Таким образом, у меня были очень плохие результаты с мостовыми межсетевыми экранами, поэтому я решил создать автономный прокси, компьютеры в домене получают прокси по умолчанию, а их доступ в Интернет затем фильтруется. Все хорошо!
Но затем кто-то приносит компьютер, который не находится в домене, они не проходят через прокси-сервер, поэтому могут иметь неограниченный доступ в Интернет, это то же самое, что и Wi-Fi, устройства, не входящие в домен, имеют полностью доступный Интернет
Мой маршрутизатор - cisco 2811, и dhcp работает на моем контроллере домена. Что я могу сделать, чтобы заставить все данные проходить через прокси-сервер, чтобы весь трафик фильтровался, даже если они не находятся в домене, получающем групповую политику?
что я могу сделать, чтобы заставить все данные проходить через прокси, чтобы весь трафик фильтровался, даже если они не находятся в домене, получающем групповую политику?
Вам потребуется:
Требовать от пользователей сторонних устройств в вашей сети явно настроить прокси-сервер в своем устройстве / браузере, когда они подключаются к вашей сети.
Это изменение политики, а не техническое; это также может быть обременительным для вашей службы поддержки, поскольку пользователи обычно не знакомы с процессом настройки прокси-сервера.
Включите ваш прокси как прозрачный прокси настроив шлюз для передачи исходящего веб-трафика (HTTP) на прокси-сервер для фильтрации и дальнейшей доставки. По моему опыту, это наиболее эффективный подход, хотя вы можете комбинировать его с вышеуказанными методами, особенно если ваш прокси-сервер обеспечивает различные уровни фильтрации с помощью аутентификации пользователя.
Также можно использовать автоматизированные механизмы для настройки прокси-серверов, используя файл PAC и автоматическое обнаружение прокси. Однако, как отмечено в комментариях, они имеют критические уязвимости безопасности и не рекомендуются (источник).
[Если] кто-то приносит компьютер, который не находится в домене, он не проходит через прокси-сервер, поэтому может получить неограниченный доступ к Интернету.
Любое решение этой проблемы потребует, чтобы вы заблокировали прямой неограниченный доступ к Интернету в вашем брандмауэре или шлюзе. Без этой меры предосторожности владелец неуправляемого устройства может просто настроить свое устройство на игнорирование любых настроек прокси-сервера, которые вы отправляете на его устройство (независимо от метода развертывания), и получить неограниченный доступ. Это также может быть верно для ваших корпоративных компьютеров, в зависимости от уровня ограничений, которые вы применяете с помощью политики (например, могут ли пользователи установить свой собственный браузер, чтобы обойти настройки прокси-сервера, применяемые групповой политикой?).
Это может означать создание списков ACL, которые запрещают доступ для веб-трафика (HTTP), или настройку правил прозрачного прокси для автоматической передачи такого трафика на ваш прокси-сервер. Только прокси-сервер должен иметь правила, разрешающие прямой доступ к всемирной паутине.
Вы можете выбрать выполнение этой фильтрации на уровне TCP, блокируя очевидные веб-порты (80/443) или блокируя все исходящие порты (наиболее безопасный). В качестве альтернативы вы можете иметь возможность выполнять эту фильтрацию на более высоком уровне для любого трафика, который выглядит как HTTP путем выполнения глубокой проверки пакетов.