Los dispositivos de Access Point basados en DMZ requieren la configuración de ciertas reglas del firewall en los firewall del front-end y el back-end. Durante la instalación, se configuran los servicios de Access Point para la escucha en determinados puertos de la red predeterminados.

La implementación de un dispositivo de Access Point basado en DMZ incluye normalmente dos firewall.

  • Se necesita un firewall de front-end dirigido a la red externa, que protege tanto la DMZ como la red interna. Este firewall se configura para permitir que el tráfico de la red externa llegue a la DMZ.

  • Se necesita un firewall de back-end entre la DMZ y la red interna, que proporciona un segundo nivel de seguridad. Este firewall se configura para aceptar solo el tráfico que se origina desde los servicios dentro de la DMZ.

La directiva del firewall controla estrictamente las comunicaciones entrantes de los servicios de la DMZ, lo que reduce en gran medida los riesgos para la red interna.

Para permitir que los dispositivos de clientes externos se conecten a un dispositivo de Access Point dentro de la DMZ, el firewall de front-end debe permitir el tráfico en determinados puertos. De forma predeterminada, los dispositivos de clientes externos y los clientes web externos (HTML Access) se conectan a un dispositivo de Access Point dentro de la DMZ sobre TCP, puerto 443. Si utiliza el protocolo Blast, el puerto 443 debe estar abierto en el firewall. Si utiliza el protocolo PCOIP, el puerto 4172 debe estar abierto en el firewall.

La figura siguiente muestra un ejemplo de configuración que incluye firewall de front-end y de back-end.

Figura 1. Topología de doble firewall
En la DMZ, utilice firewall de front-end y back-end.