防火墙规则根据官方文档和项目实施经验总结得出,不足之处还望指正。

一、Citrix ADC 相关防火墙规则

目的 协议和端口 描述
管理计算机 NSIP/SNIP TCP 22 80 443 3010 3008 对 NetScaler 配置 GUI 的 SSH 和 HTTP/SSL 访问。TCP 3008/3010 是 Java,如果流量已加密,则使用 3008。在 10.5 build 57 及更高版本中不需要 Java
NSIP/SNIP DNS服务器 TCP 53 UDP:53 PING PING 用于监测 DNS 状态
NSIP/SNIP NTP服务器 UDP 123 时间同步
NSIP LDAP服务器(域控制器) TCP 389 636(安全LDAP) 安全 LDAP 允许密码更改过期
NSIP LDAP服务器(域控制器) TCP 389 636(安全LDAP) 监测 LDAP 状态
NSIP RADIUS服务器 UDP 1812 RADIUS 用于双因素身份验证
SNIP RADIUS服务器 UDP 1812 监测 RADIUS 服务状态
NSIP StoreFront TCP 80 443 监测 StoreFront 服务状态
StoreFront NetScaler Gateway VIP TCP 443 从 StoreFront 服务器到 NetScaler 网关的身份验证回调
SNIP DDC TCP 80 443 Secure Ticket Authorities(STA)
SNIP 所有虚拟桌面主机网络 TCP 1494 2598 UDP 1494 2598 16500-16509 HDX ICA 会话以及UDP 音频
所有互联和内部用户 NetScaler Gateway VIP TCP 80 443 UDP 443 来自浏览器和 Citrix 客户端的连接 用于 UDP 音频的 DTLS
NSIP mfa.cloud.com\trust.citrixworkspacesapi.net TCP 443 本机 OTP 推送(需要 DNS)
  • 默认情况下,身份验证流量使用 NSIP。
  • DNS 服务器使用 ping 进行监测。

二、Citrix CVAD 相关防火墙规则

目的 协议和端口 描述
管理计算机 DDC TCP 80 443 3389 PowerShell RDP 管理 DDC
DDC SQL Server TCP 1433 UDP 1433 连接 SQL 数据库
DDC vCenter TCP 443 连接 vCenter 托管资源
DDC SCVMM(Hyper-V) TCP 8100 连接 SCVMM 托管资源
DDC XenServer TCP 80 443 连接 XenServer 托管资源
DDC Citrix Licensing TCP 27000 7279 8023-8083 连接 Licensing 服务器
DDC 所有 VDA TCP 80 Brokering
所有 VDA DDC TCP 80 桌面注册
所有 VDA 域控制器 TCP 3268 桌面注册
所有 VDA 和应用服务器 Remote Desktop Licensing Server RPC 和 SMB 远程桌面许可
StoreFront DDC TCP 80 443 XML Secure Ticket Authority(STA)
StoreFront StoreFront TCP 808 多节点复制
StoreFront 域控制器 TCP 88 135 445 389/636 49151-65535 RPC 组策略 认证
所有客户端(内网) StoreFront(或负载地址) TCP 80 443 内网访问 StoreFront
所有客户端(内网) 所有 VDA TCP 1494 2598 UDP 1494 2598 16500-16509 HDX ICA UDP音频
所有客户端 Citrix Gateway VIP TCP 80 443 互联网或内网访问 Citrix Gateway
管理计算机 Director TCP 80 443 运维 Web 页面
Director DDC TCP 80 443 连接 DDC
管理计算机 所有 VDA TCP 135 3389 远程协助
  • DDC(Delivery Controllers)
  • VDA(Virtual Delivery Agent)