DMZ 기반 Unified Access Gateway 장치는 프론트엔드와 백엔드 방화벽에 대해 특정 방화벽 규칙을 필요로 합니다. 설치 도중 기본적으로 특정 네트워크 포트에서 수신하도록 Unified Access Gateway 서비스가 설정됩니다.

DMZ 기반 Unified Access Gateway 장치의 배치에는 일반적으로 두 개의 방화벽이 포함되어 있습니다.

  • 외부 네트워크 지향 프론트엔드 방화벽은 DMZ와 내부 네트워크를 보호해야 합니다. 외부 네트워크 트래픽이 DMZ에 도달할 수 있도록 방화벽을 구성합니다.

  • DMZ와 내부 네트워크 사이의 백엔드 방화벽은 두 번째 보안 계층을 제공하기 위해 필요합니다. DMZ 내에 있는 서비스에서 발생한 트래픽만 허용하도록 방화벽을 구성합니다.

방화벽 정책은 DMZ 서비스의 인바운드 통신을 철저하게 제어하여 내부 네트워크 손상 위험을 크게 줄입니다.

외부 클라이언트 디바이스가 DMZ 내에 있는 Unified Access Gateway 장치에 연결할 수 있도록 허용하려면 프론트엔드 방화벽에서 특정 포트에 대한 트래픽을 허용해야 합니다. 기본적으로 외부 클라이언트 디바이스 및 외부 웹 클라이언트(HTML Access)는 TCP 포트 443에서 DMZ 내의 Unified Access Gateway 장치에 연결합니다. Blast 프로토콜을 사용하는 경우 방화벽에서 포트 8443이 열려 있어야 하지만 포트 443에 대해 Blast를 구성할 수도 있습니다.

표 1. 포트 요구 사항

포트

포털

소스

대상

설명

443

TCP

인터넷

Unified Access Gateway

웹 트래픽의 경우 Horizon Client XML - API, Horizon Tunnel 및 Blast Extreme

443

UDP

인터넷

Unified Access Gateway

UDP(선택 사항)

8443

UDP

인터넷

Unified Access Gateway

Blast Extreme(선택 사항)

8443

TCP

인터넷

Unified Access Gateway

Blast Extreme

4172

TCP 및 UDP

인터넷

Unified Access Gateway

PCoIP(선택 사항)

443

TCP

Unified Access Gateway

Horizon Broker

Horizon Client XML-API

22443

TCP 및 UDP

Unified Access Gateway

데스크톱 및 RDS 호스트

Blast Extreme

4172

TCP 및 UDP

Unified Access Gateway

데스크톱 및 RDS 호스트

PCoIP(선택 사항)

32111

TCP

Unified Access Gateway

데스크톱 및 RDS 호스트

USB 리디렉션을 위한 프레임워크 채널

9427

TCP

Unified Access Gateway

데스크톱 및 RDS 호스트

MMR 및 CDR

9443

TCP

관리 UI

Unified Access Gateway

관리 인터페이스

참고:

모든 UDP 포트에서는 전달 데이터그램 및 응답 데이터그램이 허용되어야 합니다.

다음 그림에서는 프론트엔드 및 백엔드 방화벽을 포함하는 구성의 예를 보여줍니다.

그림 1. DMZ 토폴로지의 Unified Access Gateway