情况:在云网络中有一个 Win2016 DC。此机器的 WAN 已禁用。LAN 已连接到 PfSense。PfSense 管理云和本地之间的 VPN 和 IPSec。PfSense 仅允许所有机器/服务之间的白名单流量 DC 有一个规则列表,因此它可以完成其工作。这部分有效,但在 DC 中仍然收到“无互联网”警报,并且 WSUS 未按预期工作。
现在 DC 需要连接到另一个在线服务。
是否应将其列入白名单,或者是否允许通过 PfSense 从此 DC 向互联网发送出站流量?我知道直接在互联网上使用 DC 是不好的做法,但上述内容是否也适用于此规则
答案1
简而言之:这取决于您的安全意识,但 DC 掌握着您王国的钥匙,因此您可能希望使用这种服务器特别安全地玩游戏。
最安全的方法是分析您实际需要允许的流量,然后仅在 pfSense 中开放该流量 - 这是一种“默认拒绝”方法。
另一种处理方式是考虑你肯定会不要想要允许,并专门在 pfSense 中拒绝该流量。从安全角度来看,这当然更糟糕,因为您一定会忘记 - 甚至不知道 - 您不想离开网络的某些类型的流量。
也许,更好的问题是:您想要开放流量的在线服务是否真的必须在 DC 上运行,或者最好为该服务设置单独的 VM,然后为来自新机器的特定出站流量开放?理想情况下,您实际上只想在 DC 上运行 AD 和 DNS。