Контекст — это корпоративная сеть, которой необходимо подключаться к виртуальным машинам в облаке через RDP, но которая сама никогда не получает никаких RDP-подключений. Таким образом, в корпоративной сети есть только клиенты RDP, но нет серверов RDP, а виртуальные машины в облаке — это полная противоположность: у них есть только серверы RDP, работающие на порту 3389.
В этом случае должен ли брандмауэр компании разрешать только исходящие/исходящие RDP-подключения к порту 3389 внешних IP-адресов и блокировать все входящие/входящие соединения к порту 3389 IP-адресов локальной сети? Или (вопреки моему пониманию) должен ли брандмауэр также разрешать входящие соединения к порту 3389 IP-адресов локальной сети для работы RDP-клиента?
Было бы здорово получить объяснение, обосновывающее ответ. Я считаю, что это базовая сеть, связанная с эфемерными портами, но ясность в этом вопросе была бы весьма полезна.
решение1
После обмена несколькими комментариями ваш вопрос в основном сводится к следующему:
Нужно ли мне открывать порт RDP 3389 на стороне клиента для работы RDP на облачном сервере, или это представляет угрозу безопасности?
Нет, вам вообще не нужно открывать порт на стороне клиента.
Под термином «открыть порт» я подразумеваю создание сопоставления портов на маршрутизаторе и, в частности, разрешение доступа к порту в брандмауэре для приема входящих запросов.
По умолчанию в Windows, когда клиент подключается к другой машине с помощью протокола RDP, он подключается к другой машине через TCP/IP, а затем переключается на другой порт UDP для фактического подключения. Из-за этого механизма только на стороне сервера вам нужно открывать порты. Только если у клиента очень строгие и чрезмерные настройки брандмауэра, может быть, что-то нужно разрешить для работы исходящего соединения, но никогда клиенту не нужно менять настройки маршрутизатора, чтобы разрешить входящий трафик через порт TCP 3389.
решение2
Сколько ролей установлено в вашей системе RDS или она просто используется для удаленного доступа из точки А в точку Б?
Что касается последнего, то, согласно статье «Изменение порта прослушивания для удаленного рабочего стола на вашем компьютере», было подтверждено, что порт (по умолчанию 3389) был изменен на компьютере, к которому вы подключаетесь, что можно считать серверной частью.
Что касается первого варианта, вот блог, в котором упоминаются требования к портам всех ролей RDS для удаленного подключения:
RDS 2012: Какие порты используются во время развертывания? https://social.technet.microsoft.com/wiki/contents/articles/16164.rds-2012-which-ports-are-used-during-deployment.aspx