无需 VPN 即可使用证书进行 Hyper-V 复制

无需 VPN 即可使用证书进行 Hyper-V 复制

我有一个关于安全性的问题,想看看 VPN 是否比公共互联网上单独的 SSL 提供更多的安全性。

2012 R2 Hyper-V 服务器在数据中心设置中使用证书进行 SSL 加密(来自已启动并正在运行的 Windows 2012 R2 PKI)。

该服务器位于防火墙后面,将端口 443 从公共 IP NAT 到私有 LAN。

多个办公室的多台 2012 R2 Hyper-V 服务器连接到数据中心 Hyper-V 服务器,每个办公室 Hyper-V 服务器都安装了证书。

如果我们锁定防火墙以仅接受来自客户办公室 IP 的请求,是否存在需要担心的安全问题?

Hyper-V 是否可以在解密 SSL 代理(例如位于两个 hyper-v 服务器之间的 fortigate 或 nginx 反向代理)后面运行,以解密、检查然后重新加密流量?

我可以看到客户端正在尝试通过 tcp/135 与副本目标通信。通过阻止该问题,我可以看到的唯一问题是同步设置期间无法检索副本证书 - tcp/135 除了初始设置外还用于其他用途吗?

答案1

HTTP(非 SSL)复制应仅用于受信任的网络(例如 LAN、VPN 等),在这些网络上您不必担心中间人攻击。一旦您进入不受信任的网络(例如 Internet),您就应该使用 SSL。

设置起来并不难。如果您担心成本,那么可以设置自己的 PKI。

相关内容