防火墙规则根据官方文档和项目实施经验总结得出,不足之处还望指正。

一、Citrix ADC 相关防火墙规则

目的协议和端口描述
管理计算机NSIP/SNIPTCP 22 80 443 3010 3008对 NetScaler 配置 GUI 的 SSH 和 HTTP/SSL 访问。TCP 3008/3010 是 Java,如果流量已加密,则使用 3008。在 10.5 build 57 及更高版本中不需要 Java
NSIP/SNIPDNS服务器TCP 53 UDP:53 PINGPING 用于监测 DNS 状态
NSIP/SNIPNTP服务器UDP 123时间同步
NSIPLDAP服务器(域控制器)TCP 389 636(安全LDAP)安全 LDAP 允许密码更改过期
NSIPLDAP服务器(域控制器)TCP 389 636(安全LDAP)监测 LDAP 状态
NSIPRADIUS服务器UDP 1812RADIUS 用于双因素身份验证
SNIPRADIUS服务器UDP 1812监测 RADIUS 服务状态
NSIPStoreFrontTCP 80 443监测 StoreFront 服务状态
StoreFrontNetScaler Gateway VIPTCP 443从 StoreFront 服务器到 NetScaler 网关的身份验证回调
SNIPDDCTCP 80 443Secure Ticket Authorities(STA)
SNIP所有虚拟桌面主机网络TCP 1494 2598 UDP 1494 2598 16500-16509HDX ICA 会话以及UDP 音频
所有互联和内部用户NetScaler Gateway VIPTCP 80 443 UDP 443来自浏览器和 Citrix 客户端的连接 用于 UDP 音频的 DTLS
NSIPmfa.cloud.com\trust.citrixworkspacesapi.netTCP 443本机 OTP 推送(需要 DNS)
  • 默认情况下,身份验证流量使用 NSIP。
  • DNS 服务器使用 ping 进行监测。

二、Citrix CVAD 相关防火墙规则

目的协议和端口描述
管理计算机DDCTCP 80 443 3389PowerShell RDP 管理 DDC
DDCSQL ServerTCP 1433 UDP 1433连接 SQL 数据库
DDCvCenterTCP 443连接 vCenter 托管资源
DDCSCVMM(Hyper-V)TCP 8100连接 SCVMM 托管资源
DDCXenServerTCP 80 443连接 XenServer 托管资源
DDCCitrix LicensingTCP 27000 7279 8023-8083连接 Licensing 服务器
DDC所有 VDATCP 80Brokering
所有 VDADDCTCP 80桌面注册
所有 VDA域控制器TCP 3268桌面注册
所有 VDA 和应用服务器Remote Desktop Licensing ServerRPC 和 SMB远程桌面许可
StoreFrontDDCTCP 80 443XML Secure Ticket Authority(STA)
StoreFrontStoreFrontTCP 808多节点复制
StoreFront域控制器TCP 88 135 445 389/636 49151-65535RPC 组策略 认证
所有客户端(内网)StoreFront(或负载地址)TCP 80 443内网访问 StoreFront
所有客户端(内网)所有 VDATCP 1494 2598 UDP 1494 2598 16500-16509HDX ICA UDP音频
所有客户端Citrix Gateway VIPTCP 80 443互联网或内网访问 Citrix Gateway
管理计算机DirectorTCP 80 443运维 Web 页面
DirectorDDCTCP 80 443连接 DDC
管理计算机所有 VDATCP 135 3389远程协助
  • DDC(Delivery Controllers)
  • VDA(Virtual Delivery Agent)