Diseño de directiva de aislamiento de dominioDomain Isolation Policy Design

Se aplica aApplies to

  • Windows 10Windows10
  • WindowsServer2016Windows Server 2016

En el diseño de la Directiva de aislamiento de dominio, configure los dispositivos de su red para que acepten únicamente conexiones provenientes de dispositivos que se autentiquen como miembros del mismo dominio aislado.In the domain isolation policy design, you configure the devices on your network to accept only connections coming from devices that are authenticated as members of the same isolated domain.

Este diseño comienza generalmente con una red configurada según se describe en la sección diseño de directiva básica de Firewall .This design typically begins with a network configured as described in the Basic Firewall Policy Design section. Para este diseño, puede agregar reglas de seguridad de conexión y IPsec para configurar los dispositivos del dominio aislado de modo que solo acepten tráfico de red de otros dispositivos que puedan autenticar como miembro del dominio aislado.For this design, you then add connection security and IPsec rules to configure devices in the isolated domain to accept only network traffic from other devices that can authenticate as a member of the isolated domain. Después de implementar las reglas nuevas, los dispositivos rechazan el tráfico de red no solicitado de dispositivos que no son miembros del dominio aislado.After implementing the new rules, your devices reject unsolicited network traffic from devices that are not members of the isolated domain.

Es posible que el dominio aislado no sea un único dominio de Active Directory.The isolated domain might not be a single Active Directory domain. Puede constar de todos los dominios de un bosque o de dominios de bosques independientes que tengan relaciones de confianza bidireccionales configuradas entre ellos.It can consist of all the domains in a forest, or domains in separate forests that have two-way trust relationships configured between them.

Mediante el uso de reglas de seguridad de conexión basadas en IPsec, se proporciona una barrera lógica entre los dispositivos incluso si están conectados al mismo segmento de red físico.By using connection security rules based on IPsec, you provide a logical barrier between devices even if they are connected to the same physical network segment.

El diseño se muestra en la ilustración siguiente, con las flechas que muestran las rutas de comunicación permitidas.The design is shown in the following illustration, with the arrows that show the permitted communication paths.

zona de límite de dominio aislado

Entre las características de este diseño, como se muestra en el diagrama, se incluyen las siguientes:Characteristics of this design, as shown in the diagram, include the following:

  • Dominio aislado (área A): los dispositivos del dominio aislado reciben el tráfico entrante no solicitado solo de otros miembros del dominio aislado o de los dispositivos a los que se hace referencia en las reglas de exención de autenticación.Isolated domain (area A) - Devices in the isolated domain receive unsolicited inbound traffic only from other members of the isolated domain or from devices referenced in authentication exemption rules. Los dispositivos del dominio aislado pueden enviar tráfico a cualquier dispositivo.Devices in the isolated domain can send traffic to any device. Esto incluye el tráfico no autenticado para los dispositivos que no están en el dominio aislado.This includes unauthenticated traffic to devices that are not in the isolated domain. Los dispositivos que no pueden unirse a un dominio de Active Directory, pero que pueden usar certificados para la autenticación, pueden formar parte del dominio aislado.Devices that cannot join an Active Directory domain, but that can use certificates for authentication, can be part of the isolated domain. Para obtener más información, consulta el diseño de la Directiva de aislamiento basado en certificados.For more info, see the Certificate-based Isolation Policy Design.

  • Zona límite (área B): los dispositivos de la zona límite forman parte del dominio aislado, pero pueden aceptar conexiones entrantes de dispositivos que no sean de confianza, como clientes en Internet.Boundary zone (area B) - Devices in the boundary zone are part of the isolated domain but are allowed to accept inbound connections from untrusted devices, such as clients on the Internet.

