目前我们正在寻找平坦的AD结构,使事情变得更易于pipe理,但是我们仍然希望保持我们的安全态势尽可能接近现在的状态。
目前,我们有AD森林孤岛由防火墙隔离,没有一个森林彼此交谈,除了一些例外的非现场复制DR的目的。
我们希望转移到一个具有根域且不超过两个其他域的单一AD森林devise。
问题是,保护通过防火墙边界的DC到DCstream量的最佳方式是什么?
这是踢球。 我们目前的态度是,不允许较低安全区域向较高安全区域发起入站通信(不进入),因此DC之间的双向通信只有在较高安全区域中的DC想要与DC通信时才会发生较低的安全区域(仅出口发起的通信量)。
我知道,使用网站,我们可以控制复制,所以它只是一种方式启动,但我想确保这控制了两个DC之间的stream量所需的所有端口的stream量。
我也知道我们可以使用IPSEC隧道来限制需要在防火墙上打开的端口,并使隧道不encryption,这样IDS / IPS仍然可以分析stream量。
鉴于此,我想知道你们是否对如何做到最好。 我非常怀疑,我们是唯一支持这些要求的组织。
几年前,我在一个项目中也有类似的要求。 被接受的解决办法是把区议会放在一个非军事区。 然后,我们限制活动目录复制使用的端口,在与较高级别域中的某些预定义IP地址交谈时,为这些端口和其他端口设置IPSEC策略。 较低域的客户端必须通过透明防火墙与DMZ中的DC进行通信。
思考一段时间 – 可以在较低域的VPN服务器,只有较高的域名数据中心可以连接到? 也就是说,更高级的DC将是VPN客户端。 您可以使用未encryption的传输来满足您的IDS / IPS要求。 一旦更高级别的DC连接,那么可以build立双向com,AD可以照常运行。 或者是封装的问题?! 🙂