견에 언급된 바와 같이 이는 심각한 보안 취약점을 갖고 있으므로 권장되지 않습니다(원천).
[만약] 누군가가 도메인에 없는 PC를 가져오면 프록시를 거치지 않으므로 제한 없이 인터넷에 액세스할 수 있습니다.
이 문제를 해결하려면 방화벽이나 게이트웨이 장치에서 웹에 대한 직접적이고 무제한적인 액세스를 차단해야 합니다.이러한 예방 조치가 없으면 관리되지 않는 장치의 소유자는 배포 방법에 관계없이 장치에 푸시된 모든 프록시 설정을 무시하고 무제한 액세스 권한을 얻도록 장치를 구성할 수 있습니다. 이는 정책을 통해 적용하는 제한 수준에 따라 회사 컴퓨터에도 해당될 수 있습니다(예: 사용자가 그룹 정책 적용 프록시 설정을 우회하기 위해 자신의 브라우저를 설치할 수 있습니까?).
이는 웹(HTTP) 트래픽에 대한 액세스를 거부하는 ACL을 생성하거나 이러한 트래픽을 자동으로 프록시 서버에 전달하도록 투명한 프록시 규칙을 구성하는 것을 의미할 수 있습니다. 프록시 서버에만 월드와이드 웹에 대한 직접 액세스를 허용하는 규칙이 있어야 합니다.
명백한 웹 포트(80/443)를 차단하거나 모든 아웃바운드 포트(가장 안전함)를 차단하여 TCP 계층에서 이 필터링을 수행하도록 선택할 수 있습니다. 또는 상위 계층에서 다음과 같은 트래픽에 대해 이 필터링을 수행할 수 있는 기능이 있을 수도 있습니다.처럼 보인다심층 패킷 검사를 수행하여 HTTP.