Für die Front-End- und Back-End-Firewall der Sicherheitsserver im Umkreisnetzwerk müssen bestimmte Firewall-Regel aktiviert sein. Während der Installation werden Horizon 7-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet. Um Organisationsrichtlinien einzuhalten oder Konflikte zu verhindern, können die verwendeten Portnummern bei Bedarf geändert werden.
Regeln für die Front-End-Firewall
Damit externe Clientgeräte eine Verbindung mit einem Sicherheitsserver in einer DMZ herstellen können, muss die Front-End-Firewall an bestimmten TCP- und UDP-Ports Datenverkehr zulassen. Die Regeln der Front-End-Firewall sind unter Regeln für die Front-End-Firewall zusammengefasst.
| Quelle | Standardports | Protokoll | Ziel | Standardports | Hinweise |
|---|---|---|---|---|---|
| Horizon Client | TCP beliebig | HTTP | Sicherheitsserver | TCP 80 | (Optional) Externe Clientgeräte verbinden sich mit einem Sicherheitsserver innerhalb des Umkreisnetzwerks an TCP-Port 80 und werden automatisch an HTTPS umgeleitet. Informationen zu Sicherheitsüberlegungen im Zusammenhang mit dem Zulassen von Benutzerverbindungen über HTTP anstelle von HTTPS finden Sie im Handbuch Sicherheit von Horizon 7. |
| Horizon Client | TCP beliebig | HTTPS | Sicherheitsserver | TCP 443 | Externe Clientgeräte stellen die Verbindung mit einem Sicherheitsserver innerhalb der DMZ an TCP-Port 443 her, um mit einer Verbindungsserver-Instanz und Remote-Desktops und -anwendungen zu kommunizieren. |
| Horizon Client | TCP beliebig UDP beliebig |
PCoIP | Sicherheitsserver | TCP 4172 UDP 4172 |
Externe Clientgeräte stellen die Verbindung mit einem Sicherheitsserver innerhalb der DMZ an TCP-Port 4172 und UDP-Port 4172 her, um mit einem Remote-Desktop oder -anwendung über PCoIP zu kommunizieren. |
| Sicherheitsserver | UDP 4172 | PCoIP | Horizon Client | UDP beliebig | Sicherheitsserver senden PCoIP-Daten zurück an ein externes Clientgerät von UDP-Port 4172. Der UDP-Zielport ist der Quellport der empfangenen UDP-Pakete. Da diese Pakete Antwortdaten enthalten, ist es normalerweise nicht erforderlich, für diesen Datenverkehr eine explizite Firewallregel hinzuzufügen. |
| Horizon Client- oder Client-Webbrowser | TCP beliebig | HTTPS | Sicherheitsserver | TCP 8443 UDP 8443 |
Externe Clientgeräte und externe Webclients (HTML Access) stellen im Umkreisnetzwerk (DMZ) am HTTPS-Port 8443 eine Verbindung mit einem Sicherheitsserver her, um mit Remote-Desktops zu kommunizieren. |
Regeln für die Back-End-Firewall
Um einem Sicherheitsserver die Kommunikation mit den einzelnen View-Verbindungsserver-Instanzen im internen Netzwerk zu ermöglichen, muss die Back-End-Firewall eingehenden Datenverkehr an bestimmten TCP-Ports zulassen. Hinter der Back-End-Firewall müssen interne Firewalls ähnlich konfiguriert sein, damit Remote-Desktop-Anwendungen und Verbindungsserver-Instanzen miteinander kommunizieren können. Regeln für die Back-End-Firewall enthält eine Übersicht der Back-End-Firewallregeln.
