Si la topología de la red incluye un firewall back-end entre servidores de seguridad e instancias del servidor de conexión, tiene que configurar algunos protocolos y puertos en el firewall para que sean compatibles con IPsec. Sin la configuración adecuada, los datos enviados a través de un servidor de seguridad y la instancia del servidor de conexión no podrán pasar a través del firewall.

De forma predeterminada, las reglas IPsec rigen las conexiones entre los servidores de seguridad y las instancias del servidor de conexión. Para dar soporte a IPsec, el instalador del servidor de conexión puede configurar las reglas del firewall de Windows en los hosts de Windows Server donde estén instalados los servidores de Horizon 7. Para un firewall back-end, debe configurar las reglas usted mismo.

Nota: Se recomienda que use IPsec. También puede deshabilitar la configuración global Usar IPsec para las conexiones del servidor de seguridad de Horizon Administrator.

Las siguientes reglas deben permitir el tráfico bidireccional. Es posible que tenga que especificar reglas independientes en el firewall para el tráfico entrante y el saliente.

Se aplican diferentes reglas a los firewalls que usan la traducción de direcciones de red (NAT) y a los que no la usan.

Tabla 1. Requisitos para que firewalls sin NAT admitan reglas IPsec
Origen Protocolo Puerto Destino Notas
Servidor de seguridad ISAKMP UDP 500 Servidor de conexión de Horizon Los servidores de seguridad usan el puerto UDP 500 para negociar la seguridad IPsec.
Servidor de seguridad ESP No disponible Servidor de conexión de Horizon El protocolo ESP encapsula el tráfico cifrado de IPsec.

No es necesario que especifique un puerto para ESP como parte de la regla. Si es necesario, puede especificar direcciones IP de origen y de destino para reducir el ámbito de la regla.

Las siguientes reglas se aplican a los firewalls que usan NAT.

Tabla 2. Requisitos para que los firewalls con NAT admitan reglas IPsec
Origen Protocolo Puerto Destino Notas
Servidor de seguridad ISAKMP UDP 500 Servidor de conexión de Horizon Los servidores de seguridad usan el puerto UDP 500 para iniciar la negociación de seguridad IPsec.
Servidor de seguridad NAT-T ISAKMP UDP 4500 Servidor de conexión de Horizon Los servidores de seguridad usan el puerto UDP 4500 para las NAT transversales y para negociar la seguridad IPsec.