IT 管理員可能會從外部角度鎖定 DMZ,但無法從內部角度對 DMZ 訪問設置該級別的安全性,因為您也必須在 DMZ 內訪問、管理和監控這些系統,但是與內部 LAN 上的系統略有不同。在本文中,我們將討論 Microsoft 推薦的DMZ 域控制器最佳實踐。
什麼是 DMZ 域控制器?
在計算機安全中,DMZ 或非軍事區是一個物理或邏輯子網,它包含一個組織的面向外部的服務並將其暴露給更大且不受信任的網絡,通常是 Internet。 DMZ 的目的是為組織的 LAN 添加額外的安全層;外部網絡節點只能直接訪問 DMZ 中的系統,並且與網絡的任何其他部分隔離。理想情況下,永遠不應該有域控制器位於 DMZ 中以協助對這些系統進行身份驗證。任何被認為敏感的信息,尤其是內部數據,不應存儲在 DMZ 中或讓 DMZ 系統依賴它。
DMZ 域控制器最佳實踐
Microsoft 的 Active Directory 團隊已提供 文檔,其中包含在 DMZ 中運行 AD 的最佳實踐。該指南涵蓋了外圍網絡的以下 AD 模型:
無 Active Directory(本地帳戶)獨立林模型擴展的公司林模型森林信任模型
該指南包含用於確定 Active Directory 域服務 (AD DS) 是否可用的說明適用於您的外圍網絡(也稱為 DMZ 或外聯網)、在外圍網絡中部署 AD DS 的各種模型,以及外圍網絡中只讀域控制器 (RODC) 的規劃和部署信息。由於 RODC 為外圍網絡提供了新功能,因此本指南中的大部分內容都描述瞭如何規劃和部署此 Windows Server 2008 功能。但是,本指南中介紹的其他 Active Directory 模型對於您的外圍網絡也是可行的解決方案。
就是這樣!
總而言之,從內部角度訪問 DMZ 應該是盡可能嚴密地鎖定。這些系統可能持有敏感數據或可以訪問其他具有敏感數據的系統。如果 DMZ 服務器受到威脅並且內部 LAN 完全開放,攻擊者就會突然進入您的網絡。
閱讀下一步:驗證域控制器提升的先決條件失敗
域控制器應該在 DMZ 中嗎?
不建議這樣做,因為您會將域控制器暴露在一定的風險中。資源林是部署在外圍網絡中的隔離 AD DS 林模型。所有域控制器、成員和加入域的客戶端都位於您的 DMZ 中。
閱讀:無法聯繫域的 Active Directory 域控制器
您可以在 DMZ 中部署嗎?
您可以在隔離區 (DMZ) 中部署 Web 應用程序,以使公司防火牆外的外部授權用戶能夠訪問您的 Web 應用程序。要保護 DMZ 區域,您可以:
限制 DMZ 網絡中關鍵資源上面向互聯網的端口暴露。將暴露的端口限制為僅需要的 IP 地址,並避免在目標端口或主機條目中放置通配符。定期更新任何公共活躍使用的 IP 範圍。
閱讀:如何更改域控制器的 IP 地址。