Für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances müssen für die Front-End- und Back-End-Firewall bestimmte Firewall-Regeln aktiviert sein. Während der Installation werden Unified Access Gateway-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet.
Die Bereitstellung einer Umkreisnetzwerk-basierten Unified Access Gateway-Appliance beinhaltet in der Regel zwei Firewalls.
- Eine externe, dem Netzwerk vorgelagerte Front-End-Firewall ist erforderlich, um sowohl das Umkreisnetzwerk als auch das interne Netzwerk zu schützen. Diese Firewall wird so konfiguriert, dass externer Netzwerkdatenverkehr das Umkreisnetzwerk erreichen kann.
- Eine Back-End-Firewall zwischen dem Umkreisnetzwerk und dem internen Netzwerk dient zum Bereitstellen einer zweiten Schutzschicht. Diese Firewall wird so konfiguriert, dass nur Datenverkehr zugelassen wird, der von Diensten innerhalb des Umkreisnetzwerks stammt.
Mithilfe von Firewall-Richtlinien wird die von Diensten im Umkreisnetzwerk (in der demilitarisierten Netzwerkzone/DMZ) eingehende Kommunikation streng kontrolliert, wodurch das Risiko einer Gefährdung des internen Netzwerks stark vermindert wird.
Damit sich externe Client-Geräte in der DMZ mit einer Unified Access Gateway-Appliance verbinden können, muss die Front-End-Firewall Datenverkehr an bestimmten Ports zulassen. Standardmäßig werden die externen Client-Geräte und externen Webclients (HTML Access) mit einer Unified Access Gateway-Appliance in der DMZ an TCP-Port 443 verbunden. Wenn Sie das Blast-Protokoll verwenden, muss Port 8443 in der Firewall geöffnet sein, Sie können Blast jedoch auch für Port 443 konfigurieren.
Port | Portal | Quelle | Ziel | Beschreibung |
---|---|---|---|---|
443 | TCP | Internet | Unified Access Gateway | Datenverkehr aus dem Internet, Horizon Client XML-API, Horizon Tunnel und Blast Extreme |
443 | UDP | Internet | Unified Access Gateway | UDP (optional) |
8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (optional) |
8443 | TCP | Internet | Unified Access Gateway | Blast Extreme |
4172 | TCP und UDP | Internet | Unified Access Gateway | PCoIP (optional) |
443 | TCP | Unified Access Gateway | Horizon Broker | Horizon Client XML-API |
22443 | TCP und UDP | Unified Access Gateway | Desktops und RDS-Hosts | Blast Extreme |
4172 | TCP und UDP | Unified Access Gateway | Desktops und RDS-Hosts | PCoIP (optional) |
32111 | TCP | Unified Access Gateway | Desktops und RDS-Hosts | Framework-Kanal für USB-Umleitung |
9427 | TCP | Unified Access Gateway | Desktops und RDS-Hosts | MMR und CDR |
9443 | TCP | Verwaltungsoberfläche | Unified Access Gateway | Schnittstelle zur Verwaltung |
Hinweis: Für alle UDP-Ports müssen Weiterleitungs- und Antwort-Datagramme erlaubt sein.
|
Die folgende Abbildung zeigt eine Beispielkonfiguration mit Front-End- und Back-End-Firewall.