>source

LAN, DMZ 및 WAN의 3 가지 인터페이스와 함께 Pfsense를 사용하고 있습니다. LAN에는 내 도메인 컨트롤러와 당연히 내 주요 포리스트 (abc.com)가 포함되어 있으며 DMZ에는 일부 웹 서버가 포함되어 있습니다. 다른 포리스트는 인터넷의 다른 위치에 있으므로 WAN 인터페이스에 있습니다. 엄격한 정책에 따라 WAN에서 LAN으로의 트래픽을 완전히 차단하고 WAN에서 DMZ 로의 HTTP/HTTPS 만 허용했습니다. 내 질문은 두 포리스트 (WAN->LAN)간에 안전하게 신뢰 관계를 설정하는 가장 좋은 방법입니다. 필요한 특정 프로토콜에 대한 포트를 여는 것은 위험 해 보이며 다른 사람들은 DMZ에서 읽기 전용 도메인 컨트롤러를 사용하지 않는 것이 좋습니다. 그렇다면 가장 안전한 방법은 무엇일까요?

  • 답변 # 1

    먼저 두 사이트 사이에 VPN 터널을 설정 한 다음 신뢰를 설정해야합니다. 이렇게하면 중요한 AD 인프라를 인터넷에 직접 노출하지 않습니다. IPSec/IKEv2는 사이트 간 VPN 터널에 대한 현재 모범 사례입니다.

관련 자료

  • 이전 PHP를 업그레이드하지 않고 Ubuntu 명령 줄에서 업데이트를 실행하는 방법
  • 다음 centos7 - nginx가 자체 conf 파일이있는 가상 호스트에 대해 잘못된 인증서를 제공함