在一般的企业网络部署方案中,位于防火墙内的DMZ在防火墙的保护下可以有效的抵抗来自Internet的攻击,DMZ作为保护内网的一个缓冲区,一方面为Internet的主机提供访问服务,一方面又暴露在了局域网内的主机下。因为大多数人对于局域网内部的主机都认为是可信的,所以DMZ面对来自局域网内的访问和攻击就显得捉襟见肘,因此对于局域网内部主机对DMZ服务器访问认证是必要的。同时,对于包含机密信息的重要的内部服务器需要进行隔离,提高其安全性。当局域网内部的指定主机需要访问服务器的时候,此时的认证至关重要。
本项目修改原KDC(KeyDistributionCenter)认证体系,通过认证服务(AS:
AuthenticationService)和票据授予服务(TGS:TicketGrantingService)来进行对多个用户访问某些网络服务的认证,减少来自局域网内主机的攻击,提高服务器安全性。
