Как запретить любому компьютеру, который не присоединен к домену, запрашивать какие-либо услуги из моей сети? Учитывая, что компьютер находится в другой сети.
Я думаю, это невозможно на уровне TCP / IP. Вы можете защитить каждую службу с помощью аутентификации AD. Если служба не поддерживает это изначально, вы можете попробовать использовать прокси (например, SOCKS), который поддерживает. Другой подход - на более глубоком уровне с использованием аутентификации на коммутаторах на основе портов 802.1x. Это потребует от машины аутентификации перед тем, как коммутатор «откроет» порт. Машины, не прошедшие проверку подлинности, не будут иметь ни сетевого подключения, ни доступа к Интернету. Должна быть возможность использовать AD в качестве серверной части для аутентификации. Вам также понадобятся коммутаторы, поддерживающие 802.1x.
Проблема в том, что TCP / IP не идентифицирует пакеты домена AD. Насколько мне известно, на рынке нет брандмауэра, который облегчил бы создание правила, которое гласит: «Разрешать трафик только из источников, которые являются членами домена AD MYCORP.COM». Брандмауэр должен иметь учетные данные в исходном домене и запрашивать AD для каждого нового IP-адреса - это будет мучительно медленно.
Что вы МОЖЕТЕ сделать, так это определить IP-адреса или подсети авторизованных пользователей, создать группу, содержащую этих пользователей, и создать правило, которое гласит «разрешить машинам в этой группе доступ к моей сети». Это нетривиальная задача, если вы не знакомы с TCP / IP и межсетевыми экранами. Я считаю, что вам следует подумать о найме консультанта.