你好,我正在建立一个小型 2012R2 网络。
现在我想设置一个 DC 并将几台 Windows 机器与其连接。它在我的根服务器上虚拟化运行,不幸的是我无法将其置于防火墙后面,因为它的互联网通过带有路由器虚拟机的子网路由(感谢 Hetzner)。
为了至少有一点安全性,我想要阻止所有类型的访问(ping,rdp等...),除非它来自我的子网的ips。
所以基本上我想将我的子网列入白名单并拒绝来自互联网的任何内容。
有没有办法,或者至少有最佳实践来实现这一点?
答案1
在 Windows 防火墙中创建适当的规则 - 您可以通过 GPO 在域范围内执行此操作。另一个选项是配置 IPSEC 隔离,以便所有通信都必须通过 IPSEC 从受信任的来源进行。