服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用公共IP的DC使用Windows防火墙是“OK”吗?
Intereting Posts
将Postgresql转储与生产数据库合并 通配符证书使用 2003年的Windows 2008服务器域未通过kerberos预授权 Linux内核崩溃分析。 被阻止的进程,IO和不可中断的等待 什么是信号灯,它们是如何造成的? 我如何监视应用程序是否在Windows Server 2008上运行? Debian月度networking统计并在重启后保留它们 亚马逊AWS www CNAME是403禁止的,没有www的域名作品 查找运行Windows或ESXi的戴尔服务器上未使用的磁盘托架数量 使用nginx + uwsgi与apache + mod_wsgi相比,是否存在任何监视/维护开销? 无法ping通我的Ubuntu AWS实例 HBA卡状态 安装Azure文件共享 在网桥模式下configurationOpenVPN后,我的服务器从外部networking无法访问 使用iptables阻止Skype

使用公共IP的DC使用Windows防火墙是“OK”吗?

我目前有几个专门的Windows Web服务器,在不同地区托pipe。 到现在为止,我一直在pipe理他们没有活动目录,但我觉得它增加了很多不必要的pipe理开销和限制。

现在我想知道如何确保区议会的安全。 我没有我自己的数据中心,但我可以再租用两台专用服务器,并将其作为数据中心使用。 我知道一个DC应该放在一个专门的防火墙后面,但是这会使DC租用更加昂贵。

在DC上使用Windows防火墙而不是单独的防火墙设备可以吗? 这可能不是教科书的解决scheme,但是如果我将访问DC的传入端口限制到我自己的Web服务器的IP地址,似乎所有事情都应该是安全的。 毕竟,我会用单独的防火墙设备做同样的事情。

当我第一次读到这个问题的时候,我真的很担心给DC一个公共IP。 但考虑一下,我可能会考虑这一点, 如果 DC 不是我更大的AD森林的成员,并且域中唯一的机器是Web服务器。

这仍然允许我使用组策略和通用身份validationpipe理我的Web服务器,只需要一个额外的AD帐户分配给我自己,而不会将我的真实内部DC暴露给大的不良Web。 实际上,您正在为DMZ设置一个AD。

但是,我仍然看到这种方法的一些挑战:

  1. AD与DNS紧密结合。 您需要仔细考虑与AD协同pipe理您的Web服务器的DNSlogging。
  2. 虽然Windows防火墙从未经授权的访问angular度来看是足够的 (几乎没有),但是它并没有削减审计和拒绝服务阻力的观点。 通过把DoS攻击指向你的中心DC,破坏你的网站是微不足道的 – 也许不会损坏或者取消,但至less会破坏。

它吓坏了我,想把域控制器放在公共互联网上。 话虽如此,如果你真的可以将通信限制在一个使用Windows防火墙的机器上,默认情况下,这些授权机器的“允许”规则对我来说并不合理。

理想情况下,我更喜欢一个孤立的pipe理networking,networking服务器和数据中心连接到DC,DC没有直接连接到互联网,而VPN则可以访问pipe理networking。 鉴于你可能可以在你的主机场景中得到你所描述的不是一个不合理的倒退。 在我的孤立的pipe理networking场景中,在防火墙的DC场景中,某个Web服务器上的特权升级会处于类似的位置。 只要你把DC当作一台孤立的机器,并限制它与Internet的通信(最好完全禁用它,一旦你的VPN已经build立了一个“跳转盒”),就没有太大的不同了。 。

我不推荐它,因为防火墙本身是非常基本的。

只有您的Web应用程序有一个AD没有更多的不安全,因为它在基本的身份validation,但检查有一些技巧(即使标签为2008年): 外围networking(Windows Server 2008中的Active Directory域服务)

Windows防火墙是UDP的一个伪状态,对于Ipv4,Ipv6(对于stream量进行过滤,对于检查我没有find任何文档,但是如果这样做,它实际上是有限的),ICMP和statefull是无状态的。

硬件设备通常是有状态的。

有状态:

在计算中,有状态的防火墙(执行有状态数据包检测(SPI)或状态检查的任何防火墙)是一个防火墙,用于跟踪networking连接状态(如TCPstream,UDP通信)。 防火墙被编程为区分不同types连接的合法数据包。 只有匹配已知活动连接的数据包才能被防火墙允许。 其他人将被拒绝。

状态检查(也称为dynamic数据包过滤)是业务networking中经常包含的安全function。 Check Point软件在1994年使用FireWall-1引入了有状态检查。1 [2] https://en.wikipedia.org/wiki/Stateful_firewall

无状态:

无状态防火墙监视networkingstream量,并根据源地址,目的地址或其他静态值限制或阻止数据包。 他们不知道stream量模式或数据stream。 无状态的防火墙使用简单的规则集,这些规则集并没有考虑到防火墙可能接收到数据包的可能性。 – 更多信息,请访问: http : //www.inetdaemon.com/tutorials/information_security/devices/firewalls/stateful_vs_stateless_firewalls.shtml#sthash.iDNnjqWC.dpuf

来自TechNet:

Windows防火墙提供使用TCP传输协议的TCP / IP通信(IPv4和IPv6)的状态过滤。 它还提供使用UDP传输协议的TCP / IP通信的“伪状态”过滤。 ICMPstream量未经过状态过滤; 而是根据Windows防火墙设置允许或阻止ICMP通信(例如,通过configurationWindows防火墙设置,您可以明确允许或拒绝传入的回应请求或传出的目标不可达消息)。 由于Windows防火墙直接绑定到Windows的TCP / IP体系结构,因此它不提供任何非TCP / IP协议(如IPX / SPX或AppleTalk)的过滤。

除了某些文件传输协议(FTP)通信外,Windows防火墙不使用应用程序层信息来有状态地过滤通信。 由于FTP服务器为FTP文件传输build立数据通道的方式,FTP是一种特殊情况。 在典型的FTP用户会话中,FTP客户端通过FTP服务器发起控制通道。 当FTP客户端从FTP服务器传输文件时,FTP服务器通过与控制通道不同的TCP端口发起通信,尝试与FTP客户端build立数据通道。 这可能会导致FTP客户端计算机上运行的大多数防火墙丢弃来自服务器的数据通道数据包,因为它们似乎是未经请求的。 为了解决这个问题,Windows防火墙使用应用层网关服务为FTP数据通道提供dynamic的端口映射,从而有利于对FTPstream量进行有状态的过滤。 https://technet.microsoft.com/en-us/library/cc755604(v=ws.10).aspx