Les serveurs de sécurité basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu frontaux et principaux. Lors de l'installation, les services Horizon 7 sont configurés pour écouter sur certains ports réseau par défaut. Si nécessaire, pour respecter les stratégies d'entreprise ou pour éviter la contention, vous pouvez modifier les numéros de port utilisés.
Règles de pare-feu frontal
Pour autoriser des périphériques client externes à se connecter à un serveur de sécurité dans la zone DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports TCP et UDP. Règles de pare-feu frontal résume les règles de pare-feu frontal.
Source | Port par défaut | Protocole | Destination | Port par défaut | Remarques |
---|---|---|---|---|---|
Horizon Client | Tout port TCP | HTTP | Serveur de sécurité | TCP 80 | (Facultatif) Les périphériques client externes se connectent à un serveur de sécurité dans la zone DMZ sur le port TCP 80 et sont automatiquement dirigés vers HTTPS. Pour plus d'informations sur les aspects de la sécurité liés au fait de laisser les utilisateurs se connecter avec HTTP plutôt qu'avec HTTPS, reportez-vous au guide Sécurité de Horizon 7. |
Horizon Client | Tout port TCP | HTTPS | Serveur de sécurité | TCP 443 | Les périphériques clients externes se connectent à un serveur de sécurité dans la zone DMZ sur le port TCP 443 pour communiquer avec une instance du Serveur de connexion et avec des applications et des postes de travail distants. |
Horizon Client | Tout port TCP Tout port UDP |
PCoIP | Serveur de sécurité | TCP 4172 UDP 4172 |
Les périphériques client externes se connectent à un serveur de sécurité dans la zone DMZ sur le port TCP 4172 et sur le port UDP 4172 pour communiquer avec une application ou un poste de travail distant sur PCoIP. |
Serveur de sécurité | UDP 4172 | PCoIP | Horizon Client | Tout port UDP | Les serveurs de sécurité renvoient des données PCoIP à un périphérique client externe à partir du port UDP 4172. Le port UDP de destination est le port source des paquets UDP reçus. Comme ces paquets contiennent des données de réponse, il est normalement inutile d'ajouter une règle de pare-feu explicite pour ce trafic. |
Horizon Client ou navigateur Web client | Tout port TCP | HTTPS | Serveur de sécurité | TCP 8443 UDP 8443 |
Les périphériques client externes et les clients Web externes (HTML Access) se connectent à un serveur de sécurité dans la zone DMZ sur le port HTTPS 8443 pour communiquer avec des postes de travail distants. |
Règles de pare-feu principal
Pour autoriser un serveur de sécurité à communiquer avec chaque instance de Serveur de connexion View qui réside sur le réseau interne, le pare-feu principal doit autoriser le trafic entrant sur certains ports TCP. Derrière le pare-feu principal, les pare-feu internes doivent être configurés de la même manière pour autoriser les applications et postes de travail distants et les instances du Serveur de connexion à communiquer entre eux. Règles de pare-feu principal résume les règles de pare-feu principal.
Source | Port par défaut | Protocole | Destination | Port par défaut | Remarques |
---|---|---|---|---|---|
Serveur de sécurité | UDP 500 | IPSec | Serveur de connexion | UDP 500 | Des serveurs de sécurité négocient IPSec avec des instances du Serveur de connexion sur le port UDP 500. |
Serveur de connexion | UDP 500 | IPSec | Serveur de sécurité | UDP 500 | Des instances du Serveur de connexion répondent à des serveurs de sécurité sur le port UDP 500. |
Serveur de sécurité | UDP 4500 | NAT-T ISAKMP | Serveur de connexion | UDP 4500 | Requis si NAT est utilisé entre un serveur de sécurité et son instance du Serveur de connexion couplée. Les serveurs de sécurité utilisent le port UDP 4500 pour traverser les NAT et négocier la sécurité IPsec. |
Serveur de connexion | UDP 4500 | NAT-T ISAKMP | Serveur de sécurité | UDP 4500 | Des instances du Serveur de connexion répondent à des serveurs de sécurité sur le port UDP 4500 si NAT est utilisé. |
Serveur de sécurité | Tout port TCP | AJP13 | Serveur de connexion | TCP 8009 | Des serveurs de sécurité se connectent à des instances du Serveur de connexion sur le port TCP 8009 pour transférer le trafic Web à partir de périphériques clients externes. Si vous activez IPSec, le trafic AJP13 n'utilise pas le port TCP 8009 après le couplage. Il utilise plutôt NAT-T (port UDP 4500) ou ESP. |
Serveur de sécurité | Tout port TCP | JMS | Serveur de connexion | TCP 4001 | Des serveurs de sécurité se connectent à des instances du Serveur de connexion sur le port TCP 4001 pour échanger le trafic JMS (Java Message Service). |
Serveur de sécurité | Tout port TCP | JMS | Serveur de connexion | TCP 4002 | Des serveurs de sécurité se connectent à des instances du Serveur de connexion sur le port TCP 4002 pour échanger du trafic JMS (Java Message Service) sécurisé. |
Serveur de sécurité | Tout port TCP | RDP | Poste de travail distant | TCP 3389 | Les serveurs de sécurité se connectent à des postes de travail distants sur le port TCP 3389 pour échanger du trafic RDP. |
Serveur de sécurité | Tout port TCP | MMR | Poste de travail distant | TCP 9427 | Les serveurs de sécurité se connectent à des postes de travail distants sur le port TCP 9427 afin de recevoir le trafic lié à la redirection multimédia (MMR) et à la redirection de lecteur client. |
Serveur de sécurité | Tout port TCP UDP 55000 |
PCoIP | Application ou poste de travail distant | TCP 4172 UDP 4172 |
Les serveurs de sécurité se connectent aux applications et postes de travail distants sur le port TCP 4172 et le port UDP 4172 pour échanger du trafic PCoIP. |
Application ou poste de travail distant | UDP 4172 | PCoIP | Serveur de sécurité | UDP 55000 | Des applications et des postes de travail distants renvoient des données PCoIP à un serveur de sécurité à partir du port UDP 4172. Le port UDP de destination sera le port source des paquets UDP reçus. Comme ces paquets sont des données de réponse, il est normalement inutile d'ajouter une règle de pare-feu explicite pour cela. |
Serveur de sécurité | Tout port TCP | USB-R | Poste de travail distant | TCP 32111 | Des serveurs de sécurité se connectent à des postes de travail distants sur le port TCP 32111 pour échanger le trafic de redirection USB entre un périphérique client externe et le poste de travail distant. |
Serveur de sécurité | Tout port TCP or UDP | Blast Extreme | Application ou poste de travail distant | TCP ou UDP 22443 | Des serveurs de sécurité se connectent à des applications et des postes de travail distants sur le port TCP et UDP 22443 pour échanger du trafic Blast Extreme. |
Serveur de sécurité | Tout port TCP | HTTPS | Poste de travail distant | TCP 22443 | Si vous utilisez HTML Access, les serveurs de sécurité se connectent à des postes de travail distants sur le port HTTPS 22443 pour communiquer avec l'agent Blast Extreme. |
Serveur de sécurité | ESP | Serveur de connexion | Trafic AJP13 encapsulé lorsque NAT Traversal n'est pas requis. ESP est le protocole IP 50. Les numéros de ports ne sont pas spécifiés. | ||
Serveur de connexion | ESP | Serveur de sécurité | Trafic AJP13 encapsulé lorsque NAT Traversal n'est pas requis. ESP est le protocole IP 50. Les numéros de ports ne sont pas spécifiés. |