Назад | Перейти на главную страницу

Брандмауэр Windows Server: блокируйте весь входящий трафик, кроме трафика от членов домена.

Я хочу защитить ферму серверов удаленных рабочих столов (работающую на Windows Server 2019). Я запускаю несколько серверов с разными ролями (как Active Directory, посредник подключений, шлюз удаленных рабочих столов и т. Д.).

Теперь я хочу настроить брандмауэр так, чтобы из Интернета был доступен только порт 443 шлюза удаленных рабочих столов. Все остальные серверы должны быть недоступны.

Моя идея заключалась в том, чтобы создать правило брандмауэра, которое блокирует весь входящий трафик, кроме компьютеров, которые являются членами домена, но я не знаю, как это реализовать.

Я НЕ хочу:

Я надеюсь, ты сможешь мне помочь с этим.

Для IPv4 есть простое решение: добавить правила брандмауэра, которые блокируют все входящие соединения с любого диапазона IP-адресов, не входящего в ваш сегмент.

Возможно, вам потребуется добавить два правила для диапазонов. Один для 1.1.1.1 до вашего IP-сегмента, а еще один для IP-адреса, следующего за вашим сегментом и до конца Интернета.

Единственный способ использовать эту функциональность брандмауэра Windows - это реализовать Изоляция домена / сервера. И сервер, и подключающийся клиент должны быть настроены на использование одного и того же Main Mode Rule и Connection Security Rule. Это позволяет им согласовывать канал IPsec и выполнять аутентификацию члена домена. Эти правила должны распространяться через GPO или административный скрипт.

Если будут подключаться внешние клиенты, им также потребуется доступ к контроллеру домена. Например, сначала подключитесь к корпоративной сети VPN, прежде чем разрешить доступ к серверу RDP. Это необходимо для аутентификации / авторизации IPsec. Чтобы обойти это, используйте предварительный ключ для правила основного режима.

Выбор этого маршрута - не что иное, как сложный, хотя в результате получается гораздо более безопасная инфраструктура.