컨텍스트는 RDP를 통해 클라우드의 가상 머신에 연결해야 하지만 RDP 연결 자체를 수신하지 못하는 회사 네트워크입니다. 따라서 회사 네트워크에는 RDP 클라이언트만 있고 RDP 서버는 없으며 클라우드의 VM은 그 반대입니다. 포트 3389에서 실행되는 RDP 서버만 있습니다.
이 경우 회사 방화벽은 외부 IP의 포트 3389에 대한 아웃바운드/아웃바운드 RDP 연결만 허용하고 로컬 네트워크 IP의 포트 3389에 대한 모든 인바운드/인바운드 연결을 차단해야 합니까? 아니면 (제가 이해한 것과는 반대로) RDP 클라이언트가 작동하려면 방화벽이 로컬 네트워크 IP의 포트 3389에서 들어오는 연결도 허용해야 합니까?
답변을 정당화하는 설명이 있으면 좋을 것입니다. 나는 이것이 임시 포트와 관련된 기본 네트워킹이라고 생각하지만 이에 대한 명확성은 매우 유용할 것입니다.
답변1
몇 번의 의견 교환 후에 귀하의 질문은 기본적으로 다음과 같이 요약됩니다.
클라우드 서버에 대한 RDP가 작동하려면 클라이언트 측에서 RDP 포트 3389를 열어야 합니까? 아니면 보안 위험이 있습니까?
아니요, 클라이언트 측 포트를 전혀 열 필요가 없습니다.
포트 열기라는 용어를 사용한다는 것은 라우터에서 포트 매핑을 생성하고 특히 방화벽에서 포트 액세스가 들어오는 요청을 수락하도록 허용하는 것을 의미합니다.
기본적으로 Windows에서는 클라이언트가 RDP 프로토콜을 사용하여 다른 시스템에 연결할 때 TCP/IP를 통해 다른 시스템에 연결한 다음 실제 연결을 위해 다른 UDP 포트로 전환합니다. 이 메커니즘으로 인해 서버 측에서만 포트를 열어야 합니다. 클라이언트의 방화벽 설정이 매우 엄격하고 과도한 경우에만 나가는 연결이 작동하도록 허용해야 할 수 있지만 클라이언트는 TCP 포트 3389를 통해 들어오는 트래픽을 허용하기 위해 라우터 설정을 변경할 필요가 없습니다.
답변2
RDS 배포에 몇 개의 역할이 설치되어 있습니까? 아니면 단순히 A에서 B로 원격으로 사용됩니까?
후자의 경우 "컴퓨터에서 원격 데스크톱에 대한 수신 대기 포트 변경" 기사에 따라 원격으로 연결하는 컴퓨터에서 포트(기본적으로 3389)가 서버 측으로 간주될 수 있도록 변경되었음을 확인했습니다.
전자의 경우 원격 연결을 위한 모든 RDS 역할의 포트 요구 사항이 언급된 블로그는 다음과 같습니다.
RDS 2012: 배포 중에 어떤 포트가 사용됩니까? https://social.technet.microsoft.com/wiki/contents/articles/16164.rds-2012-which-ports-are-used-during-deployment.aspx