我们的企业笔记本电脑只能通过我们的代理(通过GPO推送的Internet Explorer中的连接configuration文件)才能访问互联网。 在远程/第三方连接上,通过将VPN创build回公司networking(Cisco VPN客户端 – > Cisco ASA),允许代理服务器可用,并通过该networking路由所有的Internet通信。
我们最近遇到了一个试图在火车上使用无线连接的用户提出的问题。 列车公司要求用户填写自己networking上的表单。
我们遇到的问题是用户无法到达火车公司的内部页面,因为代理不可用。 他们无法连接VPN,因为他们还没有完成列车公司的login页面。
我们认为我们可以在“绕过此地址的代理服务器”中指定此页面,该页面只允许连接到那个页面,但是我们不得不开始添加每个火车公司,酒店,公共热点以这种方式工作(必须是成千上万的清单)
第二个build议是允许连接到任何本地networking范围(10. *或192。*),但是涉及安全的含义似乎是危险的。 另外,由火车公司提供的页面将是http://virginrailwifisignup页面,而不是http://192.168.1.1
当时我们被困住了。 现在熟悉的呐喊在办公室里出现了,“我们不能是唯一有这个问题的人”,但是我一直没有find提到有用解决办法的人。
所以我问你,服务器故障,你怎么处理这个?
值得注意的是,我们为所有的移动用户提供3G连接,当他们出门在外时,他们又回来了,但是在火车上它像一团糟。
我们的企业笔记本电脑只能通过我们的代理(通过GPO推送的Internet Explorer中的连接configuration文件)才能访问互联网。
在IE中将设置推送到连接configuration文件,您不仅允许通过您的代理访问互联网。 您只需通过您的代理制定关于互联网访问的概念,并增加可访问性。
如果我正确理解你想要的是让用户连接到你的VPN,以便使用你的代理访问互联网。 如果出现这种情况,则必须小心谨慎,因为现在所有潜在的恶意软件/攻击都会通过您的networking进行路由。
默认情况下,在XP之后的大多数Windows中,当您连接到VPN时,您正在使用远程networking上的默认网关。 因此你必须确保这个设置保持这样。 您可以通过您的GP或CMAK或脚本来完成这项工作,或者甚至可以在每台机器上以杠杆用户身份手动完成。
但是在基于networking的login中,用户必须访问一些随机的网站(因而也是互联网)! 这是networking位置感知的地方
只要域控制器可用性返回,组策略客户端就会应用策略设置。 触发组策略处理的连接事件的示例包括build立VPN会话,从hibernate或待机恢复以及笔记本电脑的对接。 此优势可以通过更快速地应用组策略更改来潜在地提高工作站上的安全级别。
所以,如果你的用户build立一个连接到你的工作networking以外的networking,你将触发你的VPN连接,一切都很好。
特别是当客户多元化时,我不得不承认并非易事。
另一种解决方法是将所有东西都locking,禁用它们,并在VPN之外创build另一个用户帐户,并强制其他types的限制(例如,没有video,audio,特定域等)。
另一种方法是阻止来自特定连接的某些端口,或者限制访问您的VPN,例如不能访问内部服务器
我想我有点困惑,但是为什么当您的客户不在您的实体店时,您必须被迫连接到互联网,才能通过自己的networking进行路由?
我有一个VPN客户端,可以打电话回家,访问networking上的资源,但为什么你想他们所有的浏览stream量发回给你,只是被路由回来了? 是为了内容过滤的目的还是仅仅是为了让他们也能够访问企业资源。
无论如何,我想我只是有点困惑,为什么设置需要像这样摆在首位。 如果他们不在你的networking上,为什么还要把他们代理回办公室,如果他们实际上也有一个VPN客户端呢? 我想我好奇,如果整个事情可能有点过于复杂,超过工程,如果你愿意。
使用真正的防火墙来限制访问 – 不仅仅是MSIE连接configuration文件。