Los servidores de seguridad basados en DMZ requieren la configuración de ciertas reglas en los firewall de front-end y back-end. Durante la instalación, de forma predeterminada se configuran los servicios de Horizon 7 para la escucha en determinados puertos de la red. Si fuese necesario para cumplir las directivas de la organización o para evitar la contención, se pueden cambiar los números de puerto que se utilizan.

Importante:

Para obtener más detalles y recomendaciones de seguridad, consulte el documento ViewSeguridad.

Reglas del firewall de front-end

Para permitir que los dispositivos de clientes externos se conecten a un servidor de seguridad dentro de la zona DMZ, el firewall de front-end debe permitir el tráfico en determinados puertos TCP y UDP. 1 resume las reglas del firewall de front-end.

Tabla 1. Reglas del firewall de front-end

Origen

Puerto predeterminado

Protocolo

Destino

Puerto predeterminado

Notas

Horizon Client

TCP cualquiera

HTTP

Servidor de seguridad

TCP 80

(Opcional) Los dispositivos cliente externos conectados a un servidor de seguridad dentro de la zona DMZ en el puerto TCP 80 se dirigen automáticamente a HTTPS. Para obtener información sobre cuestiones de seguridad relativas a permitir a los usuarios conectar con HTTP en lugar de HTTPS, consulte la guía ViewSeguridad.

Horizon Client

TCP cualquiera

HTTPS

Servidor de seguridad

TCP 443

Los dispositivos cliente externos se conectan a un servidor de seguridad dentro de la zona DMZ en el puerto TCP 443 para comunicarse con una instancia del servidor de conexión y con aplicaciones y escritorios remotos.

Horizon Client

TCP cualquiera

UDP cualquiera

PCoIP

Servidor de seguridad

TCP 4172

UDP 4172

Los dispositivos de clientes externos se conectan a un servidor de seguridad dentro de la zona DMZ en el puerto TCP 4172 y el puerto UDP 4172 para comunicarse con una aplicación o escritorio remoto mediante PCoIP.

Servidor de seguridad

UDP 4172

PCoIP

Horizon Client

UDP cualquiera

Los servidores de seguridad devuelven los datos de PCoIP a un dispositivo cliente externo desde el puerto UDP 4172. El puerto UDP de destino es el puerto de origen de los paquetes UDP recibidos. Como estos paquetes contienen datos de respuesta, no suele ser necesario agregar una regla de firewall específica para este tráfico.

Horizon Client o un navegador web del cliente

TCP cualquiera

HTTPS

Servidor de seguridad

TCP 8443

UDP 8443

Los dispositivos cliente externos y los clientes web externos (HTML Access) se conectan a un servidor de seguridad dentro de la zona DMZ en el puerto HTTPS 8443 para comunicarse con escritorios remotos.

Reglas del firewall de back-end

Para permitir que un servidor de seguridad se conecte con cada una de las instancias del servidor de conexión de View que residan en la red interna, el firewall de back-end debe permitir el tráfico entrante en determinados puertos TCP. Detrás del firewall back-end, los firewall internos se deben configurar de manera similar para permitir que las instancias del servidor de conexión y las aplicaciones y los escritorios remotos se comuniquen entre sí. 2 resume las reglas del firewall de back-end.

Tabla 2. Reglas del firewall de back-end

Origen

Puerto predeterminado

Protocolo

Destino

Puerto predeterminado

Notas

Servidor de seguridad

UDP 500

IPsec

Servidor de conexión

UDP 500

Los servidores de seguridad negocian la seguridad IPSec con las instancias del servidor de conexión en el puerto UDP 500.

Servidor de conexión

UDP 500

IPsec

Servidor de seguridad

UDP 500

Las instancias del servidor de conexión responden a los servidores de seguridad en el puerto UDP 500.

