Изоляция серверов и доменов

Опубликовано: Апрель 2009 г.

Обновлено: Декабрь 2009 г.

Назначение: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

В сети Windows можно логически изолировать ресурсы серверов и доменов, чтобы разрешить доступ только тем компьютерам, которые пройдут проверку подлинности и авторизацию. Например, в имеющейся физической сети можно создать логическую, в которой компьютеры используют общий набор требований к безопасному обмену данными. Для установления соединения каждый компьютер этой логически изолированной сети должен представить другому такому компьютеру учетные данные для проверки подлинности. Сетевой трафик от компьютеров и пользователей, которые либо не могут пройти проверку подлинности, либо по ее результатам идентифицированы как не входящие в список разрешенных, отбрасывается. Такая изоляция не позволяет компьютерам и программам без соответствующих прав получать доступ к ресурсам.

Изоляция серверов и доменов может способствовать защите важных серверов и данных, а также защите управляемых компьютеров от неуправляемых или посторонних компьютеров и пользователей.

Для защиты сети можно использовать два типа изоляции.

• Изоляция сервера. В этом сценарии для сервера настраиваются правила безопасности подключений IPsec, которые требуют, чтобы подключения от других компьютеров прошли проверку подлинности и были авторизованы, а также зашифрованы, если это задано. Например, сервер баз данных можно настроить на разрешение подключений только с сервера веб-приложений. В другом распространенном сценарии важные серверы для расчета заработной платы защищаются путем принятия подключений только от компьютеров, прошедших проверку подлинности в качестве авторизованных членов группы клиентских компьютеров по расчету заработной платы.
  
  
• Изоляция домена. Для изоляции домена в качестве критерия в правилах безопасности подключений используется принадлежность к домену Active Directory, чтобы обеспечить принятие компьютерами, принадлежащими домену, только подключений от других компьютеров этого домена, прошедших проверку подлинности. Подключения компьютеров, не принадлежащих домену, отбрасываются. Можно создать правила исключения, разрешающие подключения конкретных компьютеров, не принадлежащих домену. Изолированная сеть состоит только из тех компьютеров, которые входят в домен, как показано на рисунке 1.
  
  

Дополнительные сведения по изоляции серверов и доменов см. в статье Изоляция серверов и доменов (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=95395).