背景是公司網路需要透過 RDP 連接到雲端中的虛擬機,但本身從未收到任何 RDP 連線。所以公司網路只有RDP客戶端,沒有RDP伺服器,而雲端上的虛擬機器則相反:只有在3389埠上運作的RDP伺服器。
在這種情況下,公司防火牆是否應該僅允許到外部 IP 的連接埠 3389 的出站/傳出 RDP 連接,並阻止到本地網路 IP 的連接埠 3389 的所有入站/傳入連接?或者(與我的理解相反)防火牆是否還應該允許本地網路 IP 的連接埠 3389 上的傳入連接,以便 RDP 用戶端正常工作?
最好有一個解釋來證明答案的合理性。我相信這是與臨時連接埠相關的基本網絡,但澄清這一點將非常有用。
答案1
經過一些評論交流後,您的問題基本上可以歸結為:
我是否需要在客戶端開啟 RDP 連接埠 3389 才能使 RDP 到雲端伺服器正常運作,或者這是否有安全風險?
不,您根本不需要打開客戶端連接埠。
透過使用術語“打開連接埠”,我指的是在路由器上建立連接埠映射,並特別允許防火牆中的連接埠存取接受傳入請求。
預設情況下,在 Windows 中,當客戶端使用 RDP 協定連接到另一台電腦時,它將透過 TCP/IP 連接到另一台計算機,然後切換到不同的 UDP 連接埠進行實際連接。由於這種機制,只有在伺服器端,才需要開啟連接埠。只有當客戶端的防火牆設定非常嚴格且過度時,才可能需要允許某些內容才能使傳出連線正常運作,但客戶端永遠不需要更改路由器設定以允許透過 TCP 連接埠 3389 傳入流量。
答案2
您的 RDS 部署中安裝了多少個角色,或者只是用於從 A 遠端到 B?
對於後一個,根據「更改電腦上遠端桌面的監聽連接埠」一文,它確認了您遠端到的電腦上的連接埠(預設為3389)已更改,該電腦可以被視為伺服器端。
對於前一個,這裡有一篇部落格提到了遠端連線的所有 RDS 角色的連接埠要求:
RDS 2012:部署期間使用哪些連接埠? https://social.technet.microsoft.com/wiki/contents/articles/16164.rds-2012-which-ports-are-used-during-deployment.aspx