Quais portas abrir no domínio vs internet

Os serviços de escuta devem ser explicitamente ativados, não implicitamente, como é o caso dos serviços principais na maioria dos servidores. Se você não precisa das portas 137,138, etc, desabilite os serviços para que eles não estejam ouvindo. Google "desabilitar netbios sobre TCP". Você pode desabilitar os serviços netbios em uma base por adaptador de rede. Então, desative-os na WAN, com certeza.

Primeiro resultado do Google:

link

Além disso, como foi dito anteriormente, você deve apenas ouvir publicamente em seu servidor da Web e somente nas portas que estiver usando. Use o firewall baseado em host do Windows para descartar tudo, exceto solicitações TCP para http (80), https (443), DNS (53) (UDP).

Além disso, esta rede interna é exclusivamente sua? Se for compartilhado com outros clientes de servidores "dedicados" ou outros departamentos, você pode querer limitar o acesso pelo IP de origem na interface interna a qualquer serviço de janelas do núcleo.

Isto é baseado apenas nas informações que você forneceu e eu não posso atender a coisas fora de sua descrição como está:

Você deve bloquear a interface externa para que a única máquina com acesso de saída seja o servidor da Web, nas portas 80 e 443 (se você veicular páginas SSL)

Se o DNS interno do AD precisar resolver entradas de DNS externas, talvez seja necessário abrir a porta 53 entre ele e a Web.

Para esclarecimento: você está falando sobre os lock-downs em vigor no próprio firewall do Windows? Nesse caso, verifique as configurações no firewall de hardware entre esses servidores e o link da Internet. Esse é o local mais comum para bloquear o tráfego de rede e você não precisa duplicar essas regras nas caixas locais.

Para ficar claro, você deve absolutamente restringir o acesso à internet nas portas 137-139. Verifique a porta 445 também!