因此,我使用橋接防火牆得到了非常糟糕的結果,因此決定創建一個獨立的代理,網域中的電腦預設獲得代理,然後過濾他們的網路存取。都好!
但是如果有人帶了一台不在網域中的電腦,他們不會透過代理,因此可以不受限制地訪問互聯網,這與 wifi 相同,不在網域中的設備可以完全訪問互聯網
我的路由器是 cisco 2811,並且 dhcp 在我的 DC 上運行,我該怎麼做才能強制所有資料通過代理,以便過濾所有流量,即使它們不在獲取群組原則的網域上?
答案1
我該怎麼做才能強制所有資料通過代理,以便過濾所有流量,即使它們不在獲取群組原則的網域上?
您將需要:
要求網路上第三方設備的用戶明確配置代理伺服器當他們連接到您的網路時在他們的設備/瀏覽器中。
這是一項政策變化,而不是技術變化;它也可能會給您的支援團隊帶來負擔,因為用戶通常不熟悉配置代理伺服器的過程。
啟用您的代理作為透明代理透過設定您的網關設備將出站 Web (HTTP) 流量傳遞到您的代理程式進行過濾和轉送。根據我的經驗,這是最有效的方法,儘管您可能選擇將其與上述方法結合使用,特別是如果您的代理透過使用者身份驗證提供不同級別的過濾。
也可以使用自動化機制來設定代理伺服器、使用 PAC 檔案和自動代理發現。然而,正如評論中指出的,這些具有嚴重的安全漏洞,不建議(來源)。
[如果]有人攜帶一台不在網域中的電腦,他們不會透過代理,因此可以不受限制地存取互聯網
此問題的任何解決方案都要求您在防火牆或閘道設備中封鎖對 Web 的直接、無限制存取。如果沒有這種預防措施,非託管設備的所有者只需將其設備配置為忽略您推送到其設備的任何代理設定(無論部署方法如何)並獲得不受限制的存取權限。對於您的公司電腦來說,這也可能是正確的,具體取決於您透過策略應用的限制等級(例如,使用者可以安裝自己的瀏覽器來繞過群組原則強制的代理設定嗎?)。
這可能意味著建立拒絕 Web (HTTP) 流量存取的 ACL,或設定透明代理規則以將此類流量自動傳遞到代理伺服器。只有代理伺服器應該具有允許直接存取萬維網的規則。
您可以選擇透過封鎖明顯的 Web 連接埠 (80/443) 或封鎖所有出站連接埠(最安全)來在 TCP 層執行此過濾。或者,您可以在更高層對任何流量執行此過濾好像HTTP 透過執行深度資料包檢查。