DMZ 기반 보안 서버는 프론트엔드와 백엔드 방화벽에 대해 특정 방화벽 규칙이 필요합니다. 설치 도중 기본적으로 특정 네트워크 포트에서 수신하도록 Horizon 7 서비스가 설정됩니다. 필요하다면, 조직 정책을 준수하거나 경합을 피하기 위해 사용되는 포트 번호를 변경할 수 있습니다.
중요: 자세한 내용과 보안 권장 사항에 대해서는 "
Horizon 7 보안" 문서를 참조하십시오.
프론트엔드 방화벽 규칙
외부 클라이언트 디바이스가 DMZ 내에 있는 보안 서버에 연결할 수 있도록 허용하려면 프론트엔드 방화벽에서 특정 TCP와 UDP 포트에 대한 트래픽을 허용해야 합니다. 프론트엔드 방화벽 규칙에는 프론트엔드 방화벽 규칙에 대한 요약이 나와 있습니다.
| 소스 | 기본 포트 | 프로토콜 | 대상 | 기본 포트 | 참고 |
|---|---|---|---|---|---|
| Horizon Client | TCP 임의 | HTTP | 보안 서버 | TCP 80 | (선택 사항) 외부 클라이언트 디바이스는 TCP 포트 80의 DMZ 내에 있는 보안 서버에 연결되어 HTTPS에 자동으로 연결됩니다. 사용자가 HTTPS가 아닌 HTTP로 연결할 수 있도록 허용하는 것과 관련된 보안 고려 사항에 대한 정보는 "Horizon 7 보안" 가이드를 참조하십시오. |
| Horizon Client | TCP 임의 | HTTPS | 보안 서버 | TCP 443 | 외부 클라이언트 디바이스가 TCP 포트 443에서 DMZ 내에 있는 보안 서버에 연결하여 연결 서버 인스턴스 및 원격 데스크톱/애플리케이션과 통신합니다. |
| Horizon Client | TCP 임의 UDP 임의 |
PCoIP | 보안 서버 | TCP 4172 UDP 4172 |
외부 클라이언트 디바이스가 TCP 포트 4172 및 UDP 포트 4172에서 DMZ 내에 있는 보안 서버에 연결하여 PCoIP를 통해 원격 데스크톱 또는 애플리케이션과 통신합니다. |
| 보안 서버 | UDP 4172 | PCoIP | Horizon Client | UDP 임의 | 보안 서버가 UDP 포트 4172에서 외부 클라이언트 디바이스로 PCoIP 데이터를 다시 보냅니다. 대상 UDP 포트는 수신된 UDP 패킷의 소스 포트입니다. 이러한 패킷에는 응답 데이터가 포함되므로 대개 이 트래픽에 대한 명시적 방화벽 규칙을 추가할 필요가 없습니다. |
| Horizon Client 또는 클라이언트 웹 브라우저 | TCP 임의 | HTTPS | 보안 서버 | TCP 8443 UDP 8443 |
외부 클라이언트 디바이스 및 외부 웹 클라이언트(HTML Access)는 HTTPS 포트 8443의 DMZ에 있는 보안 서버에 연결하여 원격 데스크톱과 통신합니다. |
백엔드 방화벽 규칙
보안 서버에서 내부 네트워크에 있는 각 View 연결 서버 인스턴스와의 통신을 허용하려면 백엔드 방화벽에서 특정 TCP 포트에 대한 인바운드 트래픽을 허용해야 합니다. 원격 데스크톱 애플리케이션과 연결 서버 인스턴스가 서로 통신할 수 있도록 백엔드 방화벽 뒤에 있는 내부 방화벽을 유사하게 구성해야 합니다. 백엔드 방화벽 규칙는 백엔드 방화벽 규칙을 요약 설명합니다.
