DMZ ベースのセキュリティ サーバには、フロント エンド ファイアウォールとバック エンド ファイアウォールに関する特定のファイアウォール ルールが必要です。インストール中、Horizon 7 サービスは、デフォルトで特定のネットワーク ポートをリッスンするように設定されます。必要に応じて、組織のポリシーに準拠するか競合を回避するために、どのポート番号が使用されるかを変更できます。

重要: その他の詳細およびセキュリティの推奨事項については、『 Horizon 7 セキュリティ ガイド』を参照してください。

フロント エンド ファイアウォールのルール

外部のクライアント デバイスが DMZ 内のセキュリティ サーバに接続できるようにするには、フロント エンド ファイアウォールで、トラフィックを特定の TCP ポートおよび UDP ポートで許可する必要があります。フロント エンド ファイアウォールのルール にフロント エンド ファイアウォールのルールの概要を示します。

表 1. フロント エンド ファイアウォールのルール
Source デフォルト ポート プロトコル 送信先 デフォルト ポート
Horizon Client すべての TCP HTTP セキュリティ サーバ TCP 80 (オプション)外部のクライアント デバイスは、TCP ポート 80 の DMZ 内のセキュリティ サーバに接続し、自動的に HTTPS にリダイレクトされます。HTTPS ではなく HTTP を使用した接続をユーザーに許可することに関連するセキュリティ上の考慮事項については、『Horizon 7 セキュリティ ガイド』を参照してください。
Horizon Client すべての TCP HTTPS セキュリティ サーバ TCP 443 外部クライアント デバイスは、DMZ 内にあるセキュリティ サーバに TCP ポート 443 で接続して、接続サーバ インスタンスおよびリモートデスクトップやアプリケーションと通信します。
Horizon Client すべての TCP

すべての UDP

PCoIP セキュリティ サーバ TCP 4172

UDP 4172

外部クライアント デバイスは、DMZ 内にあるセキュリティ サーバに TCP ポート 4172 および UDP ポート 4172 で接続して、PCoIP 経由でリモートデスクトップやアプリケーションと通信します。
セキュリティ サーバ UDP 4172 PCoIP Horizon Client すべての UDP セキュリティ サーバは、UDP ポート 4172 から PCoIP データを外部クライアント デバイスに送り返します。送信先の UDP ポートは、受信した UDP パケットのソース ポートとなります。このパケットには返信データが含まれるため、通常は、このトラフィックに明示的なファイアウォール ルールを追加する必要はありません。
Horizon Client またはクライアント Web ブラウザ すべての TCP HTTPS セキュリティ サーバ TCP 8443

UDP 8443

外部クライアント デバイスおよび外部 Web クライアント (HTML Access) は、リモート デスクトップと通信するために、HTTPS ポート 8443 の DMZ 内でセキュリティ サーバに接続します。

バック エンド ファイアウォールのルール

セキュリティ サーバが、内部ネットワーク内に存在する各 View 接続サーバ インスタンスと通信できるようにするには、バック エンド ファイアウォールで、受信トラフィックを特定の TCP ポートで許可する必要があります。リモート デスクトップ アプリケーションと接続サーバ インスタンスが互いに通信できるようにするために、バックエンド ファイアウォールの背後で、内部のファイアウォールが同様に構成されている必要があります。バック エンド ファイアウォールのルールにバックエンド ファイアウォールのルールの概要を示します。

