Los servidores de seguridad basados en DMZ requieren la configuración de ciertas reglas en los firewall de front-end y back-end. Durante la instalación, de forma predeterminada se configuran los servicios de Horizon 7 para la escucha en determinados puertos de la red. Si fuese necesario para cumplir las directivas de la organización o para evitar la contención, se pueden cambiar los números de puerto que se utilizan.

Importante: Para obtener más detalles y recomendaciones de seguridad, consulte el documento Horizon 7Seguridad.

Reglas del firewall de front-end

Para permitir que los dispositivos de clientes externos se conecten a un servidor de seguridad dentro de la zona DMZ, el firewall de front-end debe permitir el tráfico en determinados puertos TCP y UDP. Reglas del firewall de front-end resume las reglas del firewall de front-end.

Tabla 1. Reglas del firewall de front-end
Origen Puerto predeterminado Protocolo Destino Puerto predeterminado Notas
Horizon Client TCP cualquiera HTTP Servidor de seguridad TCP 80 (Opcional) Los dispositivos cliente externos conectados a un servidor de seguridad dentro de la zona DMZ en el puerto TCP 80 se dirigen automáticamente a HTTPS. Para obtener información sobre cuestiones de seguridad relativas a permitir a los usuarios conectar con HTTP en lugar de HTTPS, consulte la guía Horizon 7Seguridad.
Horizon Client TCP cualquiera HTTPS Servidor de seguridad TCP 443 Los dispositivos cliente externos se conectan a un servidor de seguridad dentro de la zona DMZ en el puerto TCP 443 para comunicarse con una instancia del servidor de conexión y con aplicaciones y escritorios remotos.
Horizon Client TCP cualquiera

UDP cualquiera

PCoIP Servidor de seguridad TCP 4172

UDP 4172

Los dispositivos de clientes externos se conectan a un servidor de seguridad dentro de la zona DMZ en el puerto TCP 4172 y el puerto UDP 4172 para comunicarse con una aplicación o escritorio remoto mediante PCoIP.
Servidor de seguridad UDP 4172 PCoIP Horizon Client UDP cualquiera Los servidores de seguridad devuelven los datos de PCoIP a un dispositivo cliente externo desde el puerto UDP 4172. El puerto UDP de destino es el puerto de origen de los paquetes UDP recibidos. Como estos paquetes contienen datos de respuesta, no suele ser necesario agregar una regla de firewall específica para este tráfico.
Horizon Client o un navegador web del cliente TCP cualquiera HTTPS Servidor de seguridad TCP 8443

UDP 8443

Los dispositivos cliente externos y los clientes web externos (HTML Access) se conectan a un servidor de seguridad dentro de la zona DMZ en el puerto HTTPS 8443 para comunicarse con escritorios remotos.

Reglas del firewall de back-end

Para permitir que un servidor de seguridad se conecte con cada una de las instancias del servidor de conexión de View que residan en la red interna, el firewall de back-end debe permitir el tráfico entrante en determinados puertos TCP. Detrás del firewall back-end, los firewall internos se deben configurar de manera similar para permitir que las instancias del servidor de conexión y las aplicaciones y los escritorios remotos se comuniquen entre sí. Reglas del firewall de back-end resume las reglas del firewall de back-end.

