Los servidores de seguridad basados en DMZ requieren la configuración de ciertas reglas en los firewall de front-end y back-end. Durante la instalación, de forma predeterminada se configuran los servicios de Horizon 7 para la escucha en determinados puertos de la red. Si fuese necesario para cumplir las directivas de la organización o para evitar la contención, se pueden cambiar los números de puerto que se utilizan.
Reglas del firewall de front-end
Para permitir que los dispositivos de clientes externos se conecten a un servidor de seguridad dentro de la zona DMZ, el firewall de front-end debe permitir el tráfico en determinados puertos TCP y UDP. Reglas del firewall de front-end resume las reglas del firewall de front-end.
Origen | Puerto predeterminado | Protocolo | Destino | Puerto predeterminado | Notas |
---|---|---|---|---|---|
Horizon Client | TCP cualquiera | HTTP | Servidor de seguridad | TCP 80 | (Opcional) Los dispositivos cliente externos conectados a un servidor de seguridad dentro de la zona DMZ en el puerto TCP 80 se dirigen automáticamente a HTTPS. Para obtener información sobre cuestiones de seguridad relativas a permitir a los usuarios conectar con HTTP en lugar de HTTPS, consulte la guía Horizon 7Seguridad. |
Horizon Client | TCP cualquiera | HTTPS | Servidor de seguridad | TCP 443 | Los dispositivos cliente externos se conectan a un servidor de seguridad dentro de la zona DMZ en el puerto TCP 443 para comunicarse con una instancia del servidor de conexión y con aplicaciones y escritorios remotos. |
Horizon Client | TCP cualquiera UDP cualquiera |
PCoIP | Servidor de seguridad | TCP 4172 UDP 4172 |
Los dispositivos de clientes externos se conectan a un servidor de seguridad dentro de la zona DMZ en el puerto TCP 4172 y el puerto UDP 4172 para comunicarse con una aplicación o escritorio remoto mediante PCoIP. |
Servidor de seguridad | UDP 4172 | PCoIP | Horizon Client | UDP cualquiera | Los servidores de seguridad devuelven los datos de PCoIP a un dispositivo cliente externo desde el puerto UDP 4172. El puerto UDP de destino es el puerto de origen de los paquetes UDP recibidos. Como estos paquetes contienen datos de respuesta, no suele ser necesario agregar una regla de firewall específica para este tráfico. |
Horizon Client o un navegador web del cliente | TCP cualquiera | HTTPS | Servidor de seguridad | TCP 8443 UDP 8443 |
Los dispositivos cliente externos y los clientes web externos (HTML Access) se conectan a un servidor de seguridad dentro de la zona DMZ en el puerto HTTPS 8443 para comunicarse con escritorios remotos. |
Reglas del firewall de back-end
Para permitir que un servidor de seguridad se conecte con cada una de las instancias del servidor de conexión de View que residan en la red interna, el firewall de back-end debe permitir el tráfico entrante en determinados puertos TCP. Detrás del firewall back-end, los firewall internos se deben configurar de manera similar para permitir que las instancias del servidor de conexión y las aplicaciones y los escritorios remotos se comuniquen entre sí. Reglas del firewall de back-end resume las reglas del firewall de back-end.
