Les dispositifs Unified Access Gateway basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu frontaux et principaux. Lors de l'installation, les services Unified Access Gateway sont configurés pour écouter sur certains ports réseau par défaut.
En général, un déploiement de dispositif Unified Access Gateway basé sur une zone DMZ inclut deux pare-feu.
- Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne. Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
- Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des services dans la zone DMZ.
La règle de pare-feu contrôle exclusivement les communications entrantes provenant du service de la zone DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.
Pour autoriser des périphériques clients externes à se connecter à un dispositif Unified Access Gateway dans la zone DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports. Par défaut, les périphériques clients externes et les clients Web externes (HTML Access) se connectent à un dispositif Unified Access Gateway dans la zone DMZ sur le port TCP 443. Si vous utilisez le protocole Blast, le port 8443 doit être ouvert sur le pare-feu, mais vous pouvez également configurer Blast pour le port 443.
Port | Portail | Source | Cible | Description |
---|---|---|---|---|
443 | TCP | Internet | Unified Access Gateway | Pour le trafic Web, Horizon Client XML - API, Horizon Tunnel et Blast Extreme |
443 | UDP | Internet | Unified Access Gateway | UDP (facultatif) |
8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (facultatif) |
8443 | TCP | Internet | Unified Access Gateway | Blast Extreme (facultatif) |
4172 | TCP et UDP | Internet | Unified Access Gateway | PCoIP (facultatif) |
443 | TCP | Unified Access Gateway | Horizon Broker | Horizon Client XML-API |
22443 | TCP et UDP | Unified Access Gateway | Postes de travail et hôtes RDS | Blast Extreme |
4172 | TCP et UDP | Unified Access Gateway | Postes de travail et hôtes RDS | PCoIP (facultatif) |
32111 | TCP | Unified Access Gateway | Postes de travail et hôtes RDS | Canal d'infrastructure pour la redirection USB |
9427 | TCP | Unified Access Gateway | Postes de travail et hôtes RDS | MMR et CDR |
9443 | TCP | Interface utilisateur d'administration | Unified Access Gateway | Interface de gestion |
Note : Tous les ports UDP requièrent que les datagrammes de transfert et les datagrammes de réponse soient autorisés.
|
La figure suivante montre un exemple de configuration qui comporte des pare-feu frontal et principal.