Configuration d'un pare-feu principal pour prendre en charge IPsec

Si la topologie réseau contient un pare-feu principal entre les serveurs de sécurité et les instances du Serveur de connexion, vous devez configurer certains protocoles et ports sur le pare-feu pour prendre en charge IPsec. Si vous ne disposez pas d'une configuration correcte, les données envoyées entre un serveur de sécurité et une instance du Serveur de connexion ne pourront pas traverser le pare-feu.

Par défaut, les règles IPsec régissent les connexions entre les serveurs de sécurité et les instances du Serveur de connexion. Pour prendre en charge IPsec, le programme d'installation du Serveur de connexion peut définir les règles de pare-feu Windows sur les hôtes Windows Server où les serveurs Horizon 7 sont installés. Pour un pare-feu principal, vous devez définir les règles vous-même.

Note : Il est vivement recommandé d'utiliser IPsec. Vous pouvez également désactiver le paramètre global d'Horizon Administrator Utiliser IPsec pour les connexions du serveur de sécurité.

Les règles suivantes doivent permettre le trafic bidirectionnel. Il peut être nécessaire de définir des règles distinctes pour le trafic entrant et le trafic sortant sur le pare-feu.

Différentes règles s'appliquent aux pare-feu qui utilisent NAT (Network Address Translation) et à ceux qui ne n'utilisent pas.

Tableau 1. Conditions de pare-feu non-NAT pour la prise en charge des règles IPsec
Source	Protocole	Port	Destination	Remarques
Serveur de sécurité	ISAKMP	UDP 500	Serveur de connexion Horizon	Les serveurs de sécurité utilisent le port UDP 500 pour négocier la sécurité IPsec.
Serveur de sécurité	ESP	S/O	Serveur de connexion Horizon	Le protocole ESP encapsule le trafic crypté IPsec. Il est inutile de définir un port pour ESP dans le cadre de la règle. Si nécessaire, vous pouvez définir des adresses IP source et de destination pour réduire la portée de la règle.

Les règles suivantes s'appliquent aux pare-feu qui utilisent NAT.

Tableau 2. Conditions de pare-feu NAT pour la prise en charge des règles IPsec
Source	Protocole	Port	Destination	Remarques
Serveur de sécurité	ISAKMP	UDP 500	Serveur de connexion Horizon	Les serveurs de sécurité utilisent le port UDP 500 pour initier la négociation de sécurité Psec.
Serveur de sécurité	NAT-T ISAKMP	UDP 4500	Serveur de connexion Horizon	Les serveurs de sécurité utilisent le port UDP 4500 pour traverser les NAT et négocier la sécurité IPsec.