Für die Front-End- und Back-End-Firewall der Sicherheitsserver im Umkreisnetzwerk müssen bestimmte Firewall-Regel aktiviert sein. Während der Installation werden Horizon 7-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet. Um Organisationsrichtlinien einzuhalten oder Konflikte zu verhindern, können die verwendeten Portnummern bei Bedarf geändert werden.

Wichtig:

Weitere Einzelheiten und Sicherheitsempfehlungen finden Sie im Dokument Sicherheit von View.

Regeln für die Front-End-Firewall

Damit externe Clientgeräte eine Verbindung mit einem Sicherheitsserver in einer DMZ herstellen können, muss die Front-End-Firewall an bestimmten TCP- und UDP-Ports Datenverkehr zulassen. Die Regeln der Front-End-Firewall sind unter 1 zusammengefasst.

Tabelle 1. Regeln für die Front-End-Firewall

Quelle

Standardports

Protokoll

Ziel

Standardports

Hinweise

Horizon Client

TCP beliebig

HTTP

Sicherheitsserver

TCP 80

(Optional) Externe Clientgeräte verbinden sich mit einem Sicherheitsserver innerhalb des Umkreisnetzwerks an TCP-Port 80 und werden automatisch an HTTPS umgeleitet. Informationen zu Sicherheitsüberlegungen im Zusammenhang mit dem Zulassen von Benutzerverbindungen über HTTP anstelle von HTTPS finden Sie im Handbuch Sicherheit von View.

Horizon Client

TCP beliebig

HTTPS

Sicherheitsserver

TCP 443

Externe Clientgeräte stellen die Verbindung mit einem Sicherheitsserver innerhalb der DMZ an TCP-Port 443 her, um mit einer Verbindungsserver-Instanz und Remote-Desktops und -anwendungen zu kommunizieren.

Horizon Client

TCP beliebig

UDP beliebig

PCoIP

Sicherheitsserver

TCP 4172

UDP 4172

Externe Clientgeräte stellen die Verbindung mit einem Sicherheitsserver innerhalb der DMZ an TCP-Port 4172 und UDP-Port 4172 her, um mit einem Remote-Desktop oder -anwendung über PCoIP zu kommunizieren.

Sicherheitsserver

UDP 4172

PCoIP

Horizon Client

UDP beliebig

Sicherheitsserver senden PCoIP-Daten zurück an ein externes Clientgerät von UDP-Port 4172. Der UDP-Zielport ist der Quellport der empfangenen UDP-Pakete. Da diese Pakete Antwortdaten enthalten, ist es normalerweise nicht erforderlich, für diesen Datenverkehr eine explizite Firewallregel hinzuzufügen.

Horizon Client- oder Client-Webbrowser

TCP beliebig

HTTPS

Sicherheitsserver

TCP 8443

UDP 8443

Externe Clientgeräte und externe Webclients (HTML Access) stellen im Umkreisnetzwerk (DMZ) am HTTPS-Port 8443 eine Verbindung mit einem Sicherheitsserver her, um mit Remote-Desktops zu kommunizieren.

Regeln für die Back-End-Firewall

Um einem Sicherheitsserver die Kommunikation mit den einzelnen View-Verbindungsserver-Instanzen im internen Netzwerk zu ermöglichen, muss die Back-End-Firewall eingehenden Datenverkehr an bestimmten TCP-Ports zulassen. Hinter der Back-End-Firewall müssen interne Firewalls ähnlich konfiguriert sein, damit Remote-Desktop-Anwendungen und Verbindungsserver-Instanzen miteinander kommunizieren können. 2 enthält eine Übersicht der Back-End-Firewallregeln.

Tabelle 2. Regeln für die Back-End-Firewall

Quelle

Standardports

Protokoll

Ziel

Standardports

Hinweise

Sicherheitsserver

UDP 500

IPSec

Verbindungsserver

UDP 500

Sicherheitsserver verhandeln IPSec mit den Verbindungsserver-Instanzen an UDP-Port 500.

Verbindungsserver

UDP 500

IPSec

Sicherheitsserver

UDP 500

Verbindungsserver-Instanzen antworten auf Sicherheitsserver an UDP-Port 500.

Sicherheitsserver

UDP 4500

NAT-T ISAKMP

Verbindungsserver

UDP 4500

Erforderlich, wenn zwischen dem Sicherheitsserver und der Verbindungsserver-Instanz, mit der der Sicherheitsserver gekoppelt ist, NAT verwendet wird. Sicherheitsserver verwenden UDP-Port 4500 für NAT-Traversal und zum Aushandeln der IPsec-Sicherheit.

