一键登录 更安全快捷
邮箱登录
我已阅读并接受 用户协议 隐私政策

Horizon外网接入UAG必须部署在DMZ隔离区,双防火墙纵深防御架构、网卡规划、安全风险完整指南

对外提供互联网远程桌面访问的UAG 统一接入网关,官方标准架构要求放置 DMZ 隔离区,依靠防火墙实现外网、DMZ、内网三层安全隔离;核心目的是隔绝不可信互联网流量,所有内网连接服务器、虚拟机桌面不直接暴露公网,仅认证通过的流量才能穿透至内网。实验室 POC 可临时内网单网卡部署,但政企、金融、生产外网场景强制 DMZ 隔离,否则存在极高横向渗透风险。本文拆解 DMZ 隔离底层逻辑、标准双防火墙架构、网卡配置、不隔离的安全隐患、端口放行规则与运维误区。

Horizon UAG DMZ 隔离完整专业解析

核心结论

1、面向互联网外网用户的 UAG:必须部署在 DMZ 隔离区,依靠两层防火墙做流量隔离,是 VMware 官方推荐生产标准架构VMware;

2、仅对内办公内网、MPLS 专线访问的内部 UAG,可无需 DMZ,直接放在信任内网网段;

3、DMZ 隔离核心价值:外网只能访问 DMZ 内 UAG,无法直达内网连接服务器 / 虚拟机;即便 UAG 被攻陷,后端防火墙可阻断攻击者横向渗透至核心虚拟化资源。

有VMware全系列产品官方资源和定制版资源需求的可以移步:

一、UAG 部署 DMZ 的底层安全隔离原理

1、三层网络安全分级

外网(互联网):最低信任等级,来源不可控,存在扫描、暴力破解、漏洞攻击;

DMZ 隔离区:中等信任,仅放置对外代理服务(UAG),禁止存放业务虚拟机、vCenter、连接服务器;

企业内网:最高信任等级,包含 Horizon 连接服务器、ESXi、桌面虚拟机、AD 域控等核心资产。

2、流量单向管控逻辑(纵深防御)

1)外网→DMZ 前端防火墙:仅放行 TCP/UDP 443、8443,拦截所有其他端口,互联网流量只能到达 UAG;

2)DMZ→内网后端防火墙:采用最小权限白名单,仅允许 UAG 固定 IP 访问内网指定端口,禁止 DMZ 主动发起任意出站流量;

3)内网→外网 / DMZ:管理员运维按需放开管理端口,不开放主动外联通道。

3、UAG 自身加固适配 DMZ 高危环境

UAG 是硬化版 SUSE 虚拟设备,出厂默认关闭 SSH、Telnet、FTP 等高危服务,仅保留 443 代理端口,专门适配 DMZ 暴露公网的风险场景VMware;

所有外网请求必须经过账号、证书、MFA 多重认证,未通过认证的流量直接丢弃,不会转发至内网。

二、生产标准 DMZ 双防火墙架构(推荐)

1、前端防火墙(互联网 ↔ DMZ)

放行规则:源任意外网 IP → DMZ UAG 公网 IP,TCP/UDP 443、8443(Blast/PCoIP);80 仅做跳转,外网可直接屏蔽。

2、后端防火墙(DMZ ↔ 企业内网)

仅允许 DMZ 内 UAG IP 访问内网指定服务端口,严格限制出站:

访问连接服务器:TCP 443;

访问桌面虚拟机 Agent:TCP/UDP 22443;

AD 身份认证、RADIUS:TCP 389/636、1812;

禁止 DMZ 网段主动扫描内网全段 IP。

3、UAG 网卡配套部署规范

生产 DMZ 环境强制使用双网卡 / 三网卡分离,杜绝单网卡混布内外流量:

1)外网网卡:绑定 DMZ 公网 / 映射 IP,对接前端防火墙,接收互联网客户端流量;

2)内网网卡:对接后端防火墙,仅用于转发认证后的桌面流量;

