获取验证码
对外提供互联网远程桌面访问的UAG 统一接入网关,官方标准架构要求放置 DMZ 隔离区,依靠防火墙实现外网、DMZ、内网三层安全隔离;核心目的是隔绝不可信互联网流量,所有内网连接服务器、虚拟机桌面不直接暴露公网,仅认证通过的流量才能穿透至内网。实验室 POC 可临时内网单网卡部署,但政企、金融、生产外网场景强制 DMZ 隔离,否则存在极高横向渗透风险。本文拆解 DMZ 隔离底层逻辑、标准双防火墙架构、网卡配置、不隔离的安全隐患、端口放行规则与运维误区。
核心结论
1、面向互联网外网用户的 UAG:必须部署在 DMZ 隔离区,依靠两层防火墙做流量隔离,是 VMware 官方推荐生产标准架构VMware;
2、仅对内办公内网、MPLS 专线访问的内部 UAG,可无需 DMZ,直接放在信任内网网段;
3、DMZ 隔离核心价值:外网只能访问 DMZ 内 UAG,无法直达内网连接服务器 / 虚拟机;即便 UAG 被攻陷,后端防火墙可阻断攻击者横向渗透至核心虚拟化资源。
有VMware全系列产品官方资源和定制版资源需求的可以移步:
1、三层网络安全分级
外网(互联网):最低信任等级,来源不可控,存在扫描、暴力破解、漏洞攻击;
DMZ 隔离区:中等信任,仅放置对外代理服务(UAG),禁止存放业务虚拟机、vCenter、连接服务器;
企业内网:最高信任等级,包含 Horizon 连接服务器、ESXi、桌面虚拟机、AD 域控等核心资产。
2、流量单向管控逻辑(纵深防御)
1)外网→DMZ 前端防火墙:仅放行 TCP/UDP 443、8443,拦截所有其他端口,互联网流量只能到达 UAG;
2)DMZ→内网后端防火墙:采用最小权限白名单,仅允许 UAG 固定 IP 访问内网指定端口,禁止 DMZ 主动发起任意出站流量;
3)内网→外网 / DMZ:管理员运维按需放开管理端口,不开放主动外联通道。
3、UAG 自身加固适配 DMZ 高危环境
UAG 是硬化版 SUSE 虚拟设备,出厂默认关闭 SSH、Telnet、FTP 等高危服务,仅保留 443 代理端口,专门适配 DMZ 暴露公网的风险场景VMware;
所有外网请求必须经过账号、证书、MFA 多重认证,未通过认证的流量直接丢弃,不会转发至内网。
1、前端防火墙(互联网 ↔ DMZ)
放行规则:源任意外网 IP → DMZ UAG 公网 IP,TCP/UDP 443、8443(Blast/PCoIP);80 仅做跳转,外网可直接屏蔽。
2、后端防火墙(DMZ ↔ 企业内网)
仅允许 DMZ 内 UAG IP 访问内网指定服务端口,严格限制出站:
访问连接服务器:TCP 443;
访问桌面虚拟机 Agent:TCP/UDP 22443;
AD 身份认证、RADIUS:TCP 389/636、1812;
禁止 DMZ 网段主动扫描内网全段 IP。
3、UAG 网卡配套部署规范
生产 DMZ 环境强制使用双网卡 / 三网卡分离,杜绝单网卡混布内外流量:
1)外网网卡:绑定 DMZ 公网 / 映射 IP,对接前端防火墙,接收互联网客户端流量;
2)内网网卡:对接后端防火墙,仅用于转发认证后的桌面流量;
3)三网卡可选:独立管理网卡,内网管理员单独维护 UAG,业务流量与管理流量完全隔离。
1、内网核心资产直接暴露公网
若 UAG 无 DMZ 隔离,公网流量可直达内网网段,一旦网关漏洞被利用,攻击者可横向扫描连接服务器、AD、虚拟机,批量窃取业务数据。
2、无第二层防火墙阻断,渗透范围不可控
DMZ 架构存在两道防火墙屏障;内网直布 UAG 仅一道边界防火墙,防线单点失效后内网完全裸漏。
3、不符合等保、政企合规要求
金融、医疗、政府等强合规行业,远程接入代理服务必须独立 DMZ 隔离,无隔离架构无法通过安全审计。
4、攻击面放大
内网存在大量运维端口(3389、22、5985),无 DMZ 隔离时攻击者可通过 UAG 跳板访问全部内网设备。
1、必须 DMZ 隔离场景(互联网公网访问)
员工居家办公、外部客户远程桌面、外网移动端 Horizon Client 接入,全部需要 DMZ 部署 UAG;
优势:多层防护、符合安全规范、攻击隔离可控。
2、无需 DMZ 场景(纯内网可信访问)
仅企业办公区内网、专线 MPLS、合作伙伴加密专线访问,无互联网暴露,可将内部 UAG 直接部署内网;
限制:绝对不能开放公网映射,仅信任网段可访问。
1、外网→DMZ(前端防火墙)
TCP 443、UDP 443(443 端口共享模式)
TCP 8443、UDP 8443(默认 Blast 端口)
TCP 80(可选,仅 HTTP 跳转,建议外网屏蔽)
2、DMZ UAG → 内网(后端防火墙白名单)
TCP 443:连接服务器、vCenter 通信
TCP/UDP 22443:桌面虚拟机 Blast/PCoIP 后端转发
TCP 636:LDAPS 域身份认证
TCP 1812:RADIUS 多因素认证
TCP 22/9443:内网管理员运维 UAG(仅办公网段放开)
1、误区:UAG 自带安全代理,不用 DMZ 也足够安全
纠正:UAG 仅做应用层代理,无法阻挡底层网络横向渗透;无 DMZ 双层防火墙隔离,一旦 UAG 被突破,内网核心虚拟化资产无防护。
2、误区:实验室测试环境也必须搭建 DMZ
纠正:仅内网 POC、无公网映射场景,可单网卡内网部署 UAG,不强制 DMZ;一旦需要对外开放公网,必须改造 DMZ 架构。
3、误区:DMZ 内可以同时部署连接服务器、vCenter
纠正:DMZ 仅允许放置 UAG 这类代理网关,连接服务器、AD、虚拟机等核心资产禁止放入 DMZ,降低攻击面。
4、误区:单网卡 UAG 也能满足外网 DMZ 生产需求
纠正:单网卡内外流量混杂,失去网卡层面隔离,生产外网场景必须双 / 三网卡分离内外网段。
5、误区:内网 UAG 和外网 UAG 可以合并一台设备
纠正:生产建议级联部署(DMZ 外网 UAG + 内网 UAG),两层代理进一步隔离,杜绝单点突破风险。
面向互联网远程访问的 Horizon UAG生产环境必须部署在 DMZ 隔离区,依靠前端、后端双防火墙实现外网、DMZ、内网三层流量隔离,核心作用是避免内网连接服务器、虚拟机直接暴露公网,形成纵深防御,大幅降低漏洞横向渗透风险。
仅纯内网、专线可信访问的内部 UAG 可省略 DMZ;DMZ 部署推荐双网卡分离内外流量,防火墙严格执行最小白名单放行策略。无 DMZ 直接内网对外的架构存在严重安全漏洞,不满足政企等保合规要求,严禁用于线上生产桌面业务。