目前,我在本地网络中运行 Windows Server,无法通过 Internet 访问。但我需要扩展业务,需要将服务器迁移到更强大的服务器上,该服务器将托管在 Internet 上。由于业务扩展,本地托管已不再可能。
该服务器将是专用服务器,将充当域控制器。Hyper-V 正在运行并托管来宾 Windows Server,该服务器具有自己的公共 IP 并提供远程桌面服务。可以通过远程桌面访问多个程序。
但这不是一个安全的环境,因为 rds 和 DC 可以通过 Internet 访问。
VPN 是一个好的解决方案吗?我需要在哪里安装 VPN 服务器?我可以将它安装在服务于 RDS 的服务器上吗?DC 将加入此 VPN,我可以在那里使用它吗?客户端应作为站点到站点 VPN 连接。
我可以改进什么吗?
答案1
我的看法?
访问远程资源时请始终使用 VPN。
我总是在远程托管的机器上设置防火墙,所有传入流量都会被拒绝,但值得注意的例外是流向 VPN 端口的流量。
如果是邮件服务器,我会打开的唯一其他端口是 SMTP 和 IMAP;如果是 Web 服务器,我会打开端口 80 和 443。
防火墙允许的端口取决于 VPN 软件,例如:
- IPsec 为 500/UDP 和 4500/UDP。
- OpenVPN 的 1194 TCP/UDP(取决于服务)。
- WireGuard 的 51820/UDP
为 VPN 选择的软件取决于很多因素,但主要取决于如何将其集成到现有设置中。
话虽如此:从纯粹的带宽速度角度来看,首选顺序是 WireGuard、IPsec 和 OpenVPN。
如果目标是简单,那么...远离 IPsec!你可以用它做很多事情,但它不是方便使用的。
至于针对 VPN 服务器的身份验证,有几种选择,例如客户端证书和/或使用用户名和密码登录。这完全取决于您要使用哪种 VPN 软件。
在设计 VPN 时,您可能需要研究“中心辐射型”架构。当您希望各个客户端之间进行通信时,该架构非常有用,因为它们可以使用分配给其 VPN 的 IP 地址相互通信。
甚至可以通过 VPN 连接在两个子网之间进行站点到站点的路由。
但要像所有托管流量一样小心谨慎。您必须监控通过 VPN 交换的流量,因为托管解决方案通常会限制您上传和下载的总数据量,并且从一个客户端发送到另一个客户端的数据会被计算两次,因为它同时是上传和下载,具体取决于您从哪个方向查看。