Für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances müssen für die Front-End- und Back-End-Firewall bestimmte Firewall-Regeln aktiviert sein. Während der Installation werden Unified Access Gateway-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet.

Die Bereitstellung einer Umkreisnetzwerk-basierten Unified Access Gateway-Appliance beinhaltet in der Regel zwei Firewalls.

  • Eine externe, dem Netzwerk vorgelagerte Front-End-Firewall ist erforderlich, um sowohl das Umkreisnetzwerk als auch das interne Netzwerk zu schützen. Diese Firewall wird so konfiguriert, dass externer Netzwerkdatenverkehr das Umkreisnetzwerk erreichen kann.

  • Eine Back-End-Firewall zwischen dem Umkreisnetzwerk und dem internen Netzwerk dient zum Bereitstellen einer zweiten Schutzschicht. Diese Firewall wird so konfiguriert, dass nur Datenverkehr zugelassen wird, der von Diensten innerhalb des Umkreisnetzwerks stammt.

Mithilfe von Firewall-Richtlinien wird die von Diensten im Umkreisnetzwerk (in der demilitarisierten Netzwerkzone/DMZ) eingehende Kommunikation streng kontrolliert, wodurch das Risiko einer Gefährdung des internen Netzwerks stark vermindert wird.

Damit sich externe Client-Geräte in der DMZ mit einer Unified Access Gateway-Appliance verbinden können, muss die Front-End-Firewall Datenverkehr an bestimmten Ports zulassen. Standardmäßig werden die externen Client-Geräte und externen Webclients (HTML Access) mit einer Unified Access Gateway-Appliance in der DMZ an TCP-Port 443 verbunden. Wenn Sie das Blast-Protokoll verwenden, muss Port 8443 in der Firewall geöffnet sein, Sie können Blast jedoch auch für Port 443 konfigurieren.

Tabelle 1. Port-Anforderungen

Port

Portal

Quelle

Ziel

Beschreibung

443

TCP

Internet

Unified Access Gateway

Datenverkehr aus dem Internet, Horizon Client XML-API, Horizon Tunnel und Blast Extreme

443

UDP

Internet

Unified Access Gateway

UDP (optional)

8443

UDP

Internet

Unified Access Gateway

Blast Extreme (optional)

8443

TCP

Internet

Unified Access Gateway

Blast Extreme

4172

TCP und UDP

Internet

Unified Access Gateway

PCoIP (optional)

443

TCP

Unified Access Gateway

Horizon Broker

Horizon Client XML-API

22443

TCP und UDP

Unified Access Gateway

Desktops und RDS-Hosts

Blast Extreme

4172

TCP und UDP

Unified Access Gateway

Desktops und RDS-Hosts

PCoIP (optional)

32111

TCP

Unified Access Gateway

Desktops und RDS-Hosts

Framework-Kanal für USB-Umleitung

9427

TCP

Unified Access Gateway

Desktops und RDS-Hosts

MMR und CDR

9443

TCP

Verwaltungsoberfläche

Unified Access Gateway

Schnittstelle zur Verwaltung

Anmerkung:

Für alle UDP-Ports müssen Weiterleitungs- und Antwort-Datagramme erlaubt sein.

Die folgende Abbildung zeigt eine Beispielkonfiguration mit Front-End- und Back-End-Firewall.

Abbildung 1. Unified Access Gateway in einer DMZ-Topologie