DMZ 域控制器最佳實踐

IT 管理員可能會從外部角度鎖定 DMZ，但無法從內部角度對 DMZ 的訪問設置該級別的安全性，因為您也必須在 DMZ 內訪問、管理和監視這些系統，但稍微與內部 LAN 上的系統不同的方式。在本文中，我們將討論 Microsoft 推薦的DMZ 域控制器最佳實踐。

什麼是 DMZ 域控制器？

在計算機安全中，DMZ 或非軍事區是一個物理或邏輯子網，它包含一個組織的面向外部的服務並將其暴露給更大且不受信任的網絡，通常是 Internet。DMZ 的目的是為組織的 LAN 添加額外的安全層；外部網絡節點只能直接訪問 DMZ 中的系統，並且與網絡的任何其他部分隔離。理想情況下，永遠不應該有域控制器位於 DMZ 中以協助對這些系統進行身份驗證。任何被認為是敏感的信息，尤其是內部數據，不應存儲在 DMZ 中或讓 DMZ 系統依賴它。

DMZ 域控制器最佳實踐

Microsoft 的 Active Directory 團隊提供了一份文檔，其中包含在 DMZ 中運行 AD 的最佳實踐。該指南涵蓋了外圍網絡的以下 AD 模型：

• 無 Active Directory（本地帳戶）
• 孤立森林模型
• 擴展的企業森林模型
• 森林信任模型

該指南包含確定Active Directory 域服務 (AD DS)是否適合您的外圍網絡（也稱為 DMZ 或外聯網）的指導、在外圍網絡中部署 AD DS 的各種模型，以及只讀的規劃和部署信息外圍網絡中的域控制器 (RODC)。由於 RODC 為外圍網絡提供了新功能，因此本指南中的大部分內容都描述瞭如何規劃和部署此 Windows Server 2008 功能。但是，本指南中介紹的其他 Active Directory 模型也是適用於您的外圍網絡的可行解決方案。

就是這樣！

總之，應盡可能嚴格地鎖定從內部角度訪問 DMZ 的權限。這些系統可能持有敏感數據或可以訪問其他具有敏感數據的系統。如果 DMZ 服務器受到威脅並且內部 LAN 完全開放，攻擊者就會突然進入您的網絡。

域控制器應該在 DMZ 中嗎？

不建議這樣做，因為您會使域控制器面臨一定的風險。資源林是部署在外圍網絡中的隔離 AD DS 林模型。所有域控制器、成員和加入域的客戶端都位於您的 DMZ 中。

你可以部署在 DMZ 中嗎？

您可以在隔離區 (DMZ) 中部署 Web 應用程序，以使公司防火牆外的外部授權用戶能夠訪問您的 Web 應用程序。要保護 DMZ 區域，您可以：

• 限制 DMZ 網絡中關鍵資源的面向互聯網的端口暴露。
• 將暴露的端口限制為僅需要的 IP 地址，並避免在目標端口或主機條目中放置通配符。
• 定期更新任何正在使用的公共 IP 範圍。