Windows Server 2008 中策略驱动网络访问

核心提示： 图 2 管理员可根据此策略指定谁可以进行连接 服务器和域隔离大多数组织正面临着越来越多的来宾和其他不受控设备连接到其网络的情况，因此，Windows Server 2008 中策略驱动网络访问(5)，能够以某种方式分离并保护您的信任主机已成为当务之急，令人庆幸的是，隔离网络外的计算机不能向

图 2 管理员可根据此策略指定谁可以进行连接

服务器和域隔离

大多数组织正面临着越来越多的来宾和其他不受控设备连接到其网络的情况，因此，能够以某种方式分离并保护您的信任主机已成为当务之急。令人庆幸的是，有许多途径可以将信任和受控的计算机与网络中的其他设备相隔离。但是，这些方法大多成本高昂(如另行铺设物理电缆系统)，并且在网络扩大时难于维护(例如基于交换机的 VLAN)。

“服务器和域隔离”提供了一种更具成本效益和可控性的方式，将您所处的环境划分为逻辑上彼此分离且安全的网络。如图 3 所示，您基本上是使用我们先前提到的连接安全性规则(即 IPsec 策略)，但通过 Active Directory® 组策略将其映射到所有受控计算机。这导致网络访问策略要求所有对等方在开始任何通信之前，先要彼此成功地验证身份。由于这种隔离发生在第 3 层，因此这些访问控制的实施可跨越物理和地理界限扩大到集线器、交换机和路由器。

图 3 定义满足您网络访问需求的验证要求

要创建隔离的网络，需要根据所需的访问类型划分网络上的不同计算机。策略可被定义为允许隔离网络上的计算机向网络中的所有计算机发起通信，包括不在隔离网络中的计算机。反之，隔离网络外的计算机不能向隔离网络内的计算机发起通信。实际上，隔离网络内的计算机会忽略从隔离网络外的计算机发出的所有通信请求。