Horizon外网接入UAG必须部署在DMZ隔离区,双防火墙纵深防御架构、网卡规划、安全风险完整指南 对外提供互联网远程桌面访问的UAG 统一接入网关官方标准架构要求放置 DMZ 隔离区依靠防火墙实现外网、DMZ、内网三层安全隔离核心目的是隔绝不可信互联网流量所有内网连接服务器、虚拟机桌面不直接暴露公网仅认证通过的流量才能穿透至内网。实验室 POC 可临时内网单网卡部署但政企、金融、生产外网场景强制 DMZ 隔离否则存在极高横向渗透风险。本文拆解 DMZ 隔离底层逻辑、标准双防火墙架构、网卡配置、不隔离的安全隐患、端口放行规则与运维误区。Horizon UAG DMZ 隔离完整专业解析核心结论1、面向互联网外网用户的 UAG必须部署在 DMZ 隔离区依靠两层防火墙做流量隔离是 VMware 官方推荐生产标准架构VMware 2、仅对内办公内网、MPLS 专线访问的内部 UAG可无需 DMZ直接放在信任内网网段 3、DMZ 隔离核心价值外网只能访问 DMZ 内 UAG无法直达内网连接服务器 / 虚拟机即便 UAG 被攻陷后端防火墙可阻断攻击者横向渗透至核心虚拟化资源。一、UAG 部署 DMZ 的底层安全隔离原理1、三层网络安全分级外网互联网最低信任等级来源不可控存在扫描、暴力破解、漏洞攻击DMZ 隔离区中等信任仅放置对外代理服务UAG禁止存放业务虚拟机、vCenter、连接服务器企业内网最高信任等级包含 Horizon 连接服务器、ESXi、桌面虚拟机、AD 域控等核心资产。2、流量单向管控逻辑纵深防御1外网→DMZ 前端防火墙仅放行 TCP/UDP 443、8443拦截所有其他端口互联网流量只能到达 UAG 2DMZ→内网后端防火墙采用最小权限白名单仅允许 UAG 固定 IP 访问内网指定端口禁止 DMZ 主动发起任意出站流量 3内网→外网 / DMZ管理员运维按需放开管理端口不开放主动外联通道。3、UAG 自身加固适配 DMZ 高危环境UAG 是硬化版 SUSE 虚拟设备出厂默认关闭 SSH、Telnet、FTP 等高危服务仅保留 443 代理端口专门适配 DMZ 暴露公网的风险场景VMware 所有外网请求必须经过账号、证书、MFA 多重认证未通过认证的流量直接丢弃不会转发至内网。二、生产标准 DMZ 双防火墙架构推荐1、前端防火墙互联网 ↔ DMZ 放行规则源任意外网 IP → DMZ UAG 公网 IPTCP/UDP 443、8443Blast/PCoIP80 仅做跳转外网可直接屏蔽。 2、后端防火墙DMZ ↔ 企业内网 仅允许 DMZ 内 UAG IP 访问内网指定服务端口严格限制出站访问连接服务器TCP 443访问桌面虚拟机 AgentTCP/UDP 22443AD 身份认证、RADIUSTCP 389/636、1812禁止 DMZ 网段主动扫描内网全段 IP。 3、UAG 网卡配套部署规范 生产 DMZ 环境强制使用双网卡 / 三网卡分离杜绝单网卡混布内外流量 1外网网卡绑定 DMZ 公网 / 映射 IP对接前端防火墙接收互联网客户端流量 2内网网卡对接后端防火墙仅用于转发认证后的桌面流量 3三网卡可选独立管理网卡内网管理员单独维护 UAG业务流量与管理流量完全隔离。三、不部署 DMZ、直接放内网对外的致命安全风险1、内网核心资产直接暴露公网 若 UAG 无 DMZ 隔离公网流量可直达内网网段一旦网关漏洞被利用攻击者可横向扫描连接服务器、AD、虚拟机批量窃取业务数据。 2、无第二层防火墙阻断渗透范围不可控 DMZ 架构存在两道防火墙屏障内网直布 UAG 仅一道边界防火墙防线单点失效后内网完全裸漏。 3、不符合等保、政企合规要求 金融、医疗、政府等强合规行业远程接入代理服务必须独立 DMZ 隔离无隔离架构无法通过安全审计。 4、攻击面放大 内网存在大量运维端口3389、22、5985无 DMZ 隔离时攻击者可通过 UAG 跳板访问全部内网设备。四、两种 UAG 部署场景区分DMZ / 非 DMZ 适用边界1、必须 DMZ 隔离场景互联网公网访问 员工居家办公、外部客户远程桌面、外网移动端 Horizon Client 接入全部需要 DMZ 部署 UAG 优势多层防护、符合安全规范、攻击隔离可控。2、无需 DMZ 场景纯内网可信访问 仅企业办公区内网、专线 MPLS、合作伙伴加密专线访问无互联网暴露可将内部 UAG 直接部署内网 限制绝对不能开放公网映射仅信任网段可访问。五、DMZ 部署 UAG 关键防火墙端口清单1、外网→DMZ前端防火墙 TCP 443、UDP 443443 端口共享模式 TCP 8443、UDP 8443默认 Blast 端口 TCP 80可选仅 HTTP 跳转建议外网屏蔽 2、DMZ UAG → 内网后端防火墙白名单 TCP 443连接服务器、vCenter 通信 TCP/UDP 22443桌面虚拟机 Blast/PCoIP 后端转发 TCP 636LDAPS 域身份认证 TCP 1812RADIUS 多因素认证 TCP 22/9443内网管理员运维 UAG仅办公网段放开六、运维高频误区避坑1、误区UAG 自带安全代理不用 DMZ 也足够安全 纠正UAG 仅做应用层代理无法阻挡底层网络横向渗透无 DMZ 双层防火墙隔离一旦 UAG 被突破内网核心虚拟化资产无防护。 2、误区实验室测试环境也必须搭建 DMZ 纠正仅内网 POC、无公网映射场景可单网卡内网部署 UAG不强制 DMZ一旦需要对外开放公网必须改造 DMZ 架构。 3、误区DMZ 内可以同时部署连接服务器、vCenter 纠正DMZ 仅允许放置 UAG 这类代理网关连接服务器、AD、虚拟机等核心资产禁止放入 DMZ降低攻击面。 4、误区单网卡 UAG 也能满足外网 DMZ 生产需求 纠正单网卡内外流量混杂失去网卡层面隔离生产外网场景必须双 / 三网卡分离内外网段。 5、误区内网 UAG 和外网 UAG 可以合并一台设备 纠正生产建议级联部署DMZ 外网 UAG 内网 UAG两层代理进一步隔离杜绝单点突破风险。全文总结面向互联网远程访问的 Horizon UAG生产环境必须部署在 DMZ 隔离区依靠前端、后端双防火墙实现外网、DMZ、内网三层流量隔离核心作用是避免内网连接服务器、虚拟机直接暴露公网形成纵深防御大幅降低漏洞横向渗透风险。 仅纯内网、专线可信访问的内部 UAG 可省略 DMZDMZ 部署推荐双网卡分离内外流量防火墙严格执行最小白名单放行策略。无 DMZ 直接内网对外的架构存在严重安全漏洞不满足政企等保合规要求严禁用于线上生产桌面业务。