您需要为基于 DMZ 的安全服务器配置特定的前端防火墙规则和后端防火墙规则。安装过程中,Horizon 7 服务的默认设置是在特定网络端口进行侦听。必要时,您可以更改使用哪些端口号,以遵循组织策略或避免争用问题。
重要事项: 有关其他详细信息及安全性建议,请参见
《Horizon 7 安全指南》文档。
前端防火墙规则
要允许外部客户端设备连接到 DMZ 中的安全服务器,前端防火墙必须允许特定 TCP 和 UDP 端口上的流量。前端防火墙规则中总结了相关的前端防火墙规则。
| 源 | 默认端口 | 协议 | 目标 | 默认端口 | 说明 |
|---|---|---|---|---|---|
| Horizon Client | TCP(任意端口) | HTTP | 安全服务器 | TCP 80 | (可选)外部客户端设备通过 TCP 端口 80 连接至 DMZ 中的安全服务器,并且自动定向到 HTTPS。有关让用户连接 HTTP 而非 HTTPS 的安全注意事项相关信息,请参阅《Horizon 7 安全指南》。 |
| Horizon Client | TCP(任意端口) | HTTPS | 安全服务器 | TCP 443 | 外部客户端设备通过 TCP 端口 443 连接至 DMZ 中的安全服务器,实现与连接服务器实例和远程桌面及应用程序的通信。 |
| Horizon Client | TCP(任意端口) UDP(任意端口) |
PCoIP | 安全服务器 | TCP 4172 UDP 4172 |
外部客户端设备通过 TCP 端口 4172 和 UDP 端口 4172 连接至 DMZ 中的安全服务器,通过 PCoIP 与远程桌面或应用程序进行通信。 |
| 安全服务器 | UDP 4172 | PCoIP | Horizon Client | UDP(任意端口) | 安全服务器通过 UDP 端口 4172 将 PCoIP 数据发送回外部客户端设备。目标 UDP 端口是已接收 UDP 数据包中的源端口。由于这些数据包包含回复数据,通常不需要为此流量添加明确的防火墙规则。 |
| Horizon Client 或 Client Web 浏览器 | TCP(任意端口) | HTTPS | 安全服务器 | TCP 8443 UDP 8443 |
外部客户端设备和外部 Web 客户端 (HTML Access) 通过 HTTPS 端口 8443 连接到 DMZ 中的安全服务器,以便与远程桌面进行通信。 |
后端防火墙规则
要允许安全服务器与内部网络中的每个 View 连接服务器实例通信,后端防火墙必须允许特定 TCP 端口上的入站流量。在后端防火墙后面,必须以类似的方式配置内部防火墙,以允许远程桌面应用程序和连接服务器实例相互通信。后端防火墙规则 中总结了相关的后端防火墙规则。
| 源 | 默认端口 | 协议 | 目标 | 默认端口 | 说明 |
|---|---|---|---|---|---|
| 安全服务器 | UDP 500 | IPSec | 连接服务器 | UDP 500 | 安全服务器通过 UDP 端口 500 与连接服务器实例协商 IPSec。 |
| 连接服务器 | UDP 500 | IPSec | 安全服务器 | UDP 500 | 连接服务器实例通过 UDP 端口 500 响应安全服务器。 |
| 安全服务器 | UDP 4500 | NAT-T ISAKMP | 连接服务器 | UDP 4500 | 如果安全服务器与配对的连接服务器实例之间使用 NAT,则需要使用防火墙。安全服务器使用 UDP 端口 4500 遍历 NAT 和协商 IPsec 安全。 |
| 连接服务器 | UDP 4500 | NAT-T ISAKMP | 安全服务器 | UDP 4500 | 如果使用 NAT,连接服务器实例通过 UDP 端口 4500 响应安全服务器。 |
| 安全服务器 | TCP(任意端口) | AJP13 | 连接服务器 | TCP 8009 | 安全服务器通过 TCP 端口 8009 连接至连接服务器实例以转发来自外部客户端设备的 Web 流量。 如果启用 IPSec,则配对之后 AJP13 流量不会使用 TCP 端口 8009。相反,它将流经 NAT-T(UDP 端口 4500)或 ESP。 |
| 安全服务器 | TCP(任意端口) | JMS | 连接服务器 | TCP 4001 | 安全服务器通过 TCP 端口 4001 连接至连接服务器实例以交换 Java 消息服务 (Java Message Service, JMS) 流量。 |
| 安全服务器 | TCP(任意端口) | JMS | 连接服务器 | TCP 4002 | 安全服务器通过 TCP 端口 4002 连接至连接服务器实例以交换安全 Java 消息服务 (JMS) 流量。 |
| 安全服务器 | TCP(任意端口) | RDP | 远程桌面 | TCP 3389 | 安全服务器通过 TCP 端口 3389 连接至远程桌面以交换 RDP 流量。 |
| 安全服务器 | TCP(任意端口) | MMR | 远程桌面 | TCP 9427 | 安全服务器使用 TCP 端口 9427 连接到远程桌面以接收与多媒体重定向 (Multimedia Redirection, MMR) 和客户端驱动器重定向有关的流量。 |
| 安全服务器 | TCP(任意端口) UDP 55000 |
PCoIP | 远程桌面或应用程序 | TCP 4172 UDP 4172 |
安全服务器通过 TCP 端口 4172 和 UDP 端口 4172 连接至远程桌面和应用程序以交换 PCoIP 流量。 |
| 远程桌面或应用程序 | UDP 4172 | PCoIP | 安全服务器 | UDP 55000 | 远程桌面和应用程序通过 UDP 端口 4172 将 PCoIP 数据发送回安全服务器。 UDP 目标端口将作为已接收 UDP 数据包的源端口,由于是回复数据,通常不需要为此添加明确的防火墙规则。 |
| 安全服务器 | TCP(任意端口) | USB-R | 远程桌面 | TCP 32111 | 安全服务器通过 TCP 端口 32111 连接至远程桌面,在外部客户端设备和远程桌面之间交换 USB 重定向流量。 |
| 安全服务器 | TCP 或 UDP(任意端口) | Blast Extreme | 远程桌面或应用程序 | TCP 或 UDP 22443 | 安全服务器通过 TCP 和 UDP 端口 22443 连接到远程桌面和应用程序以交换 Blast Extreme 流量。 |
| 安全服务器 | TCP(任意端口) | HTTPS | 远程桌面 | TCP 22443 | 如果您使用 HTML Access,安全服务器会通过 HTTPS 端口 22443 连接至远程桌面,以便与 Blast Extreme 通信。 |
| 安全服务器 | ESP | 连接服务器 | 不需要 NAT 遍历时封装 AJP13 流量。ESP 是 IP 协议 50。端口号未指定。 | ||
| 连接服务器 | ESP | 安全服务器 | 不需要 NAT 遍历时封装 AJP13 流量。ESP 是 IP 协议 50。端口号未指定。 |
