基于 DMZ 的 Access Point 设备部署通常包含两个防火墙。

• 需要部署一个面向外部网络的前端防火墙，用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许外部网络流量到达 DMZ。

• 需要在 DMZ 和内部网络之间部署一个后端防火墙，用于提供第二层安全保障。您需要将该防火墙配置为仅接受 DMZ 中的服务产生的流量。

防火墙策略可严格控制来自 DMZ 服务的入站通信，这样将大幅降低内部网络泄露的风险。

要允许外部客户端设备连接到 DMZ 中的 Access Point 设备，前端防火墙必须允许特定端口上的流量。默认情况下，外部客户端设备和外部 Web 客户端 (HTML Access) 会使用 TCP 端口 443 连接到 DMZ 中的 Access Point 设备。如果您使用 Blast 协议，则必须在防火墙上打开端口 443。如果您使用 PCOIP 协议，则必须在防火墙上打开端口 4172。

下图显示了包含前端和后端防火墙的配置示例。