3)三网卡可选:独立管理网卡,内网管理员单独维护 UAG,业务流量与管理流量完全隔离。

三、不部署 DMZ、直接放内网对外的致命安全风险

1、内网核心资产直接暴露公网

若 UAG 无 DMZ 隔离,公网流量可直达内网网段,一旦网关漏洞被利用,攻击者可横向扫描连接服务器、AD、虚拟机,批量窃取业务数据。

2、无第二层防火墙阻断,渗透范围不可控

DMZ 架构存在两道防火墙屏障;内网直布 UAG 仅一道边界防火墙,防线单点失效后内网完全裸漏。

3、不符合等保、政企合规要求

金融、医疗、政府等强合规行业,远程接入代理服务必须独立 DMZ 隔离,无隔离架构无法通过安全审计。

4、攻击面放大

内网存在大量运维端口(3389、22、5985),无 DMZ 隔离时攻击者可通过 UAG 跳板访问全部内网设备。

四、两种 UAG 部署场景区分(DMZ / 非 DMZ 适用边界)

1、必须 DMZ 隔离场景(互联网公网访问)

员工居家办公、外部客户远程桌面、外网移动端 Horizon Client 接入,全部需要 DMZ 部署 UAG;

优势:多层防护、符合安全规范、攻击隔离可控。

2、无需 DMZ 场景(纯内网可信访问)

仅企业办公区内网、专线 MPLS、合作伙伴加密专线访问,无互联网暴露,可将内部 UAG 直接部署内网;

限制:绝对不能开放公网映射,仅信任网段可访问。

五、DMZ 部署 UAG 关键防火墙端口清单

1、外网→DMZ(前端防火墙)

TCP 443、UDP 443(443 端口共享模式)

TCP 8443、UDP 8443(默认 Blast 端口)

TCP 80(可选,仅 HTTP 跳转,建议外网屏蔽)

2、DMZ UAG → 内网(后端防火墙白名单)

TCP 443:连接服务器、vCenter 通信

TCP/UDP 22443:桌面虚拟机 Blast/PCoIP 后端转发

TCP 636:LDAPS 域身份认证

TCP 1812:RADIUS 多因素认证

TCP 22/9443:内网管理员运维 UAG(仅办公网段放开)

六、运维高频误区避坑

1、误区:UAG 自带安全代理,不用 DMZ 也足够安全

纠正:UAG 仅做应用层代理,无法阻挡底层网络横向渗透;无 DMZ 双层防火墙隔离,一旦 UAG 被突破,内网核心虚拟化资产无防护。

2、误区:实验室测试环境也必须搭建 DMZ

纠正:仅内网 POC、无公网映射场景,可单网卡内网部署 UAG,不强制 DMZ;一旦需要对外开放公网,必须改造 DMZ 架构。

3、误区:DMZ 内可以同时部署连接服务器、vCenter

纠正:DMZ 仅允许放置 UAG 这类代理网关,连接服务器、AD、虚拟机等核心资产禁止放入 DMZ,降低攻击面。

4、误区:单网卡 UAG 也能满足外网 DMZ 生产需求

纠正:单网卡内外流量混杂,失去网卡层面隔离,生产外网场景必须双 / 三网卡分离内外网段。

5、误区:内网 UAG 和外网 UAG 可以合并一台设备

纠正:生产建议级联部署(DMZ 外网 UAG + 内网 UAG),两层代理进一步隔离,杜绝单点突破风险。

全文总结

面向互联网远程访问的 Horizon UAG生产环境必须部署在 DMZ 隔离区,依靠前端、后端双防火墙实现外网、DMZ、内网三层流量隔离,核心作用是避免内网连接服务器、虚拟机直接暴露公网,形成纵深防御,大幅降低漏洞横向渗透风险。

仅纯内网、专线可信访问的内部 UAG 可省略 DMZ;DMZ 部署推荐双网卡分离内外流量,防火墙严格执行最小白名单放行策略。无 DMZ 直接内网对外的架构存在严重安全漏洞,不满足政企等保合规要求,严禁用于线上生产桌面业务。

用户留言 User Comments