背景是公司网络需要通过 RDP 连接到云中的虚拟机,但本身从未接收任何 RDP 连接。因此,公司网络只有 RDP 客户端,没有 RDP 服务器,而云上的虚拟机则相反:它们只有运行在端口 3389 上的 RDP 服务器。
在这种情况下,公司防火墙是否应仅允许与外部 IP 的端口 3389 建立出站/传出 RDP 连接,并阻止与本地网络 IP 的端口 3389 建立的所有入站/传入连接?或者(与我的理解相反)防火墙是否还应允许与本地网络 IP 的端口 3389 建立传入连接,以便 RDP 客户端正常工作?
如果能给出解释来证明这个答案就好了。我相信这是与临时端口相关的基本网络,但澄清这一点会非常有用。
答案1
经过几次评论交流后,你的问题基本上可以归结为:
我是否需要在客户端打开我的 RDP 端口 3389 才能使 RDP 到云服务器正常工作,或者这是否存在安全风险?
不,您根本不需要打开客户端端口。
我所说的打开端口是指在路由器上创建端口映射,并特别允许防火墙中的端口访问以接受传入的请求。
在 Windows 中,默认情况下,当客户端使用 RDP 协议连接到另一台计算机时,它将通过 TCP/IP 连接到另一台计算机,然后切换到不同的 UDP 端口进行实际连接。由于这种机制,只有在服务器端才需要打开端口。只有当客户端的防火墙设置非常严格和过度时,才可能需要允许某些操作才能使传出连接正常工作,但客户端永远不需要更改路由器设置以允许通过 TCP 端口 3389 传入流量。
答案2
您的 RDS 部署中安装了多少个角色,或者它仅用于从 A 到 B 的远程控制?
对于后者,根据“更改计算机上远程桌面的监听端口”一文,它确认您远程访问的计算机上的端口(默认为 3389)已更改,该计算机可被视为服务器端。
对于前者,这里有一篇博客提到了所有 RDS 角色对远程连接的端口要求:
RDS 2012:部署期间使用哪些端口? https://social.technet.microsoft.com/wiki/contents/articles/16164.rds-2012-which-ports-are-used-during-deployment.aspx