Verbindungsserver

UDP 4500

NAT-T ISAKMP

Sicherheitsserver

UDP 4500

Wenn NAT verwendet wird, antworten Verbindungsserver-Instanzen auf Anfragen von Sicherheitsservern an UDP-Port 4500.

Sicherheitsserver

TCP beliebig

AJP13

Verbindungsserver

TCP 8009

Sicherheitsserver verbinden sich mit Verbindungsserver-Instanzen an TCP-Port 8009, um Web-Datenverkehr von externen Clientgeräten weiterzuleiten.

Wenn Sie IPSec aktivieren, verwendet AJP13-Datenverkehr den TCP-Port 8009 nach der Kombination nicht. Stattdessen wird entweder NAT-T (UDP-Port 4500) oder ESP verwendet.

Sicherheitsserver

TCP beliebig

JMS

Verbindungsserver

TCP 4001

Sicherheitsserver verbinden sich mit Verbindungsserver-Instanzen an TCP-Port 4001, um Java Message Service (JMS)-Datenverkehr auszutauschen.

Sicherheitsserver

TCP beliebig

JMS

Verbindungsserver

TCP 4002

Sicherheitsserver verbinden sich mit Verbindungsserver-Instanzen an TCP-Port 4002, um einen sicheren Java Message Service (JMS)-Datenverkehr auszutauschen.

Sicherheitsserver

TCP beliebig

RDP

Remote-Desktop

TCP 3389

Sicherheitsserver stellen an TCP-Port 3389 eine Verbindung mit Remote-Desktops her, um RDP-Datenverkehr auszutauschen.

Sicherheitsserver

TCP beliebig

MMR

Remote-Desktop

TCP 9427

Sicherheitsserver stellen am TCP-Port 9427 eine Verbindung mit Remote-Desktops her, um den Datenverkehr von Multimedia-Umleitungen (MMR) und Clientlaufwerksumleitungen zu empfangen.

Sicherheitsserver

TCP beliebig

UDP 55000

PCoIP

Remote-Desktop oder -anwendung

TCP 4172

UDP 4172

Sicherheitsserver stellen an TCP-Port 4172 und UDP-Port 4172 eine Verbindung mit Remote-Desktops und -anwendungen her, um PCoIP-Datenverkehr auszutauschen.

Remote-Desktop oder -anwendung

UDP 4172

PCoIP

Sicherheitsserver

UDP 55000

Remote-Desktops und -anwendungen senden PCoIP-Daten von UDP-Port 4172 an einen Sicherheitsserver zurück.

Der Ziel-UDP-Port ist der Quell-Port der empfangenen UDP-Datenpakete; da es sich dabei um Antwort-Daten handelt, ist es gewöhnlich nicht nötig, dafür eine explizite Firewallregel hinzuzufügen.

Sicherheitsserver

TCP beliebig

USB-R

Remote-Desktop

TCP 32111

Sicherheitsserver stellen an TCP-Port 32111 eine Verbindung mit Remote-Desktops her, um umgeleiteten USB-Datenverkehr zwischen einem externen Clientgerät und dem Remote-Desktop auszutauschen.

Sicherheitsserver

TCP oder UDP beliebig

Blast Extreme

Remote-Desktop oder -anwendung

TCP oder UDP 22443

Sicherheitsserver stellen am TCP- und UDP-Port 22443 eine Verbindung mit Remote-Desktops und -anwendungen her, um den Blast-Extreme-Datenverkehr auszutauschen.

Sicherheitsserver

TCP beliebig

HTTPS

Remote-Desktop

TCP 22443

Wenn Sie HTML Access verwenden, stellen Sicherheitsserver eine Verbindung mit Remote-Desktops am HTTPS-Port 22443 her, um mit dem Blast Extreme-Agent zu kommunizieren.

Sicherheitsserver

ESP

Verbindungsserver

Gekapselter AJP13-Datenverkehr, wenn keine NAT-Ausnahme erforderlich ist. ESP ist IP-Protokoll 50. Portnummern werden nicht angegeben.

Verbindungsserver

ESP

Sicherheitsserver

Gekapselter AJP13-Datenverkehr, wenn keine NAT-Ausnahme erforderlich ist. ESP ist IP-Protokoll 50. Portnummern werden nicht angegeben.