我计划在 AWS 上的 Windows Server 2012 R2 上部署远程桌面服务网关,并在安全组中采用以下配置(RDS 网关应根据 Active Directory 对用户进行身份验证:
- 入站端口开放:仅 443(0.0.0.0/0)
- 出站端口开放:RDP(例如,172.30.0.0/16)到本地网络 + 对域控制器进行身份验证所需的端口,但仅限于 AD 目标(例如,172.30.3.5/32)
这仍然是高风险配置吗?与 UTM 防火墙将端口 443 请求转发到防火墙后面的 RDS 网关相比,此配置有多不安全?
如果安全风险不高,通过避开防火墙,我想避免与 RDP 主机会话用户偶尔出现的交互问题,例如,如果防火墙因解析其他非交互式内容(如 Web 过滤)而陷入困境。
答案1
IIS 仍然是最受欢迎的网络服务器互联网上有数以百万计的网站直接位于公共 IP 地址上。如果在这种配置下“更容易被利用”,它就不会被使用。
底线是,它是一台网络服务器。它应该位于互联网上。就像任何其他网络服务器一样,它会存在安全漏洞,需要修补才能尽可能保持安全。在它前面添加额外的恶意软件过滤设备很可能会带来更多的麻烦/成本,而额外保护却很少。