Servidor de seguridad

UDP 4500

NAT-T ISAKMP

Servidor de conexión

UDP 4500

Es obligatorio si se utiliza NAT entre un servidor de seguridad y su instancia del servidor de conexión emparejada. Los servidores de seguridad usan el puerto UDP 4500 para las NAT transversales y para negociar la seguridad IPsec.

Servidor de conexión

UDP 4500

NAT-T ISAKMP

Servidor de seguridad

UDP 4500

Si se utiliza NAT, las instancias del servidor de conexión responden a los servidores de seguridad en el puerto UDP 4500.

Servidor de seguridad

TCP cualquiera

AJP13

Servidor de conexión

TCP 8009

Los servidores de seguridad se conectan a las instancias del servidor de conexión del puerto TCP 8009 para redireccionar el tráfico web de los dispositivos cliente externos.

Si se habilita IPSec, el tráfico AJP13 no utiliza el puerto TCP 8009 después del emparejamiento. En lugar de ello, utiliza NAT-T (puerto UDP 4500) o ESP.

Servidor de seguridad

TCP cualquiera

JMS

Servidor de conexión

TCP 4001

Los servidores de seguridad se conectan a las instancias del servidor de conexión en el puerto TCP 4001 para intercambiar el tráfico de Java Message Service (JMS).

Servidor de seguridad

TCP cualquiera

JMS

Servidor de conexión

TCP 4002

Los servidores de seguridad se conectan a las instancias del servidor de conexión en el puerto TCP 4002 para intercambiar el tráfico seguro de Java Message Service (JMS).

Servidor de seguridad

TCP cualquiera

RDP

Escritorio remoto

TCP 3389

Los servidores de seguridad se conectan a escritorios remotos en el puerto TCP 3389 para intercambiar tráfico RDP.

Servidor de seguridad

TCP cualquiera

MMR

Escritorio remoto

TCP 9427

Los servidores de seguridad se conectan a escritorios remotos en el puerto TCP 9427 para recibir el tráfico relacionado con el redireccionamiento de multimedia (MMR) y el redireccionamiento de unidades cliente.

Servidor de seguridad

TCP cualquiera

UDP 55000

PCoIP

Aplicación o escritorio remoto

TCP 4172

UDP 4172

Los servidores de seguridad se conectan a aplicaciones y escritorios remotos en el puerto TCP 4172 y el puerto UDP 4172 para intercambiar tráfico PCoIP.

Aplicación o escritorio remoto

UDP 4172

PCoIP

Servidor de seguridad

UDP 55000

Las aplicaciones y escritorios remotos devuelven datos PCoIP a los servidores de seguridad desde el puerto UDP 4172.

El puerto UDP de destino será el puerto de origen de los paquetes UDP recibidos y, como se trata de datos de respuesta, no suele ser necesario agregar ninguna regla de firewall específica para ello.

Servidor de seguridad

TCP cualquiera

USB-R

Escritorio remoto

TCP 32111

Los servidores de seguridad se conectan a escritorios remotos en el puerto TCP 32111 para intercambiar tráfico de redireccionamiento entre dispositivos cliente externos y el escritorio remoto.

Servidor de seguridad

TCP o UDP cualquiera

Blast Extreme

Aplicación o escritorio remoto

TCP o UDP 22443

Los servidores de seguridad se conectan a aplicaciones y escritorios remotos en los puertos TCP y UDP 22443 para intercambiar tráfico de Blast Extreme.

Servidor de seguridad

TCP cualquiera

HTTPS

Escritorio remoto

TCP 22443

Si se utiliza HTML Access, los servidores de seguridad se conectan a escritorios remotos en el puerto HTTPS 22443 para comunicarse con el agente de Blast Extreme.

Servidor de seguridad

ESP

Servidor de conexión

Tráfico AJP13 encapsulado cuando no se requiere circulación NAT. ESP es el protocolo IP 50. No se especifican los números de puerto.

Servidor de conexión

ESP

Servidor de seguridad

Tráfico AJP13 encapsulado cuando no se requiere circulación NAT. ESP es el protocolo IP 50. No se especifican los números de puerto.