Konfigurieren einer Back-End-Firewall zur Unterstützung von IPsec

Wenn Ihre Netzwerktopologie eine Back-End-Firewall zwischen Sicherheitsservern und Verbindungsserver-Instanzen enthält, müssen Sie die Firewall so konfigurieren, dass bestimmte Protokolle und Ports diese IPSec unterstützen. Ohne ordnungsgemäße Konfiguration lässt die Firewall Daten, die zwischen einem Sicherheitsserver und der Verbindungsserver-Instanz gesendet werden, nicht passieren.

Standardmäßig steuern IPSec-Regeln die Verbindungen zwischen Sicherheitsservern und Verbindungsserver-Instanzen. Zur Unterstützung von IPSec kann das Verbindungsserver-Installationsprogramm die Windows-Firewallregeln auf den Windows Server-Hosts konfigurieren, auf denen Horizon 7-Server installiert sind. Für eine Back-End-Firewall müssen Sie die Regeln selbst konfigurieren.

Hinweis: Es wird dringend empfohlen, IPsec zu verwenden. Alternativ dazu können Sie die globale Einstellung IPSec für Sicherheitsserver-Verbindungen verwenden von Horizon Administrator deaktivieren.

Die folgenden Regeln müssen bidirektionalen Datenverkehr zulassen. Möglicherweise müssen Sie separate Regeln für eingehenden und ausgehenden Datenverkehr auf Ihrer Firewall angeben.

Für Firewalls mit bzw. ohne Netzwerkadressübersetzung (Network Address Translation, NAT) gelten jeweils andere Regeln.

Tabelle 1. Unterstützung von IPsec-Regeln bei Firewall-Anforderungen ohne NAT
Quelle	Protokoll	Port	Ziel	Hinweise
Sicherheitsserver	ISAKMP	UDP 500	Horizon-Verbindungsserver	Sicherheitsserver verwenden die UDP-Portnummer 500 zum Aushandeln der IPsec- Sicherheit.
Sicherheitsserver	ESP	–	Horizon-Verbindungsserver	Das ESP-Protokoll kapselt IPsec-verschlüsselten Datenverkehr ein. Sie müssen als Teil der Regel keinen Port für ESP angeben. Falls nötig können Sie Quell- und Ziel-IP-Adressen angeben, um den Geltungsbereich der Regel zu verkleinern.

Die folgenden Regeln gelten für Firewalls, die NAT verwenden.

Tabelle 2. Anforderungen an NAT-Firewalls für die Unterstützung von IPsec-Regel
Quelle	Protokoll	Port	Ziel	Hinweise
Sicherheitsserver	ISAKMP	UDP 500	Horizon-Verbindungsserver	Sicherheitsserver verwenden die UDP-Portnummer 500, um die Aushandlung der IPsec-Sicherheit zu initiieren.
Sicherheitsserver	NAT-T ISAKMP	UDP 4500	Horizon-Verbindungsserver	Sicherheitsserver verwenden UDP-Port 4500 für NAT-Traversal und zum Aushandeln der IPsec-Sicherheit.