| Quelle | Standardports | Protokoll | Ziel | Standardports | Hinweise |
|---|---|---|---|---|---|
| Sicherheitsserver | UDP 500 | IPSec | Verbindungsserver | UDP 500 | Sicherheitsserver verhandeln IPSec mit den Verbindungsserver-Instanzen an UDP-Port 500. |
| Verbindungsserver | UDP 500 | IPSec | Sicherheitsserver | UDP 500 | Verbindungsserver-Instanzen antworten auf Sicherheitsserver an UDP-Port 500. |
| Sicherheitsserver | UDP 4500 | NAT-T ISAKMP | Verbindungsserver | UDP 4500 | Erforderlich, wenn zwischen dem Sicherheitsserver und der Verbindungsserver-Instanz, mit der der Sicherheitsserver gekoppelt ist, NAT verwendet wird. Sicherheitsserver verwenden UDP-Port 4500 für NAT-Traversal und zum Aushandeln der IPsec-Sicherheit. |
| Verbindungsserver | UDP 4500 | NAT-T ISAKMP | Sicherheitsserver | UDP 4500 | Wenn NAT verwendet wird, antworten Verbindungsserver-Instanzen auf Anfragen von Sicherheitsservern an UDP-Port 4500. |
| Sicherheitsserver | TCP beliebig | AJP13 | Verbindungsserver | TCP 8009 | Sicherheitsserver verbinden sich mit Verbindungsserver-Instanzen an TCP-Port 8009, um Web-Datenverkehr von externen Clientgeräten weiterzuleiten. Wenn Sie IPSec aktivieren, verwendet AJP13-Datenverkehr den TCP-Port 8009 nach der Kombination nicht. Stattdessen wird entweder NAT-T (UDP-Port 4500) oder ESP verwendet. |
| Sicherheitsserver | TCP beliebig | JMS | Verbindungsserver | TCP 4001 | Sicherheitsserver verbinden sich mit Verbindungsserver-Instanzen an TCP-Port 4001, um Java Message Service (JMS)-Datenverkehr auszutauschen. |
| Sicherheitsserver | TCP beliebig | JMS | Verbindungsserver | TCP 4002 | Sicherheitsserver verbinden sich mit Verbindungsserver-Instanzen an TCP-Port 4002, um einen sicheren Java Message Service (JMS)-Datenverkehr auszutauschen. |
| Sicherheitsserver | TCP beliebig | RDP | Remote-Desktop | TCP 3389 | Sicherheitsserver stellen an TCP-Port 3389 eine Verbindung mit Remote-Desktops her, um RDP-Datenverkehr auszutauschen. |
| Sicherheitsserver | TCP beliebig | MMR | Remote-Desktop | TCP 9427 | Sicherheitsserver stellen am TCP-Port 9427 eine Verbindung mit Remote-Desktops her, um den Datenverkehr von Multimedia-Umleitungen (MMR) und Clientlaufwerksumleitungen zu empfangen. |
| Sicherheitsserver | TCP beliebig UDP 55000 |
PCoIP | Remote-Desktop oder -anwendung | TCP 4172 UDP 4172 |
Sicherheitsserver stellen an TCP-Port 4172 und UDP-Port 4172 eine Verbindung mit Remote-Desktops und -anwendungen her, um PCoIP-Datenverkehr auszutauschen. |
| Remote-Desktop oder -anwendung | UDP 4172 | PCoIP | Sicherheitsserver | UDP 55000 | Remote-Desktops und -anwendungen senden PCoIP-Daten von UDP-Port 4172 an einen Sicherheitsserver zurück. Der Ziel-UDP-Port ist der Quell-Port der empfangenen UDP-Datenpakete; da es sich dabei um Antwort-Daten handelt, ist es gewöhnlich nicht nötig, dafür eine explizite Firewallregel hinzuzufügen. |
| Sicherheitsserver | TCP beliebig | USB-R | Remote-Desktop | TCP 32111 | Sicherheitsserver stellen an TCP-Port 32111 eine Verbindung mit Remote-Desktops her, um umgeleiteten USB-Datenverkehr zwischen einem externen Clientgerät und dem Remote-Desktop auszutauschen. |
| Sicherheitsserver | TCP oder UDP beliebig | Blast Extreme | Remote-Desktop oder -anwendung | TCP oder UDP 22443 | Sicherheitsserver stellen am TCP- und UDP-Port 22443 eine Verbindung mit Remote-Desktops und -anwendungen her, um den Blast-Extreme-Datenverkehr auszutauschen. |
| Sicherheitsserver | TCP beliebig | HTTPS | Remote-Desktop | TCP 22443 | Wenn Sie HTML Access verwenden, stellen Sicherheitsserver eine Verbindung mit Remote-Desktops am HTTPS-Port 22443 her, um mit dem Blast Extreme-Agent zu kommunizieren. |
| Sicherheitsserver | ESP | Verbindungsserver | Gekapselter AJP13-Datenverkehr, wenn keine NAT-Ausnahme erforderlich ist. ESP ist IP-Protokoll 50. Portnummern werden nicht angegeben. | ||
| Verbindungsserver | ESP | Sicherheitsserver | Gekapselter AJP13-Datenverkehr, wenn keine NAT-Ausnahme erforderlich ist. ESP ist IP-Protokoll 50. Portnummern werden nicht angegeben. |
