Für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances müssen für die Front-End- und Back-End-Firewall bestimmte Firewall-Regeln aktiviert sein. Während der Installation werden Unified Access Gateway-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet.

Die Bereitstellung einer Umkreisnetzwerk-basierten Unified Access Gateway-Appliance beinhaltet in der Regel zwei Firewalls.

  • Eine externe, dem Netzwerk vorgelagerte Front-End-Firewall ist erforderlich, um sowohl das Umkreisnetzwerk als auch das interne Netzwerk zu schützen. Diese Firewall wird so konfiguriert, dass externer Netzwerkdatenverkehr das Umkreisnetzwerk erreichen kann.
  • Eine Back-End-Firewall zwischen dem Umkreisnetzwerk und dem internen Netzwerk dient zum Bereitstellen einer zweiten Schutzschicht. Diese Firewall wird so konfiguriert, dass nur Datenverkehr zugelassen wird, der von Diensten innerhalb des Umkreisnetzwerks stammt.

Mithilfe von Firewall-Richtlinien wird die von Diensten im Umkreisnetzwerk (in der demilitarisierten Netzwerkzone/DMZ) eingehende Kommunikation streng kontrolliert, wodurch das Risiko einer Gefährdung des internen Netzwerks stark vermindert wird.

Damit sich externe Client-Geräte in der DMZ mit einer Unified Access Gateway-Appliance verbinden können, muss die Front-End-Firewall Datenverkehr an bestimmten Ports zulassen. Standardmäßig werden die externen Client-Geräte und externen Webclients (HTML Access) mit einer Unified Access Gateway-Appliance in der DMZ an TCP-Port 443 verbunden. Wenn Sie das Blast-Protokoll verwenden, muss Port 8443 in der Firewall geöffnet sein, Sie können Blast jedoch auch für Port 443 konfigurieren.

Tabelle 1. Port-Anforderungen
Port Portal Quelle Ziel Beschreibung
443 TCP Internet Unified Access Gateway Datenverkehr aus dem Internet, Horizon Client XML-API, Horizon Tunnel und Blast Extreme
443 UDP Internet Unified Access Gateway UDP (optional)
8443 UDP Internet Unified Access Gateway Blast Extreme (optional)
8443 TCP Internet Unified Access Gateway Blast Extreme (optional)
4172 TCP und UDP Internet Unified Access Gateway PCoIP (optional)
443 TCP Unified Access Gateway Horizon Broker Horizon Client XML-API
22443 TCP und UDP Unified Access Gateway Desktops und RDS-Hosts Blast Extreme
4172 TCP und UDP Unified Access Gateway Desktops und RDS-Hosts PCoIP (optional)
32111 TCP Unified Access Gateway Desktops und RDS-Hosts Framework-Kanal für USB-Umleitung
9427 TCP Unified Access Gateway Desktops und RDS-Hosts MMR und CDR
9443 TCP Verwaltungsoberfläche Unified Access Gateway Schnittstelle zur Verwaltung
Hinweis: Für alle UDP-Ports müssen Weiterleitungs- und Antwort-Datagramme erlaubt sein.

Die folgende Abbildung zeigt eine Beispielkonfiguration mit Front-End- und Back-End-Firewall.

Abbildung 1. Unified Access Gateway in einer DMZ-Topologie