Итак, у меня были крайне плохие результаты с мостовыми брандмауэрами, поэтому я решил создать автономный прокси, ПК в домене получают прокси по умолчанию, а их доступ в интернет затем фильтруется. Все хорошо!
Но затем кто-то приносит компьютер, который не входит в домен, он не проходит через прокси-сервер, поэтому может получить неограниченный доступ в Интернет, это то же самое, что и Wi-Fi, устройства, не входящие в домен, имеют полностью доступный Интернет.
Мой маршрутизатор — Cisco 2811, и на моем DC работает DHCP. Что я могу сделать, чтобы заставить все данные проходить через прокси-сервер, чтобы весь трафик фильтровался, даже если он не находится в домене, получающем групповую политику?
решение1
что можно сделать, чтобы заставить все данные проходить через прокси-сервер, чтобы весь трафик фильтровался, даже если они не находятся в домене, получающем групповую политику?
Вам необходимо будет либо:
Требуйте от пользователей сторонних устройств в вашей сетиявно настроить прокси-серверв своем устройстве/браузере при подключении к вашей сети.
Это изменение политики, а не техническое; оно также может оказаться обременительным для вашей службы поддержки, поскольку пользователи, как правило, не знакомы с процессом настройки прокси-сервера.
Включите ваш прокси-сервер какпрозрачный проксинастроив шлюзовое устройство для передачи исходящего веб-трафика (HTTP) на ваш прокси-сервер для фильтрации и дальнейшей доставки. По моему опыту, это наиболее эффективный подход, хотя вы можете объединить его с вышеперечисленными методами, особенно если ваш прокси-сервер обеспечивает различные уровни фильтрации посредством аутентификации пользователя.
Также возможно использовать автоматизированные механизмы для настройки прокси-серверов, используя PAC-файл и автоматическое обнаружение прокси. Однако, как отмечено в комментариях, они имеют критические уязвимости безопасности и не рекомендуются (источник).
[Если] кто-то приносит компьютер, который не находится в домене, он не проходит через прокси-сервер, поэтому может получить доступ к Интернету без ограничений.
Любое решение этой проблемы потребует от вас блокировки прямого, неограниченного доступа к Интернету в вашем брандмауэре или шлюзе.Без этой меры предосторожности владелец неуправляемого устройства может просто настроить свое устройство так, чтобы оно игнорировало любые настройки прокси, которые вы отправляете на его устройство (независимо от метода развертывания), и получить неограниченный доступ. Это может быть справедливо и для ваших корпоративных машин, в зависимости от уровня ограничений, которые вы применяете через политику (например, могут ли пользователи устанавливать свой собственный браузер, чтобы обойти настройки прокси, принудительно применяемые групповой политикой?).
Это может означать создание ACL, которые запрещают доступ для веб-трафика (HTTP), или настройку прозрачных правил прокси-сервера для автоматической передачи такого трафика на ваш прокси-сервер. Только прокси-сервер должен иметь правила, которые разрешают прямой доступ к всемирной паутине.
Вы можете выбрать выполнение этой фильтрации на уровне TCP, блокируя очевидные веб-порты (80/443) или блокируя все исходящие порты (наиболее безопасный вариант). В качестве альтернативы, вы можете иметь возможность выполнять эту фильтрацию на более высоком уровне для любого трафика, которыйвыглядит какHTTP путем проведения глубокой проверки пакетов.