对于具有公共 IP 的 DC,使用 Windows 防火墙可以吗?

tag-icon tag-icon active-directory firewall windows-server-2012-r2 domain-controller
对于具有公共 IP 的 DC,使用 Windows 防火墙可以吗?

我目前有几台专用的 Windows Web 服务器,它们托管在不同地区。到目前为止,我一直在没有 Active Directory 的情况下管理它们,但我觉得这会增加很多不必要的管理开销和限制。

现在我想知道如何保护 DC。我没有自己的数据中心,但我可以租用另外两台专用服务器并将它们用作 DC。我知道 DC 最好放在专用防火墙后面,但这会使租用 DC 的成本大大增加。

在 DC 上使用 Windows 防火墙而不是单独的防火墙设备可以吗?这可能不是教科书上的解决方案,但如果我将对 DC 传入端口的访问限制为我自己的 Web 服务器的 IP 地址,似乎一切都应该是安全的。毕竟,这与使用单独的防火墙设备所做的一样。

答案1

当我第一次看到这个问题时,我真的很担心是否要给 DC 一个公共 IP。但仔细想想,我可能会考虑这个,如果DC 是不是我的较大的 AD 林的一个成员,并且域中唯一的机器是 Web 服务器。

这仍然允许我使用组策略和通用身份验证来管理我的 Web 服务器,只需为自己分配一个额外的 AD 帐户,而无需将我的真实内部 DC 暴露给大型恶意网络。实际上,您只是为 DMZ 设置了一个 AD。

然而,我仍然看到这种方法存在一些挑战:

  1. AD 与 DNS 紧密结合。您需要仔细考虑如何结合 AD 来管理 Web 服务器的 DNS 记录。
  2. 虽然 Windows 防火墙足够的(勉强)从未经授权的访问角度来看,这并不能阻止它从审计和拒绝服务抵抗的角度出发。通过指挥 DoS 攻击您的中央 DC 来破坏您的网站是微不足道的 — 可能不会破坏或关闭,但至少会造成破坏。

答案2

想到要将域控制器放在公共互联网上,我就害怕极了。话虽如此,如果您真的可以将与 DC 的通信限制到一组计算机,使用 Windows 防火墙以默认拒绝状态对这些授权计算机设置“允许”规则,这对我来说似乎并不不合理。

理想情况下,我更喜欢一个独立的管理网络,Web 服务器和 DC 都连接到该网络,而 DC 不直接连接到 Internet,而是通过 VPN 访问管理网络。考虑到您在托管方案中可能遇到这种情况,您所描述的并不是不合理的后备方案。在您的防火墙 DC 方案中,升级其中一个 Web 服务器上的权限的人在我的独立管理网络方案中也会处于类似的位置。只要您一丝不苟地将 DC 视为独立的机器并限制其与 Internet 的通信(理想情况下,一旦您建立了到“跳转箱”的 VPN,就完全禁用它),情况就不会有太大不同。

答案3

我不推荐它,因为防火墙本身非常基础。

仅为您的 Web 应用程序设置 AD 并不比在基本身份验证下设置 AD 更不安全,但请查看那里获取一些提示(即使标记为 2008):外围网络中的 Active Directory 域服务 (Windows Server 2008)

Windows 防火墙对于 UDP 来说是伪状态的,对于 ICMP 来说是无状态的,对于 Ipv4、Ipv6 来说是有状态的(对于过滤流量,对于检查我没有找到任何文档,但如果有,那它真的很有限)。

硬件设备通常是有状态的。

有状态的:

在计算领域,状态防火墙(任何执行状态数据包检测 (SPI) 或状态检测的防火墙)是一种跟踪通过它的网络连接(如 TCP 流、UDP 通信)状态的防火墙。防火墙经过编程可区分不同类型连接的合法数据包。只有与已知活动连接匹配的数据包才会被防火墙允许通过;其他数据包将被拒绝。

状态检测,也称为动态数据包过滤,是企业网络中经常包含的一项安全功能。Check Point Software 于 1994 年在其 FireWall-1 中使用状态检测。1[2]https://en.wikipedia.org/wiki/Stateful_firewall

无国籍:

无状态防火墙监视网络流量,并根据源地址和目标地址或其他静态值限制或阻止数据包。它们不“了解”流量模式或数据流。无状态防火墙使用简单的规则集,不考虑防火墙可能接收数据包并“假装”是您要求的数据包的可能性。 - 更多信息请参见: http://www.inetdaemon.com/tutorials/information_security/devices/firewalls/stateful_vs_stateless_firewalls.shtml#sthash.iDNnjqWC.dpuf

来自 TechNet:

Windows 防火墙提供使用 TCP 传输协议的 TCP/IP 流量(IPv4 和 IPv6)的状态过滤。它还提供了使用 UDP 传输协议的 TCP/IP 流量的“伪状态”过滤。ICMP 流量不是状态过滤的;相反,ICMP 流量是根据 Windows 防火墙设置允许或阻止的(例如,您可以通过配置 Windows 防火墙设置明确允许或拒绝传入的回应请求或传出的无法到达目标的消息)。由于 Windows 防火墙直接绑定到 Windows 的 TCP/IP 体系结构,因此它不提供任何非 TCP/IP 协议(​​如 IPX/SPX 或 AppleTalk)的过滤。

除某些文件传输协议 (FTP) 流量外,Windows 防火墙不使用应用程序层信息来状态化地过滤流量。FTP 是一种特殊情况,因为 FTP 服务器为 FTP 文件传输建立数据通道的方式不同。在典型的 FTP 用户会话期间,FTP 客户端会启动与 FTP 服务器的控制通道。当 FTP 客户端从 FTP 服务器传输文件时,FTP 服务器会尝试通过在与用于控制通道的端口不同的 TCP 端口上启动通信来与 FTP 客户端建立数据通道。这可能会导致 FTP 客户端计算机上运行的大多数防火墙丢弃来自服务器的数据通道数据包,因为它们似乎是未经请求的。为了解决这个问题,Windows 防火墙使用应用程序层网关服务为 FTP 数据通道提供动态端口映射,从而促进 FTP 流量的状态化过滤。https://technet.microsoft.com/en-us/library/cc755604(v=ws.10).aspx

相关内容