Matt Bear Asked: 2012-11-09 15:45:53 +0800 CST2012-11-09 15:45:53 +0800 CST 2012-11-09 15:45:53 +0800 CST ADFS 2.0 代理服务器与。向公众开放 ADFS 服务器 772 我们正在努力为使用 o365 的 SSO 部署 ADFS。 我们有一家咨询公司来处理我们的防火墙配置。 今天,在试图让他们为我设置一个 DMZ 来安装我的 ADFS 代理服务器时,顾问试图说服我让他们直接打开 443 端口到 ADFS 服务器,并且根本不使用代理。他告诉我,这样的配置现在是标准做法。 由于我们的业务性质,我们有非常严格的安全要求,包括不得对外开放内部服务器。 我的问题是,他只是因为懒惰不想配置 DMZ 才吹口哨,还是他有正当理由? firewall 2 个回答 Voted Best Answer Brent Pabst 2012-11-09T15:51:56+08:002012-11-09T15:51:56+08:00 哦,该死的! 不要将主 ADFS 服务器放在 Internet 上! 发明代理角色是有特定原因的,将您的主要 ADFS 盒子放在互联网上并不是一个明智的主意。主要是因为默认情况下主服务器配置为仅允许基于 Windows 的身份验证,这意味着任何人都可以提交请求并尝试强行进入。更糟糕的是,如果他们获得密码,他们现在在您的域中拥有有效的用户名和密码,最痛苦的一种。 然而,该代理使用基于 Web 表单的方法通过强制企业防火墙外部的用户通过 Web 表单登录来减少威胁。如果他们通过,则返回受信任服务(请参阅 O365)使用的 cookie 或重定向令牌。 无论哪种方式,这都直接违反了微软推荐的设置,肯定不会通过安全审计验证。另外,由于您只将端口 80 和 443 流量暴露给代理,因此通过特定 IP 仅将这两个端口转发到您的代理(或负载平衡代理)并不难。无论如何,DMZ 是明智之举,尤其是当您有其他面向公众的服务时。 user168731 2013-04-10T08:15:09+08:002013-04-10T08:15:09+08:00 取决于这位顾问在做什么。如果他们使用 TMG 之类的东西处理 ADFS 服务器前面的防火墙,那么它就能够执行代理的角色并向外部客户端提供 webforms 身份验证,而不是直接在内部 ADFS 2.0 上打开一个 443 的漏洞服务器。 我站在同一边,绝对不直接将内部 ADFS 服务器暴露给 Internet。不管有人试图告诉我这有多安全,您仍然在谈论直接将加入域的服务器暴露给公共 Internet。 代理服务器不需要加入域。使用它们的另一个好处。 -E
哦,该死的!
不要将主 ADFS 服务器放在 Internet 上!
发明代理角色是有特定原因的,将您的主要 ADFS 盒子放在互联网上并不是一个明智的主意。主要是因为默认情况下主服务器配置为仅允许基于 Windows 的身份验证,这意味着任何人都可以提交请求并尝试强行进入。更糟糕的是,如果他们获得密码,他们现在在您的域中拥有有效的用户名和密码,最痛苦的一种。
然而,该代理使用基于 Web 表单的方法通过强制企业防火墙外部的用户通过 Web 表单登录来减少威胁。如果他们通过,则返回受信任服务(请参阅 O365)使用的 cookie 或重定向令牌。
无论哪种方式,这都直接违反了微软推荐的设置,肯定不会通过安全审计验证。另外,由于您只将端口 80 和 443 流量暴露给代理,因此通过特定 IP 仅将这两个端口转发到您的代理(或负载平衡代理)并不难。无论如何,DMZ 是明智之举,尤其是当您有其他面向公众的服务时。
取决于这位顾问在做什么。如果他们使用 TMG 之类的东西处理 ADFS 服务器前面的防火墙,那么它就能够执行代理的角色并向外部客户端提供 webforms 身份验证,而不是直接在内部 ADFS 2.0 上打开一个 443 的漏洞服务器。
我站在同一边,绝对不直接将内部 ADFS 服务器暴露给 Internet。不管有人试图告诉我这有多安全,您仍然在谈论直接将加入域的服务器暴露给公共 Internet。
代理服务器不需要加入域。使用它们的另一个好处。
-E