Windows

Windows Server 防火牆:阻止所有傳入流量,但來自域成員的流量除外

  • April 27, 2019

我想保護遠端桌面伺服器場(在 Windows Server 2019 上執行)。我執行多個具有不同角色的伺服器(如 Active Directory、連接代理、RD 網關……)。

現在我想設置防火牆,以便只有 RD 網關的 443 埠可以從 Internet 訪問。所有其他伺服器應該不可用。

我的想法是創建一個防火牆規則,阻止所有傳入流量,除了來自域成員的電腦之外的所有傳入流量 - 但我不知道如何實現這一點。

我不想要的東西:

  • 允許來自域成員的所有傳入流量 - 預設的 Windows 防火牆規則應保持不變
  • 手動指定應允許訪問伺服器的所有 IP 地址
  • 刪除所有預設的防火牆規則,並根據協議、埠和 IP 手動設置所有規則

我希望你能幫我解決這個問題。

對於 IPv4,有一個簡單的解決方案:添加防火牆規則,阻止來自不在您的網段中的任何 IP 地址範圍的所有傳入連接。

您可能需要為範圍添加兩條規則。一個用於1.1.1.1您的 IP 段,另一個用於您的段之後的 IP,直到 Internet 的末端。

利用 Windows 防火牆的該功能的唯一方法是實施域/伺服器隔離。伺服器和連接客戶端都需要配置為使用相同的Main Mode RuleConnection Security Rule. 這允許他們協商 IPsec 通道並實現域成員身份驗證。這些規則應通過 GPO 或管理腳本分發。

如果有異地客戶端連接,他們還需要訪問域控制器。例如,在允許訪問 RDP 伺服器之前先連接到公司 VPN。這是為了實現IPsec的認證/授權。要解決此問題,請為主模式規則使用預共享密鑰。

採用這條路線非常複雜,儘管結果是更安全的基礎設施。

引用自:https://serverfault.com/questions/964876