如果您的网络拓扑在安全服务器与连接服务器实例之间包含后端防火墙,则必须在防火墙上配置某些协议和端口以支持 IPsec。如果配置不正确,则在安全服务器与连接服务器实例之间发送的数据将无法通过防火墙。
默认情况下,IPsec 规则将管理安全服务器与连接服务器实例之间的连接。要支持 IPsec,连接服务器安装程序可在装有 Horizon 7 Server 的 Windows Server 主机上配置 Windows 防火墙规则。对于后端防火墙,您必须自行配置这些规则。
注: 强烈建议您使用 IPsec。作为备用方案,您可以禁用 Horizon Administrator 全局设置
使用 IPsec 进行安全服务器连接。
下列规则必须允许双向流量。您可能要为防火墙上的出入站流量分别指定规则。
需要为使用网络地址转换 (NAT) 和不使用 NAT 的防火墙应用不同的规则。
| 源 | 协议 | 端口 | 目标 | 说明 |
|---|---|---|---|---|
| 安全服务器 | ISAKMP | UDP 500 | Horizon 连接服务器 | 安全服务器使用 UDP 端口 500 协商 IPsec 安全。 |
| 安全服务器 | ESP | N/A | Horizon 连接服务器 | ESP 协议封装了 IPsec 加密流量。 规则不要求您为 ESP 指定端口。如果需要, 您可指定源和目标 IP 地址 以缩小规则的范围。 |
以下规则适用于使用 NAT 的防火墙。
| 源 | 协议 | 端口 | 目标 | 说明 |
|---|---|---|---|---|
| 安全服务器 | ISAKMP | UDP 500 | Horizon 连接服务器 | 安全服务器使用 UDP 端口 500 启动 IPsec 安全 协商。 |
| 安全服务器 | NAT-T ISAKMP | UDP 4500 | Horizon 连接服务器 | 安全服务器使用 UDP 端口 4500 遍历 NAT 和协商 IPsec 安全。 |