Origen | Puerto predeterminado | Protocolo | Destino | Puerto predeterminado | Notas |
---|---|---|---|---|---|
Servidor de seguridad | UDP 500 | IPsec | Servidor de conexión | UDP 500 | Los servidores de seguridad negocian la seguridad IPSec con las instancias del servidor de conexión en el puerto UDP 500. |
Servidor de conexión | UDP 500 | IPsec | Servidor de seguridad | UDP 500 | Las instancias del servidor de conexión responden a los servidores de seguridad en el puerto UDP 500. |
Servidor de seguridad | UDP 4500 | NAT-T ISAKMP | Servidor de conexión | UDP 4500 | Es obligatorio si se utiliza NAT entre un servidor de seguridad y su instancia del servidor de conexión emparejada. Los servidores de seguridad usan el puerto UDP 4500 para las NAT transversales y para negociar la seguridad IPsec. |
Servidor de conexión | UDP 4500 | NAT-T ISAKMP | Servidor de seguridad | UDP 4500 | Si se utiliza NAT, las instancias del servidor de conexión responden a los servidores de seguridad en el puerto UDP 4500. |
Servidor de seguridad | TCP cualquiera | AJP13 | Servidor de conexión | TCP 8009 | Los servidores de seguridad se conectan a las instancias del servidor de conexión del puerto TCP 8009 para redireccionar el tráfico web de los dispositivos cliente externos. Si se habilita IPSec, el tráfico AJP13 no utiliza el puerto TCP 8009 después del emparejamiento. En lugar de ello, utiliza NAT-T (puerto UDP 4500) o ESP. |
Servidor de seguridad | TCP cualquiera | JMS | Servidor de conexión | TCP 4001 | Los servidores de seguridad se conectan a las instancias del servidor de conexión en el puerto TCP 4001 para intercambiar el tráfico de Java Message Service (JMS). |
Servidor de seguridad | TCP cualquiera | JMS | Servidor de conexión | TCP 4002 | Los servidores de seguridad se conectan a las instancias del servidor de conexión en el puerto TCP 4002 para intercambiar el tráfico seguro de Java Message Service (JMS). |
Servidor de seguridad | TCP cualquiera | RDP | Escritorio remoto | TCP 3389 | Los servidores de seguridad se conectan a escritorios remotos en el puerto TCP 3389 para intercambiar tráfico RDP. |
Servidor de seguridad | TCP cualquiera | MMR | Escritorio remoto | TCP 9427 | Los servidores de seguridad se conectan a escritorios remotos en el puerto TCP 9427 para recibir el tráfico relacionado con el redireccionamiento de multimedia (MMR) y el redireccionamiento de unidades cliente. |
Servidor de seguridad | TCP cualquiera UDP 55000 |
PCoIP | Aplicación o escritorio remoto | TCP 4172 UDP 4172 |
Los servidores de seguridad se conectan a aplicaciones y escritorios remotos en el puerto TCP 4172 y el puerto UDP 4172 para intercambiar tráfico PCoIP. |
Aplicación o escritorio remoto | UDP 4172 | PCoIP | Servidor de seguridad | UDP 55000 | Las aplicaciones y escritorios remotos devuelven datos PCoIP a los servidores de seguridad desde el puerto UDP 4172. El puerto UDP de destino será el puerto de origen de los paquetes UDP recibidos y, como se trata de datos de respuesta, no suele ser necesario agregar ninguna regla de firewall específica para ello. |
Servidor de seguridad | TCP cualquiera | USB-R | Escritorio remoto | TCP 32111 | Los servidores de seguridad se conectan a escritorios remotos en el puerto TCP 32111 para intercambiar tráfico de redireccionamiento entre dispositivos cliente externos y el escritorio remoto. |
Servidor de seguridad | TCP o UDP cualquiera | Blast Extreme | Aplicación o escritorio remoto | TCP o UDP 22443 | Los servidores de seguridad se conectan a aplicaciones y escritorios remotos en los puertos TCP y UDP 22443 para intercambiar tráfico de Blast Extreme. |
Servidor de seguridad | TCP cualquiera | HTTPS | Escritorio remoto | TCP 22443 | Si se utiliza HTML Access, los servidores de seguridad se conectan a escritorios remotos en el puerto HTTPS 22443 para comunicarse con el agente de Blast Extreme. |
Servidor de seguridad | ESP | Servidor de conexión | Tráfico AJP13 encapsulado cuando no se requiere circulación NAT. ESP es el protocolo IP 50. No se especifican los números de puerto. | ||
Servidor de conexión | ESP | Servidor de seguridad | Tráfico AJP13 encapsulado cuando no se requiere circulación NAT. ESP es el protocolo IP 50. No se especifican los números de puerto. |