DMZ 기반 보안 서버는 프론트엔드와 백엔드 방화벽에 대해 특정 방화벽 규칙이 필요합니다. 설치 도중 기본적으로 특정 네트워크 포트에서 수신하도록 Horizon 7 서비스가 설정됩니다. 필요하다면, 조직 정책을 준수하거나 경합을 피하기 위해 사용되는 포트 번호를 변경할 수 있습니다.

중요:

자세한 내용과 보안 권장 사항에 대해서는 View 보안 문서를 참조하십시오.

프론트엔드 방화벽 규칙

외부 클라이언트 디바이스가 DMZ 내에 있는 보안 서버에 연결할 수 있도록 허용하려면 프론트엔드 방화벽에서 특정 TCP와 UDP 포트에 대한 트래픽을 허용해야 합니다. 1에는 프론트엔드 방화벽 규칙에 대한 요약이 나와 있습니다.

표 1. 프론트엔드 방화벽 규칙

소스

기본 포트

프로토콜

대상

기본 포트

참고

Horizon Client

TCP 임의

HTTP

보안 서버

TCP 80

(선택 사항) 외부 클라이언트 디바이스는 TCP 포트 80의 DMZ 내에 있는 보안 서버에 연결되어 HTTPS에 자동으로 연결됩니다. 사용자가 HTTPS가 아닌 HTTP로 연결할 수 있도록 허용하는 것과 관련된 보안 고려 사항에 대한 정보는 View 보안 가이드를 참조하십시오.

Horizon Client

TCP 임의

HTTPS

보안 서버

TCP 443

외부 클라이언트 디바이스가 TCP 포트 443에서 DMZ 내에 있는 보안 서버에 연결하여 연결 서버 인스턴스 및 원격 데스크톱/애플리케이션과 통신합니다.

Horizon Client

TCP 임의

UDP 임의

PCoIP

보안 서버

TCP 4172

UDP 4172

외부 클라이언트 디바이스가 TCP 포트 4172 및 UDP 포트 4172에서 DMZ 내에 있는 보안 서버에 연결하여 PCoIP를 통해 원격 데스크톱 또는 애플리케이션과 통신합니다.

보안 서버

UDP 4172

PCoIP

Horizon Client

UDP 임의

보안 서버가 UDP 포트 4172에서 외부 클라이언트 디바이스로 PCoIP 데이터를 다시 보냅니다. 대상 UDP 포트는 수신된 UDP 패킷의 소스 포트입니다. 이러한 패킷에는 응답 데이터가 포함되므로 대개 이 트래픽에 대한 명시적 방화벽 규칙을 추가할 필요가 없습니다.

Horizon Client 또는 클라이언트 웹 브라우저

TCP 임의

HTTPS

보안 서버

TCP 8443

UDP 8443

외부 클라이언트 디바이스 및 외부 웹 클라이언트(HTML Access)는 HTTPS 포트 8443의 DMZ에 있는 보안 서버에 연결하여 원격 데스크톱과 통신합니다.

백엔드 방화벽 규칙

보안 서버에서 내부 네트워크에 있는 각 View 연결 서버 인스턴스와의 통신을 허용하려면 백엔드 방화벽에서 특정 TCP 포트에 대한 인바운드 트래픽을 허용해야 합니다. 원격 데스크톱 애플리케이션과 연결 서버 인스턴스가 서로 통신할 수 있도록 백엔드 방화벽 뒤에 있는 내부 방화벽을 유사하게 구성해야 합니다. 2는 백엔드 방화벽 규칙을 요약 설명합니다.

표 2. 백엔드 방화벽 규칙

소스

기본 포트

프로토콜

대상

기본 포트

참고

보안 서버

UDP 500

IPSec

연결 서버

UDP 500

보안 서버는 UDP 포트 500에서 연결 서버 인스턴스와 IPSec를 조정합니다.

연결 서버

UDP 500

IPSec

보안 서버

UDP 500

연결 서버 인스턴스는 UDP 포트 500에서 보안 서버에 응답합니다.