| 소스 | 기본 포트 | 프로토콜 | 대상 | 기본 포트 | 참고 |
|---|---|---|---|---|---|
| 보안 서버 | UDP 500 | IPSec | 연결 서버 | UDP 500 | 보안 서버는 UDP 포트 500에서 연결 서버 인스턴스와 IPSec를 조정합니다. |
| 연결 서버 | UDP 500 | IPSec | 보안 서버 | UDP 500 | 연결 서버 인스턴스는 UDP 포트 500에서 보안 서버에 응답합니다. |
| 보안 서버 | UDP 4500 | NAT-T ISAKMP | 연결 서버 | UDP 4500 | NAT가 보안 서버와 연결된 연결 서버 인스턴스 간에 사용될 때 필요합니다. 보안 서버는 UDP 포트 500을 사용하여 NAT를 탐색하고 IPsec 보안을 조정합니다. |
| 연결 서버 | UDP 4500 | NAT-T ISAKMP | 보안 서버 | UDP 4500 | NAT가 사용되면 연결 서버 인스턴스는 UDP 포트 4500에서 보안 서버에 응답합니다. |
| 보안 서버 | TCP 임의 | AJP13 | 연결 서버 | TCP 8009 | 보안 서버는 TCP 포트 8009에서 연결 서버 인스턴스에 연결되어 외부 클라이언트 디바이스의 웹 트래픽을 전달합니다. IPSec를 사용하도록 설정하면 연결 후 AJP13 트래픽이 TCP 포트 8009를 사용하지 않습니다. 대신 NAT-T(UDP 포트 4500) 또는 ESP를 통해 전송됩니다. |
| 보안 서버 | TCP 임의 | JMS | 연결 서버 | TCP 4001 | 보안 서버가 TCP 포트 4001의 연결 서버 인스턴스에 연결되어 JMS(Java Message Service) 트래픽을 교환합니다. |
| 보안 서버 | TCP 임의 | JMS | 연결 서버 | TCP 4002 | 보안 서버가 TCP 포트 4002에서 연결 서버 인스턴스에 연결되어 보안 JMS(Java Message Service) 트래픽을 교환합니다. |
| 보안 서버 | TCP 임의 | RDP | 원격 데스크톱 | TCP 3389 | 보안 서버가 TCP 포트 3389에서 원격 데스크톱에 연결하여 RDP 트래픽을 교환합니다. |
| 보안 서버 | TCP 임의 | MMR | 원격 데스크톱 | TCP 9427 | 보안 서버가 TCP 포트 9427의 원격 데스크톱에 연결되어 MMR(멀티미디어 리디렉션) 및 클라이언트 드라이브 리디렉션에 관련된 트래픽을 수신합니다. |
| 보안 서버 | TCP 임의 UDP 55000 |
PCoIP | 원격 데스크톱 또는 애플리케이션 | TCP 4172 UDP 4172 |
보안 서버가 TCP 포트 4172 및 UDP 포트 4172에서 원격 데스크톱 및 애플리케이션에 연결하여 PCoIP 트래픽을 교환합니다. |
| 원격 데스크톱 또는 애플리케이션 | UDP 4172 | PCoIP | 보안 서버 | UDP 55000 | 원격 데스크톱 및 애플리케이션이 UDP 포트 4172에서 보안 서버로 PCoIP 데이터를 다시 보냅니다. 대상 UDP 포트가 수신된 UDP 패킷의 소스 포트여서 이것이 응답 데이터일 때는 보통 이에 대한 명시적 방화벽 규칙을 추가할 필요가 없습니다. |
| 보안 서버 | TCP 임의 | USB-R | 원격 데스크톱 | TCP 32111 | 보안 서버가 TCP 포트 32111에서 원격 데스크톱에 연결하여 외부 클라이언트 디바이스 및 원격 데스크톱 사이에서 USB 리디렉션 트래픽을 교환합니다. |
| 보안 서버 | TCP 또는 UDP 임의 | Blast Extreme | 원격 데스크톱 또는 애플리케이션 | TCP 또는 UDP 22443 | 보안 서버가 TCP 및 UDP 포트 22443에서 원격 데스크톱 및 애플리케이션에 연결하여 Blast Extreme 트래픽을 교환합니다. |
| 보안 서버 | TCP 임의 | HTTPS | 원격 데스크톱 | TCP 22443 | HTML Access를 사용할 경우 보안 서버가 HTTPS 포트 22443에서 원격 데스크톱에 연결하여 Blast Extreme 에이전트와 통신합니다. |
| 보안 서버 | ESP | 연결 서버 | NAT 통과가 필요하지 않을 경우 AJP13 트래픽이 캡슐화됩니다. ESP는 IP 프로토콜 50이고 포트 번호는 지정되지 않습니다. | ||
| 연결 서버 | ESP | 보안 서버 | NAT 통과가 필요하지 않을 경우 AJP13 트래픽이 캡슐화됩니다. ESP는 IP 프로토콜 50이고 포트 번호는 지정되지 않습니다. |
