web-dev-qa-db-ja.com

Windows Serverファイアウォール:ドメインメンバー以外からのすべての着信トラフィックをブロックします

リモートデスクトップサーバーファーム(Windows Server 2019で実行)を保護したい。異なる役割(Active Directory、接続ブローカー、RDゲートウェイなど)で複数のサーバーを実行しています。

次に、RDゲートウェイの443ポートのみがインターネットから利用できるようにファイアウォールを設定します。他のすべてのサーバーは使用できないはずです。

私のアイデアは、ドメインのメンバーであるコンピューターからの着信トラフィックを除くすべての着信トラフィックをブロックするファイアウォールルールを作成することでしたが、それを実現する方法がわかりません。

私が望まないもの:

  • ドメインメンバーからのすべての受信トラフィックを許可する-デフォルトのWindowsファイアウォールルールが維持されます。

  • サーバーへのアクセスを許可する必要があるすべてのIPアドレスを手動で指定する

  • 事前設定されたファイアウォールルールをすべて削除し、プロトコル、ポート、IPごとにすべてのルールを手動で設定します

これで私を助けてくれるといいのですが。

1
dinnerspoon

IPv4の場合、簡単な解決策があります。セグメントにないIPアドレス範囲からのすべての着信接続をブロックするファイアウォールルールを追加します。

範囲に2つのルールを追加する必要がある場合があります。 1.1.1.1あなたのIPセグメントまで、そしてあなたのセグメントに続くIPのための別のもの、そしてインターネットの終わりまで。

1
harrymc

Windowsファイアウォールのその機能を活用する唯一の方法は、 ドメイン/サーバーの分離 を実装することです。サーバーと接続クライアントの両方が、同じMain Mode RuleConnection Security Ruleを使用するように構成する必要があります。これにより、IPsecチャネルをネゴシエートし、ドメインメンバー認証を実現できます。これらのルールは、GPOまたは管理スクリプトを介して配布する必要があります。

接続しているオフサイトクライアントがある場合、それらはドメインコントローラーへのアクセスも必要になります。たとえば、RDPサーバーへのアクセスを許可する前に、まず会社のVPNに接続します。これは、IPsecの認証/承認を実現するためです。これを回避するには、メインモードルールに事前共有キーを使用します。

その結果、はるかに安全なインフラストラクチャが実現しますが、このルートを取ることは複雑なことです。

0
phbits