我使用具有 3 个接口的 Pfsense:LAN、DMZ 和 WAN。LAN 包含我的域控制器和我的主林(abc.com),DMZ 包含一些 Web 服务器。另一个林位于互联网上的其他地方,因此位于 WAN 接口上。遵循严格的策略,我完全阻止了从 WAN 到 LAN 的流量,只允许从 WAN 到 DMZ 的 HTTP/HTTPS。我的问题是,安全地在两个林(WAN -> LAN)之间建立信任关系的最佳方法是什么。为所需的特定协议打开端口似乎有风险,其他人不鼓励在 DMZ 中使用只读域控制器,那么最安全的方法是什么?
答案1
我认为您首先需要在两个站点之间建立 VPN 隧道,然后建立信任,这样您就不会将关键的 AD 基础架构直接暴露给互联网。IPSec/IKEv2 是当前站点到站点 VPN 隧道的最佳实践。