    Los dispositivos de la solicitud de la zona límite pero no requieren autenticación para comunicarse.Devices in the boundary zone request but do not require authentication to communicate. Cuando un miembro del dominio aislado se comunica con un miembro de la zona límite, se autentica el tráfico.When a member of the isolated domain communicates with a boundary zone member the traffic is authenticated. Cuando un dispositivo que no forma parte del dominio aislado se comunica con un miembro de la zona límite, el tráfico no se autentica.When a device that is not part of the isolated domain communicates with a boundary zone member the traffic is not authenticated.

    Debido a que los dispositivos de zona límite se exponen al tráfico de red desde dispositivos potencialmente hostiles y no confiables, deben ser administrados y protegidos cuidadosamente.Because boundary zone devices are exposed to network traffic from untrusted and potentially hostile devices, they must be carefully managed and secured. Coloque solo los dispositivos a los que deben acceder los dispositivos externos de esta zona.Put only the devices that must be accessed by external devices in this zone. Use reglas de Firewall para asegurarse de que el tráfico de red solo se acepta para los servicios que desea exponer a dispositivos que no sean miembros del dominio.Use firewall rules to ensure that network traffic is accepted only for services that you want exposed to non-domain member devices.

  • Miembros ajenos al dominio de confianza (área C): los dispositivos de la red que no son miembros del dominio o que no pueden usar la autenticación IPsec pueden comunicarse mediante la configuración de reglas de exención de autenticación.Trusted non-domain members (area C) - Devices on the network that are not domain members or that cannot use IPsec authentication are allowed to communicate by configuring authentication exemption rules. Estas reglas permiten que los dispositivos del dominio aislado acepten conexiones entrantes de estos dispositivos de confianza que no son miembros del dominio.These rules enable devices in the isolated domain to accept inbound connections from these trusted non-domain member devices.

  • Miembros que no son de dominio de confianza (área D): los dispositivos que no son administrados por su organización y tienen una configuración de seguridad desconocida solo deben tener acceso a los dispositivos necesarios para que su organización realice correctamente su actividad empresarial.Untrusted non-domain members (area D) - Devices that are not managed by your organization and have an unknown security configuration must have access only to those devices required for your organization to correctly conduct its business. Existe aislamiento de dominio para poner una barrera lógica entre estos dispositivos que no son de confianza y los dispositivos de su organización.Domain isolation exists to put a logical barrier between these untrusted Devices and your organization's devices.

Después de implementar este diseño, su equipo administrativo tendrá una administración centralizada de las reglas de seguridad de firewall y conexión aplicadas a los dispositivos de su organización.After implementing this design, your administrative team will have centralized management of the firewall and connection security rules applied to the devices in your organization.

Importante

Este diseño se basa en el diseño de directiva de Firewall básicay, a su vez, sirve como base para el diseño de la Directiva de aislamiento del servidor.This design builds on the Basic Firewall Policy Design, and in turn serves as the foundation for the Server Isolation Policy Design. Si tiene previsto implementar los tres, le recomendamos que realice el trabajo de diseño para los tres juntos y, a continuación, lo implemente en la secuencia que se muestra.If you plan to deploy all three, we recommend that you do the design work for all three together, and then deploy in the sequence presented.

Este diseño se puede aplicar a dispositivos que forman parte de un bosque de Active Directory.This design can be applied to Devices that are part of an Active Directory forest. Active Directory es necesario para proporcionar la administración centralizada y la implementación de objetos de directiva de grupo que contienen las reglas de seguridad de conexión.Active Directory is required to provide the centralized management and deployment of Group Policy objects that contain the connection security rules.

Para expandir el dominio aislado para incluir dispositivos que no pueden formar parte de un dominio de Active Directory, consulte el diseño de la Directiva de aislamiento basado en certificados.In order to expand the isolated domain to include Devices that cannot be part of an Active Directory domain, see the Certificate-based Isolation Policy Design.

Para obtener más información sobre este diseño:For more info about this design:

Siguiente: diseño de directiva de aislamiento del servidorNext: Server Isolation Policy Design