我正在使用具有 3 个接口的 Pfsense:LAN、DMZ 和 WAN。LAN 包含我的域控制器和我的主要森林(abc.com),DMZ 包含一些 Web 服务器。另一个林位于 Internet 上的其他位置,因此位于 WAN 接口上。按照严格的政策,我完全阻止了从 WAN 到 LAN 的流量,只允许从 WAN 到 DMZ 的 HTTP/HTTPS。我的问题是在两个森林(WAN -> LAN)之间安全地建立信任关系的最佳方法是什么。为所需的特定协议打开端口似乎有风险,其他人不鼓励在 DMZ 中使用只读域控制器,那么最安全的方法是什么?
AskOverflow.Dev
我想说你首先需要在两个站点之间建立一个 VPN 隧道,然后建立信任,这样你就不会将关键的 AD 基础设施直接暴露给 Internet。IPSec/IKEv2 是站点到站点 VPN 隧道的当前最佳实践。