DMZ 域控制器最佳实践

IT 管理员可能会从外部角度锁定 DMZ，但无法从内部角度对 DMZ 的访问设置该级别的安全性，因为您也必须访问、管理和监控 DMZ 内的这些系统，但方式稍有不同。与使用内部 LAN 上的系统的方式不同。在这篇文章中，我们将讨论 Microsoft 推荐的DMZ 域控制器最佳实践。

什么是 DMZ 域控制器？

在计算机安全中，DMZ（或非军事区）是一个物理或逻辑子网，其中包含组织的面向外部的服务并将其公开给更大且不受信任的网络（通常是互联网）。 DMZ 的目的是为组织的 LAN 添加额外的安全层；外部网络节点只能直接访问 DMZ 中的系统，并且与网络的任何其他部分隔离。理想情况下，DMZ 中不应有域控制器来协助对这些系统进行身份验证。任何被视为敏感的信息（尤其是内部数据）不应存储在 DMZ 中或让 DMZ 系统依赖它。

DMZ 域控制器最佳实践

Microsoft 的 Active Directory 团队提供了一份文档，其中包含在 DMZ 中运行 AD 的最佳实践。该指南涵盖了以下外围网络的 AD 模型：

• 无 Active Directory（本地帐户）

• 孤立森林模型

• 扩展的企业森林模型

• 森林信任模型

该指南包含确定 Active Directory 域服务 (AD DS) 是否适合您的外围网络（也称为 DMZ 或外联网）的指导、在外围网络中部署 AD DS 的各种模型以及只读的规划和部署信息外围网络中的域控制器 (RODC)。由于 RODC 为外围网络提供了新功能，因此本指南中的大部分内容介绍如何规划和部署此 Windows Server 2008 功能。但是，本指南中介绍的其他 Active Directory 模型也是适合您的外围网络的可行解决方案。

就是这样！

总之，从内部角度对 DMZ 的访问应尽可能严格地锁定。这些系统可能保存敏感数据或有权访问具有敏感数据的其他系统。如果 DMZ 服务器遭到破坏并且内部 LAN 完全开放，攻击者就会突然进入您的网络。

域控制器应该位于 DMZ 中吗？

不建议这样做，因为您会使域控制器面临一定的风险。资源林是部署在外围网络中的隔离 AD DS 林模型。所有域控制器、成员和加入域的客户端都驻留在 DMZ 中。

可以部署在DMZ吗？

您可以将 Web 应用程序部署在非军事区 (DMZ) 中，以使公司防火墙之外的外部授权用户能够访问您的 Web 应用程序。要保护 DMZ 区域，您可以：

• 限制 DMZ 网络中关键资源上面向互联网的端口暴露。

• 将公开的端口限制为仅需要的 IP 地址，并避免在目标端口或主机条目中放置通配符。

• 定期更新任何正在使用的公共 IP 范围。