当社の企業のラップトップは、プロキシを介したインターネットアクセスのみを許可するように制限されています(Internet Explorerの接続プロファイルはGPOを介してプッシュされます)。リモート/ 3サードパーティ接続では、これは企業ネットワークにVPNを作成して戻すことで許可されます(CiscoVPNクライアント-> Cisco ASA)。その時点でプロキシが使用可能になり、すべてのインターネットトラフィックがそれを介してルーティングされます。
最近、電車の中でワイヤレス接続を使用しようとしたユーザーの1人から質問がありました。鉄道会社は、ユーザーが自分のネットワークでホストされているフォームに記入することを要求しています。
私たちが抱えていた問題は、プロキシが利用できなかったため、ユーザーが鉄道会社の内部ページにアクセスできなかったことでした。鉄道会社のログオンページを完了していなかったため、VPNに接続できませんでした。
このページを「このアドレスのバイパスプロキシ...」で指定すると、そのページのみに接続できると考えましたが、すべての鉄道会社、ホテル、公共のホットスポットを追加する必要があるため、これは拒否されました。このように機能します(これは数千のリストである必要があります)
2番目の提案は、任意のローカルネットワーク範囲(10. *または192. *)への接続を許可することでしたが、セキュリティに関する影響は危険であるように思われました。さらに、鉄道会社が提供するページはhttp://virginrailwifisignup
ページではなくhttp://192.168.1.1
その時点で私たちは困惑しました。今ではおなじみの「この問題を抱えているのは私たちだけではない」という叫び声がオフィスに上がったが、有用な解決策について言及している人を見つけることができなかった。
サーバー障害、これをどのように管理しましたか?
注目に値するのは、私たちはすべてのモバイルユーザーに3G接続を提供していることです。彼らは外出中、VPNで戻ってきますが、電車の中で地獄のように不安定です。
当社の企業のラップトップは、プロキシを介したインターネットアクセスのみを許可するように制限されています(Internet Explorerの接続プロファイルはGPOを介してプッシュされます)。
IEの接続プロファイルに設定をプッシュすると、プロキシを介したインターネットアクセスが許可されませんのみ。プロキシを介したインターネットアクセスについて考え、アクセシビリティを向上させるだけです。
私が正しく理解していれば、インターネットにアクセスしてプロキシを使用するために、ユーザーにVPNに接続してもらうことが必要です。その場合は、潜在的なマルウェア/攻撃がすべてネットワークを介してルーティングされるため、注意が必要です。
ほとんどのWindowsでは、デフォルトでXPの後にVPNに接続すると、リモートネットワークのデフォルトゲートウェイが使用されます。したがって、この設定がこのままであることを確認する必要があります。これは、次の方法で実現できます。 GPまたはCMAK、スクリプト、またはレバレッジユーザーとしてマシンごとに1回手動で実行することもできます。
しかし、Webベースのログインでは、ユーザーはランダムなWebサイト(したがってインターネット)にアクセスする必要があります。ここで Network Location Awareness が始まります
グループポリシークライアントは、ドメインコントローラーの可用性が戻るたびにポリシー設定を適用します。グループポリシー処理をトリガーする接続イベントの例には、VPNセッションの確立、休止状態またはスタンバイからの回復、ラップトップのドッキングなどがあります。この利点は、グループポリシーの変更をより迅速に適用することにより、ワークステーションのセキュリティレベルを向上させる可能性があります。
したがって、ユーザーが仕事用ネットワーク以外のネットワークへの接続を確立すると、VPN接続がトリガーされ、すべてが正常になります。
特にクライアントの多様化がある場合、私は簡単な仕事ではないことを認めなければなりません。
それを回避する別の方法は、すべてをロックダウンして、その多くを無効にし、VPNの外部で使用するために別のユーザーアカウントを作成し、他の種類の制限を強制することです(たとえば、ビデオ、オーディオ、特定のドメインなどはありません)
さらに別の方法は、特定の接続から特定のポートをブロックするか、VPNへのアクセスを制限することです。内部サーバーへのアクセスなし
私は少し混乱していると思いますが、なぜあなたのすべてのクライアントがあなたのレンガとモルタルの外にいるとき、あなた自身のネットワークを介してルーティングされるためだけにインターネットに接続することを強制されなければならないのですか?
VPNクライアントを使用して、自宅に電話をかけ、ネットワーク上のリソースにアクセスできるようになりましたが、送信されたすべてのブラウジングトラフィックを、再度ルーティングするためだけに使用する必要があるのはなぜですか。それはコンテンツフィルタリングの目的のためですか、それとも単に企業リソースにアクセスできるようにするためですか。
とにかく、そもそもなぜこのような設定が必要なのか、少し混乱していると思います。彼らがあなたのネットワーク上にいないのなら、実際に彼らがVPNクライアントも持っているのに、なぜ彼らをオフィスにプロキシして戻すのに悩むのでしょうか?全体が少し複雑すぎて、必要に応じて設計されすぎているのではないかと思います。