Tabla 2. Reglas del firewall de back-end
Origen Puerto predeterminado Protocolo Destino Puerto predeterminado Notas
Servidor de seguridad UDP 500 IPsec Servidor de conexión UDP 500 Los servidores de seguridad negocian la seguridad IPSec con las instancias del servidor de conexión en el puerto UDP 500.
Servidor de conexión UDP 500 IPsec Servidor de seguridad UDP 500 Las instancias del servidor de conexión responden a los servidores de seguridad en el puerto UDP 500.
Servidor de seguridad UDP 4500 NAT-T ISAKMP Servidor de conexión UDP 4500 Es obligatorio si se utiliza NAT entre un servidor de seguridad y su instancia del servidor de conexión emparejada. Los servidores de seguridad usan el puerto UDP 4500 para las NAT transversales y para negociar la seguridad IPsec.
Servidor de conexión UDP 4500 NAT-T ISAKMP Servidor de seguridad UDP 4500 Si se utiliza NAT, las instancias del servidor de conexión responden a los servidores de seguridad en el puerto UDP 4500.
Servidor de seguridad TCP cualquiera AJP13 Servidor de conexión TCP 8009 Los servidores de seguridad se conectan a las instancias del servidor de conexión del puerto TCP 8009 para redireccionar el tráfico web de los dispositivos cliente externos.

Si se habilita IPSec, el tráfico AJP13 no utiliza el puerto TCP 8009 después del emparejamiento. En lugar de ello, utiliza NAT-T (puerto UDP 4500) o ESP.

Servidor de seguridad TCP cualquiera JMS Servidor de conexión TCP 4001 Los servidores de seguridad se conectan a las instancias del servidor de conexión en el puerto TCP 4001 para intercambiar el tráfico de Java Message Service (JMS).
Servidor de seguridad TCP cualquiera JMS Servidor de conexión TCP 4002 Los servidores de seguridad se conectan a las instancias del servidor de conexión en el puerto TCP 4002 para intercambiar el tráfico seguro de Java Message Service (JMS).
Servidor de seguridad TCP cualquiera RDP Escritorio remoto TCP 3389 Los servidores de seguridad se conectan a escritorios remotos en el puerto TCP 3389 para intercambiar tráfico RDP.
Servidor de seguridad TCP cualquiera MMR Escritorio remoto TCP 9427 Los servidores de seguridad se conectan a escritorios remotos en el puerto TCP 9427 para recibir el tráfico relacionado con el redireccionamiento de multimedia (MMR) y el redireccionamiento de unidades cliente.
Servidor de seguridad TCP cualquiera

UDP 55000

PCoIP Aplicación o escritorio remoto TCP 4172

UDP 4172

Los servidores de seguridad se conectan a aplicaciones y escritorios remotos en el puerto TCP 4172 y el puerto UDP 4172 para intercambiar tráfico PCoIP.
Aplicación o escritorio remoto UDP 4172 PCoIP Servidor de seguridad UDP 55000 Las aplicaciones y escritorios remotos devuelven datos PCoIP a los servidores de seguridad desde el puerto UDP 4172.

El puerto UDP de destino será el puerto de origen de los paquetes UDP recibidos y, como se trata de datos de respuesta, no suele ser necesario agregar ninguna regla de firewall específica para ello.

Servidor de seguridad TCP cualquiera USB-R Escritorio remoto TCP 32111 Los servidores de seguridad se conectan a escritorios remotos en el puerto TCP 32111 para intercambiar tráfico de redireccionamiento entre dispositivos cliente externos y el escritorio remoto.
Servidor de seguridad TCP o UDP cualquiera Blast Extreme Aplicación o escritorio remoto TCP o UDP 22443 Los servidores de seguridad se conectan a aplicaciones y escritorios remotos en los puertos TCP y UDP 22443 para intercambiar tráfico de Blast Extreme.
Servidor de seguridad TCP cualquiera HTTPS Escritorio remoto TCP 22443 Si se utiliza HTML Access, los servidores de seguridad se conectan a escritorios remotos en el puerto HTTPS 22443 para comunicarse con el agente de Blast Extreme.
Servidor de seguridad ESP Servidor de conexión Tráfico AJP13 encapsulado cuando no se requiere circulación NAT. ESP es el protocolo IP 50. No se especifican los números de puerto.
Servidor de conexión ESP Servidor de seguridad Tráfico AJP13 encapsulado cuando no se requiere circulación NAT. ESP es el protocolo IP 50. No se especifican los números de puerto.