보안 서버

UDP 4500

NAT-T ISAKMP

연결 서버

UDP 4500

NAT가 보안 서버와 연결된 연결 서버 인스턴스 간에 사용될 때 필요합니다. 보안 서버는 UDP 포트 500을 사용하여 NAT를 탐색하고 IPsec 보안을 조정합니다.

연결 서버

UDP 4500

NAT-T ISAKMP

보안 서버

UDP 4500

NAT가 사용되면 연결 서버 인스턴스는 UDP 포트 4500에서 보안 서버에 응답합니다.

보안 서버

TCP 임의

AJP13

연결 서버

TCP 8009

보안 서버는 TCP 포트 8009에서 연결 서버 인스턴스에 연결되어 외부 클라이언트 디바이스의 웹 트래픽을 전달합니다.

IPSec를 사용하도록 설정하면 연결 후 AJP13 트래픽이 TCP 포트 8009를 사용하지 않습니다. 대신 NAT-T(UDP 포트 4500) 또는 ESP를 통해 전송됩니다.

보안 서버

TCP 임의

JMS

연결 서버

TCP 4001

보안 서버가 TCP 포트 4001의 연결 서버 인스턴스에 연결되어 JMS(Java Message Service) 트래픽을 교환합니다.

보안 서버

TCP 임의

JMS

연결 서버

TCP 4002

보안 서버가 TCP 포트 4002에서 연결 서버 인스턴스에 연결되어 보안 JMS(Java Message Service) 트래픽을 교환합니다.

보안 서버

TCP 임의

RDP

원격 데스크톱

TCP 3389

보안 서버가 TCP 포트 3389에서 원격 데스크톱에 연결하여 RDP 트래픽을 교환합니다.

보안 서버

TCP 임의

MMR

원격 데스크톱

TCP 9427

보안 서버가 TCP 포트 9427의 원격 데스크톱에 연결되어 MMR(멀티미디어 리디렉션) 및 클라이언트 드라이브 리디렉션에 관련된 트래픽을 수신합니다.

보안 서버

TCP 임의

UDP 55000

PCoIP

원격 데스크톱 또는 애플리케이션

TCP 4172

UDP 4172

보안 서버가 TCP 포트 4172 및 UDP 포트 4172에서 원격 데스크톱 및 애플리케이션에 연결하여 PCoIP 트래픽을 교환합니다.

원격 데스크톱 또는 애플리케이션

UDP 4172

PCoIP

보안 서버

UDP 55000

원격 데스크톱 및 애플리케이션이 UDP 포트 4172에서 보안 서버로 PCoIP 데이터를 다시 보냅니다.

대상 UDP 포트가 수신된 UDP 패킷의 소스 포트여서 이것이 응답 데이터일 때는 보통 이에 대한 명시적 방화벽 규칙을 추가할 필요가 없습니다.

보안 서버

TCP 임의

USB-R

원격 데스크톱

TCP 32111

보안 서버가 TCP 포트 32111에서 원격 데스크톱에 연결하여 외부 클라이언트 디바이스 및 원격 데스크톱 사이에서 USB 리디렉션 트래픽을 교환합니다.

보안 서버

TCP 또는 UDP 임의

Blast Extreme

원격 데스크톱 또는 애플리케이션

TCP 또는 UDP 22443

보안 서버가 TCP 및 UDP 포트 22443에서 원격 데스크톱 및 애플리케이션에 연결하여 Blast Extreme 트래픽을 교환합니다.

보안 서버

TCP 임의

HTTPS

원격 데스크톱

TCP 22443

HTML Access를 사용할 경우 보안 서버가 HTTPS 포트 22443에서 원격 데스크톱에 연결하여 Blast Extreme 에이전트와 통신합니다.

보안 서버

ESP

연결 서버

NAT 통과가 필요하지 않을 경우 AJP13 트래픽이 캡슐화됩니다. ESP는 IP 프로토콜 50이고 포트 번호는 지정되지 않습니다.

연결 서버

ESP

보안 서버

NAT 통과가 필요하지 않을 경우 AJP13 트래픽이 캡슐화됩니다. ESP는 IP 프로토콜 50이고 포트 번호는 지정되지 않습니다.