Wenn Ihre Netzwerk-Topologie eine Back-End-Firewall zwischen Sicherheitsservern und View-Verbindungsserver-Instanzen enthält, müssen Sie die Firewall so konfigurieren, dass bestimmte Protokolle und Ports diese IPsec unterstützen. Ohne ordnungsgemäße Konfiguration lässt die Firewall Daten, die zwischen einem Sicherheitsserver und der View-Verbindungsserver-Instanz gesendet werden, nicht passieren.

Standardmäßig steuern IPsec-Regeln die Verbindungen zwischen Sicherheitsservern und View-Verbindungsserver-Instanzen. Zur Unterstützung von IPsec kann das View-Verbindungsserver-Installationsprogramm die Windows-Firewallregeln auf den Windows Server-Hosts konfigurieren, auf denen View servers installiert sind. Für eine Back-End-Firewall müssen Sie die Regeln selbst konfigurieren.

Anmerkung:

Es wird dringend empfohlen, IPsec zu verwenden. Alternativ dazu können Sie die globale Einstellung IPSec für Sicherheitsserver-Verbindungen verwenden von View Administrator deaktivieren.

Die folgenden Regeln müssen bidirektionalen Datenverkehr zulassen. Möglicherweise müssen Sie separate Regeln für eingehenden und ausgehenden Datenverkehr auf Ihrer Firewall angeben.

Für Firewalls mit bzw. ohne Netzwerkadressübersetzung (Network Address Translation, NAT) gelten jeweils andere Regeln.

Tabelle 1. Unterstützung von IPsec-Regeln bei Firewall-Anforderungen ohne NAT

Quelle

Protokoll

Port

Ziel

Hinweise

Sicherheitsserver

ISAKMP

UDP 500

View-Verbindungsserver

Sicherheitsserver verwenden die UDP-Portnummer 500 zum Aushandeln der IPsec- Sicherheit.

Sicherheitsserver

ESP

View-Verbindungsserver

Das ESP-Protokoll kapselt IPsec-verschlüsselten Datenverkehr ein.

Sie müssen als Teil der Regel keinen Port für ESP angeben. Falls nötig können Sie Quell- und Ziel-IP-Adressen angeben, um den Geltungsbereich der Regel zu verkleinern.

Die folgenden Regeln gelten für Firewalls, die NAT verwenden.

Tabelle 2. Anforderungen an NAT-Firewalls für die Unterstützung von IPsec-Regel

Quelle

Protokoll

Port

Ziel

Hinweise

Sicherheitsserver

ISAKMP

UDP 500

View-Verbindungsserver

Sicherheitsserver verwenden die UDP-Portnummer 500, um die Aushandlung der IPsec-Sicherheit zu initiieren.

Sicherheitsserver

NAT-T ISAKMP

UDP 4500

View-Verbindungsserver

Sicherheitsserver verwenden die UDP-Portnummer 4500 zum Durchlaufen von NATs und zum Aushandeln der IPsec-Sicherheit.