Entwurf einer Domänenisolationsrichtlinie

Im Entwurf der Domänenisolationsrichtlinie konfigurieren Sie die Geräte in Ihrem Netzwerk so, dass nur Verbindungen von Geräten akzeptiert werden, die als Mitglieder derselben isolierten Domäne authentifiziert sind.

Dieser Entwurf beginnt in der Regel mit einem Netzwerk, das wie im Abschnitt Grundlegendes Entwerfen von Firewallrichtlinien beschrieben konfiguriert ist. Für diesen Entwurf fügen Sie dann Verbindungssicherheits- und IPsec-Regeln hinzu, um Geräte in der isolierten Domäne so zu konfigurieren, dass sie nur Netzwerkdatenverkehr von anderen Geräten akzeptieren, die sich als Mitglied der isolierten Domäne authentifizieren können. Nachdem die neuen Regeln implementiert wurden, lehnen Ihre Geräte unerwünschten Netzwerkdatenverkehr von Geräten ab, die nicht Mitglieder der isolierten Domäne sind.

Die isolierte Domäne ist möglicherweise keine einzelne Active Directory-Domäne. Sie kann aus allen Domänen in einer Gesamtstruktur oder domänen in separaten Gesamtstrukturen bestehen, zwischen denen bidirektionale Vertrauensstellungen konfiguriert sind.

Durch die Verwendung von Verbindungssicherheitsregeln, die auf IPsec basieren, stellen Sie eine logische Barriere zwischen Geräten bereit, auch wenn sie mit demselben physischen Netzwerksegment verbunden sind.

Das Design ist in der folgenden Abbildung mit den Pfeilen dargestellt, die die zulässigen Kommunikationspfade anzeigen.

Begrenzungszone der isolierten Domäne.

Zu den Merkmalen dieses Entwurfs, wie im Diagramm dargestellt, gehören:

  • Isolierte Domäne (Bereich A): Geräte in der isolierten Domäne empfangen unerwünschten eingehenden Datenverkehr nur von anderen Mitgliedern der isolierten Domäne oder von Geräten, auf die in Authentifizierungsausnahmeregeln verwiesen wird. Geräte in der isolierten Domäne können Datenverkehr an jedes Gerät senden. Dieser Datenverkehr umfasst nicht authentifizierten Datenverkehr zu Geräten, die sich nicht in der isolierten Domäne befinden. Geräte, die keiner Active Directory-Domäne beitreten können, aber Zertifikate für die Authentifizierung verwenden können, können Teil der isolierten Domäne sein. Weitere Informationen finden Sie unter Zertifikatbasiertes Isolationsrichtliniendesign.

  • Begrenzungszone (Bereich B): Geräte in der Begrenzungszone sind Teil der isolierten Domäne, dürfen aber eingehende Verbindungen von nicht vertrauenswürdigen Geräten wie Clients im Internet akzeptieren.

    Geräte in der Begrenzungszone fordern jedoch keine Authentifizierung an, um zu kommunizieren. Wenn ein Mitglied der isolierten Domäne mit einem Begrenzungszonenelement kommuniziert, wird der Datenverkehr authentifiziert. Wenn ein Gerät, das nicht Teil der isolierten Domäne ist, mit einem Begrenzungszonenmitglied kommuniziert, wird der Datenverkehr nicht authentifiziert.

    Da Geräte mit Begrenzungszonen dem Netzwerkdatenverkehr von nicht vertrauenswürdigen und potenziell feindlichen Geräten ausgesetzt sind, müssen sie sorgfältig verwaltet und geschützt werden. Platzieren Sie nur die Geräte, auf die externe Geräte in dieser Zone zugreifen müssen. Verwenden Sie Firewallregeln, um sicherzustellen, dass Netzwerkdatenverkehr nur für Dienste akzeptiert wird, die für Nicht-Domänenmitgliedsgeräte verfügbar gemacht werden sollen.

  • Vertrauenswürdige Nicht-Domänenmitglieder (Bereich C): Geräte im Netzwerk, die keine Domänenmitglieder sind oder die IPsec-Authentifizierung nicht verwenden können, können durch Konfigurieren von Authentifizierungsausnahmeregeln kommunizieren. Diese Regeln ermöglichen es Geräten in der isolierten Domäne, eingehende Verbindungen von diesen vertrauenswürdigen Nicht-Domänenmitgliedsgeräten zu akzeptieren.

  • Nicht vertrauenswürdige Nicht-Domänenmitglieder (Bereich D): Geräte, die nicht von Ihrer Organisation verwaltet werden und über eine unbekannte Sicherheitskonfiguration verfügen, müssen nur auf die Geräte zugreifen können, die für die ordnungsgemäße Geschäftstätigkeit Ihrer Organisation erforderlich sind. Domänenisolation besteht, um eine logische Barriere zwischen diesen nicht vertrauenswürdigen Geräten und den Geräten Ihrer Organisation zu setzen.

Nachdem dieser Entwurf implementiert wurde, verfügt Ihr Verwaltungsteam über eine zentralisierte Verwaltung der Firewall- und Verbindungssicherheitsregeln, die auf die Geräte in Ihrer Organisation angewendet werden.

Wichtig

Dieser Entwurf baut auf dem Grundlegenden Firewallrichtlinienentwurf auf und dient wiederum als Grundlage für den Entwurf der Serverisolationsrichtlinie. Wenn Sie planen, alle drei bereitzustellen, empfehlen wir Ihnen, die Entwurfsarbeiten für alle drei zusammen auszuführen und dann in der dargestellten Reihenfolge bereitzustellen.

Dieser Entwurf kann auf Geräte angewendet werden, die Teil einer Active Directory-Gesamtstruktur sind. Active Directory ist erforderlich, um die zentrale Verwaltung und Bereitstellung von Gruppenrichtlinie -Objekten bereitzustellen, die die Verbindungsicherheitsregeln enthalten.

Informationen zum Erweitern der isolierten Domäne auf Geräte, die nicht Teil einer Active Directory-Domäne sein können, finden Sie unter Entwurf zertifikatbasierter Isolationsrichtlinien.

Weitere Informationen zu diesem Entwurf:

Weiter:Entwurf der Serverisolationsrichtlinie