我目前正在对我们网络中的服务器和网络进行一些升级,并希望对我们的 DMZ 配置进行现实检查。我很久以前就将其整合在一起,我想知道它是否仍然适用,或者是否有更好(更安全)的方法?
我特别想到的是我们的 Web 服务器流量。我们有许多 Web 应用程序,人们需要从我们的网络外部访问这些应用程序。几乎所有应用程序都需要以某种方式访问我们的内部 Active Directory,有时还需要访问其他内部服务。
我一直不喜欢将 Web 服务器放在 DMZ 中,然后在内部网络中为 Active Directory 和/或 LDAP 打洞,因此,我设置了一个 DMZ 反向代理,并通过端口 443/80 将来自 DMZ 的 Web 请求代理到内部网络上的服务器(有点像这个例子)。多年来,它一直运行良好,有些应用程序与它配合得很好,而其他一些应用程序则需要一点尝试。
无论如何,在我去升级一些有问题的服务器(其中一些是 2k8 R2,即将停产)之前,我想先检查一下。我知道还有其他方法可以实现这一点(例如,将 Web 服务器放在带有 RODC 的 DMZ 中)。我正在考虑是否需要更改我的设置(以及替代方案可能是什么样子),或者它是否仍然有效。
谢谢。
答案1
从外围网络到内部的代理仍然是一个好主意。
然而,可信边界概念缺乏的是内部存在大量威胁。工作站受到攻击,用户变得叛逆并做坏事。微分段可能会有所帮助。大多数用户不需要看到 LDAP 或内部应用程序流量,因此请将其内部防火墙设置为仅在需要的地方。这需要一定的安全流程和工具成熟度,不同于边缘防火墙及其规则。
具体来说,对于身份验证,存在用于联合单点登录 (SAML、OAuth) 或通过不受信任的网络 (Kerberos) 进行身份验证的协议。与其将完整目录带到您的周边,不如考虑使用 AD 联合服务之类的东西来处理 Web 应用程序的身份验证。