我有一个关于安全性的问题,想看看 VPN 是否比公共互联网上单独的 SSL 提供更多的安全性。
2012 R2 Hyper-V 服务器在数据中心设置中使用证书进行 SSL 加密(来自已启动并正在运行的 Windows 2012 R2 PKI)。
该服务器位于防火墙后面,将端口 443 从公共 IP NAT 到私有 LAN。
多个办公室的多台 2012 R2 Hyper-V 服务器连接到数据中心 Hyper-V 服务器,每个办公室 Hyper-V 服务器都安装了证书。
如果我们锁定防火墙以仅接受来自客户办公室 IP 的请求,是否存在需要担心的安全问题?
Hyper-V 是否可以在解密 SSL 代理(例如位于两个 hyper-v 服务器之间的 fortigate 或 nginx 反向代理)后面运行,以解密、检查然后重新加密流量?
我可以看到客户端正在尝试通过 tcp/135 与副本目标通信。通过阻止该问题,我可以看到的唯一问题是同步设置期间无法检索副本证书 - tcp/135 除了初始设置外还用于其他用途吗?
答案1
HTTP(非 SSL)复制应仅用于受信任的网络(例如 LAN、VPN 等),在这些网络上您不必担心中间人攻击。一旦您进入不受信任的网络(例如 Internet),您就应该使用 SSL。
设置起来并不难。如果您担心成本,那么可以设置自己的 PKI。