您想以不同的語言查看網站嗎?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
更改語言
目錄

遠端桌面協議(RDP)是訪問 Windows 伺服器和桌面的最常見方式之一。它內建於 Windows 中,受到第三方客戶端的廣泛支持,並經常用於管理、支持和遠端工作。

但當您將遠端存取發布給用戶(或客戶)時,有一個問題迅速成為連接性和安全性的重要考量:RDP 使用哪些端口?在這篇文章中,我們將解析預設端口、根據您的設置可能出現的“額外”端口,以及如果您想要遠端存取而不暴露 3389 端口該怎麼做。

預設 RDP 端口

預設情況下, RDP 使用 TCP 端口 3389。

這是 Windows 上用於遠端桌面連接的標準監聽端口,當有人「將 RDP 開放到互聯網」時,大多數防火牆和 NAT 規則會轉發此端口。微軟還為 RDP 相關服務(ms-wbt-server)註冊了 3389,適用於 TCP 和 UDP。

RDP 是否總是使用 3389 端口?

大多數情況下,是的,但並不總是如此。3389 是預設值,這意味著啟用遠端桌面的標準 Windows 安裝將在那裡監聽,除非管理員更改它。在實際環境中,您經常會看到 RDP 移動到不同的端口,以減少自動掃描的基本噪音。

您還會看到 RDP 流量 出現 在被代理或隧道傳輸時使用其他端口(例如通過 RD Gateway、VPN 或遠程訪問門戶)。

重點是:根據遠端存取的發布方式,您的用戶可能會「使用 RDP」,而不直接連接到 3389。

為什麼 RDP 同時使用 TCP 和 UDP?

RDP 歷來依賴 TCP 以確保可靠的傳送,但現代 RDP 也可以使用 UDP(通常在相同的端口號 3389 上)來提高響應速度。UDP 在需要最小化延遲的情況下非常有幫助——滑鼠移動、打字、視頻和音頻因為 UDP 避免了 TCP 在封包丟失或需要重傳時引入的一些開銷,因此可以感覺更流暢。

在實際操作中,許多設置使用 TCP 作為基準,並在網絡允許的情況下使用 UDP 作為性能提升。如果 UDP 被阻止,RDP 通常仍然可以工作,只是性能降低或在不良網絡條件下感覺“延遲”。

UDP 和附加端口行為

此外 TCP 3389 RDP 也可以涉及:

  • UDP 3389 – 用於 RDP 以改善響應速度並減少延遲(當 UDP 傳輸被啟用和允許時)。
  • TCP 443 – 用於通過遠端桌面閘道 (RDP 封裝在 HTTPS 中) 進行連接時。
  • UDP 3391 – 通常用於透過 RD Gateway 的 “RDP over UDP” (通過網關的性能路徑)。
  • TCP 135 / 139 / 445 – 可能出現在某些環境中,與相關的 Windows 服務和重定向場景(例如,依賴 RPC/SMB 的功能)有關。

如果您的 RDP 環境位於防火牆後面, NAT ,或安全網關,您通常需要驗證實際使用的 RDP 路徑(直接 3389 與網關 443/3391)並確保政策匹配。

快速防火牆檢查清單以供 RDP 端口使用

為了避免反覆試驗的故障排除,請確認您已允許 TCP 3389(如果您想要最佳性能,還需允許 UDP 3389)。如果您使用 RD Gateway,請確保在網關上開放 TCP 443(可選擇性地開放 UDP 3391),而不一定是在目標伺服器上。

使用 RDP 的企業安全問題

從安全的角度來看,將 TCP 3389 公開到互聯網是一個高風險的舉動。它受到大量掃描, 經常被暴力破解 ,並且在勒索軟體攻擊中常常成為目標。

為什麼這在實際部署中很重要:

  • 一個暴露的 RDP 端點可以成為一個不斷的密碼猜測目標
  • RDP 安全性在很大程度上依賴於加固(多因素身份驗證、帳戶鎖定、修補、VPN/網關使用、IP 限制)
  • “只需打開 3389” 通常會變成持續的防火牆和端點維護
  • 隨著環境的擴大,在伺服器之間強制執行一致的控制變得困難。

對於許多組織來說,目標變成:提供遠端存取而不暴露3389。

實用的加固步驟如果您必須使用RDP

如果您無法避免 RDP,請通過要求 MFA、啟用 NLA、強制執行強鎖定政策、通過 VPN 或 IP 白名單限制訪問,以及確保系統完全修補來減少暴露。盡可能將 RDP 放在 RD Gateway (443) 後面,而不是直接暴露 3389。

更安全的替代方案:TSplus Remote Access

如果您希望在將 3389 端口對公共互聯網保持關閉的情況下進行遠程訪問, TSplus 遠端存取 提供一種實用的方法:通過使用標準網頁端口的網頁門戶發佈應用程序和桌面。

為什麼 TSplus 可能更合適:

  • 不需要將端口 3389 暴露於互聯網(您可以依賴 80/443 進行網頁訪問)
  • 基於瀏覽器的訪問,使用HTML5網頁入口,減少客戶端的複雜性
  • 可以在熟悉的網頁界面上更輕鬆地強制執行 HTTPS 和標準安全實踐
  • 適合發佈應用程式(RemoteApp 風格)以及完整桌面使用。
  • 可以通過像兩因素身份驗證和額外保護的附加功能來加強。

對於需要可靠地服務遠程用戶的團隊,這有助於減少攻擊面,同時簡化部署和 用戶上線 .

最後的想法

TCP 3389 是預設的 RDP 端口——而 RDP 也可能使用 UDP 3389,還有在涉及網關時的 443/3391,以及在特定情況下的其他 Windows 網絡端口。如果遠程訪問對業務至關重要,請考慮您是否真的想保持 3389 開放。

許多組織轉向一種方法,讓用戶通過 HTTPS (443) 連接到安全門戶,而內部 RDP 層保持私密。

如果您正在尋找更安全的遠程訪問交付方式, TSplus 遠端存取 可以幫助您通過網絡發布應用程序和桌面,同時保持您的基礎設施更簡單和更安全。

TSplus 遠端存取免費試用

終極的 Citrix/RDS 替代方案,用於桌面/應用程式訪問。安全、具成本效益、內部部署/雲端

開始免費試用

分享:

Facebook Twitter LinkedIn

您的TSplus团队

進一步閱讀

back to top of the page icon