Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.

A implementação de um appliance do Unified Access Gatewaybaseado em DMZ normalmente inclui dois firewalls.

  • É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.

  • É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.

A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.

Para permitir que dispositivos cliente externos se conectem a um appliance do Unified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance do Unified Access Gateway dentro da DMZ na porta TCP 443. Se for usado o protocolo Blast, a porta 8443 deve estar aberta no firewall, mas é possível configurar também o Blast para a porta 443.

Tabela 1. Requisitos de porta

Porta

Portal

Fonte

Destino

Descrição

443

TCP

Internet

Unified Access Gateway

Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme

443

UDP

Internet

Unified Access Gateway

UDP (opcional)

8443

UDP

Internet

Unified Access Gateway

Blast Extreme (opcional)

8443

TCP

Internet

Unified Access Gateway

Blast Extreme

4172

TCP e UDP

Internet

Unified Access Gateway

PCoIP (opcional)

443

TCP

Unified Access Gateway

Agente Horizon

Horizon Client XML-API

22443

TCP e UDP

Unified Access Gateway

Áreas de trabalho e hosts RDS

Blast Extreme

4172

TCP e UDP

Unified Access Gateway

Áreas de trabalho e hosts RDS

PCoIP (opcional)

32111

TCP

Unified Access Gateway

Áreas de trabalho e hosts RDS

Canal de estrutura para redirecionamento USB

9427

TCP

Unified Access Gateway

Áreas de trabalho e hosts RDS

MMR e CDR

9443

TCP

IU do administrador

Unified Access Gateway

Interface de gerenciamento

Observação:

Para que sejam permitidas, todas as portas UDP exigem diagramas de dados de encaminhamento e diagramas de dados de resposta.

A figura a seguir mostra um exemplo de uma configuração que inclui firewalls front-end e back-end.

Figura 1. Na topologia de DMZ Unified Access Gateway