我想保护远程桌面服务器场(在 Windows Server 2019 上运行)。我运行具有不同角色的多台服务器(如 Active Directory、连接代理、RD 网关等)。
现在我想设置防火墙,以便只有 RD 网关的 443 端口可从互联网访问。所有其他服务器都不可用。
我的想法是创建一个防火墙规则,阻止除域成员计算机之外的所有传入流量 - 但我不知道如何实现这一点。
我不要的东西:
允许来自域成员的所有传入流量 - 默认的 Windows 防火墙规则应该保持不变
手动指定应允许访问服务器的所有 IP 地址
删除所有预设的防火墙规则,并根据协议、端口和 IP 手动设置所有规则
我希望你能帮助我。
答案1
对于 IPv4,有一个简单的解决方案:添加防火墙规则,阻止来自不在您的网段内的任何 IP 地址范围的所有传入连接。
您可能需要为范围添加两个规则。一个用于1.1.1.1直到您的 IP 段,另一个用于从您的段开始直到 Internet 末端的 IP。
答案2
利用 Windows 防火墙功能的唯一方法是实施域/服务器隔离。服务器和连接客户端都需要配置为使用相同的Main Mode Rule和Connection Security Rule。这允许它们协商 IPsec 通道并实现域成员身份验证。这些规则应通过 GPO 或管理脚本分发。
如果有异地客户端连接,他们还需要访问域控制器。例如,首先连接到公司 VPN,然后允许访问 RDP 服务器。这是为了实现 IPsec 的身份验证/授权。要解决这个问题,请为主模式规则使用预共享密钥。
尽管这条路线的结果是基础设施更加安全,但其复杂性不言而喻。