表 2. バック エンド ファイアウォールのルール
Source デフォルト ポート プロトコル 送信先 デフォルト ポート
セキュリティ サーバ UDP 500 IPSec 接続サーバ UDP 500 セキュリティ サーバは、UDP ポート 500 で接続サーバ インスタンスと IPSec についてネゴシエートします。
接続サーバ UDP 500 IPSec セキュリティ サーバ UDP 500 接続サーバ インスタンスは、UDP ポート 500 でセキュリティ サーバに応答します。
セキュリティ サーバ UDP 4500 NAT-T ISAKMP 接続サーバ UDP 4500 NAT がセキュリティ サーバおよびそのペアになっている接続サーバ インスタンス間で使用されている場合に必要となります。セキュリティ サーバは、UDP ポート 4500 を使用して NAT をたどって IPsec セキュリティをネゴシエートします。
接続サーバ UDP 4500 NAT-T ISAKMP セキュリティ サーバ UDP 4500 接続サーバ インスタンスは、NAT が使用されている場合、UDP ポート 4500 でセキュリティ サーバに応答します。
セキュリティ サーバ すべての TCP AJP13 接続サーバ TCP 8009 セキュリティ サーバは TCP ポート 8009 で接続サーバ インスタンスに接続し、外部クライアント デバイスの Web トラフィックを転送します。

IPSec を有効にすると、ペアリング後に AJP13 トラフィックは TCP ポート 8009 を使用しません。その代わりに、NAT-T (UDP ポート 4500) または ESP 上で送信されます。

セキュリティ サーバ すべての TCP JMS 接続サーバ TCP 4001 セキュリティ サーバは、TCP ポート 4001 で接続サーバ インスタンスに接続し、Java Message Service(JMS)トラフィックをやりとりします。
セキュリティ サーバ すべての TCP JMS 接続サーバ TCP 4002 セキュリティ サーバは、TCP ポート 4002 で接続サーバ インスタンスに接続し、保護された Java Message Service(JMS)トラフィックをやりとりします。
セキュリティ サーバ すべての TCP RDP リモート デスクトップ TCP 3389 セキュリティ サーバは、TCP ポート 3389 でリモート デスクトップに接続し、RDP トラフィックをやりとりします。
セキュリティ サーバ すべての TCP MMR リモート デスクトップ TCP 9427 セキュリティ サーバは、TCP ポート 9427 でリモート デスクトップに接続し、マルチメディアリダイレクト (MMR) とクライアント ドライブ リダイレクトに関連するトラフィックを受信します。
セキュリティ サーバ すべての TCP

UDP 55000

PCoIP リモート デスクトップまたはアプリケーション TCP 4172

UDP 4172

セキュリティ サーバは、TCP ポート 4172 および UDP ポート 4172 でリモート デスクトップおよびアプリケーションに接続し、PCoIP トラフィックをやりとりします。
リモート デスクトップまたはアプリケーション UDP 4172 PCoIP セキュリティ サーバ UDP 55000 リモート デスクトップおよびアプリケーションは、UDP ポート 4172 からセキュリティ サーバに PCoIP データを送り返します。

送信先の UDP ポートは、受信した UDP パケットのソース ポートとなり、これは返信データであるため、通常は、これに明示的なファイアウォール ルールを追加する必要はありません。

セキュリティ サーバ すべての TCP USB-R リモート デスクトップ TCP 32111 セキュリティサーバは、TCP ポート 32111 でリモート デスクトップに接続し、外部クライアント デバイスとリモート デスクトップ間の USB リダイレクト トラフィックをやりとりします。
セキュリティ サーバ すべての TCP または UDP Blast Extreme リモート デスクトップまたはアプリケーション TCP または UDP 22443 セキュリティ サーバは、TCP および UDP ポート 22443 でリモート デスクトップおよびアプリケーションに接続し、Blast Extreme トラフィックをやりとりします。
セキュリティ サーバ すべての TCP HTTPS リモート デスクトップ TCP 22443 HTML Access を使用する場合、セキュリティ サーバはリモート デスクトップに HTTPS ポート 22443 で接続して、Blast Extreme エージェントと通信します。
セキュリティ サーバ ESP 接続サーバ NAT トラバーサルが必要ない場合のカプセル化された AJP13 トラフィック。ESP は IP プロトコル 50 です。ポート番号は指定されていません。
接続サーバ ESP セキュリティ サーバ NAT トラバーサルが必要ない場合のカプセル化された AJP13 トラフィック。ESP は IP プロトコル 50 です。ポート番号は指定されていません。