DMZ 型安全伺服器需要在前端和後端防火牆設定某些防火牆規則。在安裝期間,View 服務預設設為接聽特定網路連接埠。必要時,您可以變更使用的連接埠號碼,以遵守組織政策或避免發生爭用情況。

重要事項︰

如需其他詳細資料和安全建議事項,請參閱View 安全性》文件。

前端防火牆規則

若要允許外部用戶端裝置連線至 DMZ 內的安全伺服器,前端防火牆必須允許特定 TCP 和 UDP 連接埠的流量。1 摘要了前端防火牆規則。

表格 1. 前端防火牆規則

來源

預設連接埠

通訊協定

目的地

預設連接埠

備註

Horizon Client

TCP 任何連接埠

HTTP

安全伺服器

TCP 80

(選用) 外部用戶端裝置會在 TCP 連接埠 80 連線至 DMZ 內的安全伺服器,然後自動導向至 HTTPS。如需瞭解允許使用者使用 HTTP (而不是 HTTPS) 進行連線的相關安全考量,請參閱View 安全性》指南。

Horizon Client

TCP 任何連接埠

HTTPS

安全伺服器

TCP 443

外部用戶端裝置會在 TCP 連接埠 443 連線至 DMZ 內的安全伺服器,以便與連線伺服器執行個體、遠端桌面平台和應用程式進行通訊。

Horizon Client

TCP 任何連接埠

UDP 任何連接埠

PCoIP

安全伺服器

TCP 4172

UDP 4172

外部用戶端裝置會在 TCP 連接埠 4172 和 UDP 連接埠 4172 連線至 DMZ 內的安全伺服器,以便透過 PCoIP 與遠端桌面平台或應用程式進行通訊。

安全伺服器

UDP 4172

PCoIP

Horizon Client

UDP 任何連接埠

安全伺服器會從 UDP 連接埠 4172 將 PCoIP 資料傳回至外部用戶端裝置。目的地 UDP 連接埠將是所接收 UDP 封包的來源連接埠。由於這些封包包含回覆資料,所以通常不需要為此流量新增明確防火牆規則。

Horizon Client 或用戶端網頁瀏覽器

TCP 任何連接埠

HTTPS

安全伺服器

TCP 8443

UDP 8443

外部用戶端裝置和外部 Web 用戶端 (HTML Access) 會透過 HTTPS 連接埠 8443 連線至 DMZ 內的安全伺服器,以便與遠端桌面平台進行通訊。

後端防火牆規則

若要允許安全伺服器與內部網路中的所有 View 連線伺服器執行個體進行通訊,後端防火牆將必須允許特定 TCP 連接埠的傳入流量。在後端防火牆的後方,必須以類似方式設定內部防火牆,以允許遠端桌面平台應用程式與 View 連線伺服器執行個體彼此互相進行通訊。2 摘要了後端防火牆規則。

表格 2. 後端防火牆規則

來源

預設連接埠

通訊協定

目的地

預設連接埠

備註

安全伺服器

UDP 500

IPSec

連線伺服器

UDP 500

安全伺服器會在 UDP 連接埠 500 與 View 連線伺服器執行個體交涉 IPsec。

連線伺服器

UDP 500

IPSec

安全伺服器

UDP 500

View 連線伺服器執行個體會在 UDP 連接埠 500 回應安全伺服器。

安全伺服器

UDP 4500

NAT-T ISAKMP

連線伺服器

UDP 4500

如果在安全伺服器及其配對的 View 連線伺服器執行個體之間使用 NAT,則需要此項。安全伺服器會使用 UDP 連接埠 4500 周遊 NAT 並交涉 IPsec 安全性。

連線伺服器

UDP 4500

NAT-T ISAKMP

安全伺服器

UDP 4500

如果使用 NAT,View 連線伺服器執行個體會在 UDP 連接埠 4500 回應安全伺服器。

安全伺服器

TCP 任何連接埠

AJP13

連線伺服器

TCP 8009

安全伺服器會在 TCP 連接埠 8009 連線至 View 連線伺服器執行個體,以轉送來自外部用戶端裝置的 Web 流量。

如果您啟用 IPSec,則 AJP13 流量在配對之後不會使用 TCP 連接埠 8009。而是會透過 NAT-T (UDP 連接埠 4500) 或 ESP 傳送流量。

安全伺服器

TCP 任何連接埠

JMS

連線伺服器

TCP 4001

安全伺服器會在 TCP 連接埠 4001 連線至 View 連線伺服器執行個體,以交換 Java Message Service (JMS) 流量。

安全伺服器

TCP 任何連接埠

JMS

連線伺服器

TCP 4002

安全伺服器會在 TCP 連接埠 4002 連線至 View 連線伺服器執行個體,以交換安全的 Java Message Service (JMS) 流量。

安全伺服器

TCP 任何連接埠

RDP

遠端桌面平台

TCP 3389

安全伺服器會在 TCP 連接埠 3389 連線至遠端桌面平台,以交換 RDP 流量。

安全伺服器

TCP 任何連接埠

MMR

遠端桌面平台

TCP 9427

安全伺服器會在 TCP 連接埠 9427 連線至遠端桌面平台,以接收與多媒體重新導向 (MMR) 和用戶端磁碟機重新導向有關的流量。

安全伺服器

TCP 任何連接埠

UDP 55000

PCoIP

遠端桌面平台或應用程式

TCP 4172

UDP 4172

安全伺服器會在 TCP 連接埠 4172 和 UDP 連接埠 4172 連線至遠端桌面平台和應用程式,以交換 PCoIP 流量。

遠端桌面平台或應用程式

UDP 4172

PCoIP

安全伺服器

UDP 55000

遠端桌面平台和應用程式會從 UDP 連接埠 4172 將 PCoIP 資料回傳至安全伺服器。

目的地 UDP 連接埠將會是所接收 UDP 封包中的來源連接埠,由於這是回覆資料,所以通常不需要為此新增明確防火牆規則。

安全伺服器

TCP 任何連接埠

USB-R

遠端桌面平台

TCP 32111

安全伺服器在 TCP 連接埠 32111 連線至遠端桌面平台,以便在外部用戶端裝置與遠端桌面平台之間交換 USB 重新導向流量。

安全伺服器

TCP 或 UDP 任何連接埠

Blast Extreme

遠端桌面平台或應用程式

TCP 或 UDP 22443

安全伺服器會在 TCP 和 UDP 連接埠 22443 連線至遠端桌面平台和應用程式,以交換 Blast Extreme 流量。

安全伺服器

TCP 任何連接埠

HTTPS

遠端桌面平台

TCP 22443

如果您使用 HTML Access,安全伺服器會在 HTTPS 連接埠 22443 連線至遠端桌面平台,以便與 Blast Extreme 代理程式進行通訊。

安全伺服器

ESP

連線伺服器

無需 NAT 穿越時封裝的 AJP13 流量。ESP 為 IP 通訊協定 50。未指定連接埠號碼。

連線伺服器

ESP

安全伺服器

無需 NAT 穿越時封裝的 AJP13 流量。ESP 為 IP 通訊協定 50。未指定連接埠號碼。