Pentadbir IT mungkin mengunci DMZ daripada perspektif luaran tetapi gagal meletakkan tahap keselamatan itu pada akses kepada DMZ daripada perspektif dalaman kerana anda perlu mengakses, mengurus dan memantau sistem ini dalam DMZ juga, tetapi dalam cara yang sedikit berbeza daripada yang anda lakukan dengan sistem pada LAN dalaman anda. Dalam siaran ini, kita akan membincangkan Amalan terbaik Pengawal Domain DMZ yang disyorkan oleh Microsoft.
Apakah itu Pengawal Domain DMZ?
Dalam keselamatan komputer, DMZ, atau zon demilitarized, ialah sub-rangkaian fizikal atau logik yang mengandungi dan mendedahkan perkhidmatan yang menghadap luaran organisasi kepada rangkaian yang lebih besar dan tidak dipercayai, biasanya Internet. Tujuan DMZ adalah untuk menambah lapisan keselamatan tambahan pada LAN organisasi; nod rangkaian luaran mempunyai akses terus hanya kepada sistem dalam DMZ dan diasingkan daripada mana-mana bahagian rangkaian yang lain. Sebaik-baiknya, jangan sekali-kali ada pengawal domain yang duduk dalam DMZ untuk membantu dengan pengesahan kepada sistem ini. Sebarang maklumat yang dianggap sensitif, terutamanya data dalaman tidak boleh disimpan dalam DMZ atau sistem DMZ bergantung padanya.
Amalan terbaik Pengawal Domain DMZ
Pasukan Active Directory di Microsoft telah menyediakan dokumentasi dengan amalan terbaik untuk menjalankan AD dalam DMZ. Panduan ini merangkumi model AD berikut untuk rangkaian perimeter:
Tiada Direktori Aktif (akaun tempatan)Model hutan terpencilModel hutan korporat lanjutanModel amanah hutan
Panduan mengandungi arahan untuk menentukan sama ada Perkhidmatan Domain Direktori Aktif (AD DS) adalah sesuai untuk rangkaian perimeter anda (juga dikenali sebagai DMZ atau extranet), pelbagai model untuk menggunakan AD DS dalam rangkaian perimeter dan maklumat perancangan dan penggunaan untuk Pengawal Domain Baca Sahaja (RODC) dalam rangkaian perimeter. Oleh kerana RODC menyediakan keupayaan baharu untuk rangkaian perimeter, kebanyakan kandungan dalam panduan ini menerangkan cara merancang dan menggunakan ciri Windows Server 2008 ini. Walau bagaimanapun, model Active Directory lain yang diperkenalkan dalam panduan ini juga merupakan penyelesaian yang berdaya maju untuk rangkaian perimeter anda.
Itu sahaja!
Ringkasnya, akses kepada DMZ dari perspektif dalaman hendaklah dikunci serapat mungkin. Ini adalah sistem yang berpotensi menyimpan data sensitif atau mempunyai akses kepada sistem lain yang mempunyai data sensitif. Jika pelayan DMZ terjejas dan LAN dalaman terbuka luas, penyerang tiba-tiba mendapat laluan ke rangkaian anda.
Baca seterusnya: Pengesahan prasyarat untuk promosi Pengawal Domain gagal
Baca seterusnya p>
Adakah pengawal domain harus berada dalam DMZ?
Ia tidak disyorkan kerana anda mendedahkan pengawal domain anda kepada risiko tertentu. Hutan sumber ialah model hutan AD DS terpencil yang digunakan dalam rangkaian perimeter anda. Semua pengawal domain, ahli dan klien yang disertai domain berada dalam DMZ anda.
Baca: Pengawal Domain Direktori Aktif untuk domain tidak dapat dihubungi
Bolehkah anda menggunakan dalam DMZ?
Anda boleh menggunakan aplikasi Web dalam zon demilitarisasi (DMZ) untuk membolehkan pengguna luar yang dibenarkan di luar tembok api syarikat anda mengakses aplikasi Web anda. Untuk melindungi zon DMZ, anda boleh:
Menghadkan pendedahan port menghadap internet pada sumber kritikal dalam rangkaian DMZ. Hadkan port terdedah kepada alamat IP yang diperlukan sahaja dan elakkan meletakkan kad bebas dalam port destinasi atau entri hos. Kemas kini mana-mana awam secara berkala Julat IP dalam penggunaan aktif.
Baca: Cara menukar Alamat IP Pengawal Domain.