Windows Server 的 IPSec 域隔离

信息安全 视窗 ipsec
2021-09-03 03:40:00

我正在寻找一种保护我的服务器的好方法,我有一组不在我办公室但由外部提供商托管的专用服务器。所有服务器只有一个公共(WAN)IP。

我不想使用 VPN,因为我的用户不愿意有这个限制,所以我去了我的 Windows 服务器的防火墙配置(通过 GPO)在域隔离中启用 IPSec。

每台服务器都需要一个安全的入站连接,从我的角度来看,这是非常安全的。

但有一件事困扰着我,为了使默认身份验证模式(涉及 Kerberos)在我的域隔离中工作,我必须使用“请求入站和出站”设置我的 DNS/DC 服务器的防火墙(而不是默认的“必需”)入站和请求出站”)。我想 Kerberos 身份验证必须工作。

同样,据我了解,它使 DNS/DC 服务器不受 IPCSec 的保护(尽管我不完全知道什么是“请求”而不是“必需”)。

我的第一个问题是:它足够安全吗?第二个问题:如何将 IPSec 配置为与其他服务器一样受保护的 DNS/DC 服务器?

谢谢你的时间。

1个回答

IPSEC 可以使用多种身份验证方法进行配置。我个人更喜欢使用来自我内部 CA 的证书而不是 Kerberos。我处理的几种设备(Linux、我的 DMZ 中的服务器等)很难或不可能使用 Kerberos 进行设置。离线 IPSEC 证书请求更容易处理。

请求语句使得可以使用 IPSEC 并回退到可用的未加密流量。这是开始使用 IPSEC 的良好第一步。要求正是如此 -必须使用 IPSEC 加密流量才能被允许。这对您最敏感的系统/服务有好处。

有些服务等您不想被 IPSEC 覆盖。这包括任何面向公众的或在建立加密之前可能需要使用的东西。这将包括 DNS 和一些 AD 特定服务。我手头没有保持允许未加密状态所需的最低服务列表。我选择让我的 DC 处于请求模式,直到我有时间追踪该信息。

其它你可能感兴趣的问题
上一篇以下数据流对您来说是否安全? 下一篇如果启用 FileVault 2,设置固件密码是否会增加安全性?