Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.
A implantação de um appliance do Unified Access Gatewaybaseado em DMZ normalmente inclui dois firewalls.
- É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.
- É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.
A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.
Para permitir que dispositivos cliente externos se conectem a um appliance do Unified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance do Unified Access Gateway dentro da DMZ na porta TCP 443. Se for usado o protocolo Blast, a porta 8443 deve estar aberta no firewall, mas é possível configurar também o Blast para a porta 443.
Porta | Portal | Fonte | Destino | Descrição |
---|---|---|---|---|
443 | TCP | Internet | Unified Access Gateway | Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme |
443 | UDP | Internet | Unified Access Gateway | UDP (opcional) |
8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
8443 | TCP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
4172 | TCP e UDP | Internet | Unified Access Gateway | PCoIP (opcional) |
443 | TCP | Unified Access Gateway | Agente Horizon | Horizon Client XML-API |
22443 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Blast Extreme |
4172 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | PCoIP (opcional) |
32111 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Canal de estrutura para redirecionamento USB |
9427 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | MMR e CDR |
9443 | TCP | IU do administrador | Unified Access Gateway | Interface de gerenciamento |
Observação: Para que sejam permitidas, todas as portas UDP exigem diagramas de dados de encaminhamento e diagramas de dados de resposta.
|
A figura a seguir mostra um exemplo de uma configuração que inclui firewalls front-end e back-end.