Windows Server 防火牆：阻止所有傳入流量，但來自域成員的流量除外

我想保護遠端桌面伺服器場（在 Windows Server 2019 上執行）。我執行多個具有不同角色的伺服器（如 Active Directory、連接代理、RD 網關……）。

現在我想設置防火牆，以便只有 RD 網關的 443 埠可以從 Internet 訪問。所有其他伺服器應該不可用。

我的想法是創建一個防火牆規則，阻止所有傳入流量，除了來自域成員的電腦之外的所有傳入流量 - 但我不知道如何實現這一點。

我不想要的東西：

• 允許來自域成員的所有傳入流量 - 預設的 Windows 防火牆規則應保持不變
• 手動指定應允許訪問伺服器的所有 IP 地址
• 刪除所有預設的防火牆規則，並根據協議、埠和 IP 手動設置所有規則

我希望你能幫我解決這個問題。

對於 IPv4，有一個簡單的解決方案：添加防火牆規則，阻止來自不在您的網段中的任何 IP 地址範圍的所有傳入連接。

您可能需要為範圍添加兩條規則。一個用於1.1.1.1您的 IP 段，另一個用於您的段之後的 IP，直到 Internet 的末端。

利用 Windows 防火牆的該功能的唯一方法是實施域/伺服器隔離。伺服器和連接客戶端都需要配置為使用相同的Main Mode Rule和Connection Security Rule. 這允許他們協商 IPsec 通道並實現域成員身份驗證。這些規則應通過 GPO 或管理腳本分發。

如果有異地客戶端連接，他們還需要訪問域控制器。例如，在允許訪問 RDP 伺服器之前先連接到公司 VPN。這是為了實現IPsec的認證/授權。要解決此問題，請為主模式規則使用預共享密鑰。

採用這條路線非常複雜，儘管結果是更安全的基礎設施。

引用自：https://serverfault.com/questions/964876