DMZ 型安全伺服器需要在前端和後端防火牆設定某些防火牆規則。在安裝期間,Horizon 7 服務預設設為接聽特定網路連接埠。必要時,您可以變更使用的連接埠號碼,以遵守組織政策或避免發生爭用情況。
重要: 如需其他詳細資料和安全建議事項,請參閱
《Horizon 7 安全性》文件。
前端防火牆規則
若要允許外部用戶端裝置連線至 DMZ 內的安全伺服器,前端防火牆必須允許特定 TCP 和 UDP 連接埠的流量。前端防火牆規則 摘要了前端防火牆規則。
| 來源 | 預設連接埠 | 通訊協定 | 目的地 | 預設連接埠 | 備註 |
|---|---|---|---|---|---|
| Horizon Client | TCP 任何連接埠 | HTTP | 安全伺服器 | TCP 80 | (選用) 外部用戶端裝置會在 TCP 連接埠 80 連線至 DMZ 內的安全伺服器,然後自動導向至 HTTPS。如需瞭解允許使用者使用 HTTP (而不是 HTTPS) 進行連線的相關安全考量,請參閱《Horizon 7 安全性》指南。 |
| Horizon Client | TCP 任何連接埠 | HTTPS | 安全伺服器 | TCP 443 | 外部用戶端裝置會在 TCP 連接埠 443 連線至 DMZ 內的安全伺服器,以便與連線伺服器執行個體、遠端桌面平台和應用程式進行通訊。 |
| Horizon Client | TCP 任何連接埠 UDP 任何連接埠 |
PCoIP | 安全伺服器 | TCP 4172 UDP 4172 |
外部用戶端裝置會在 TCP 連接埠 4172 和 UDP 連接埠 4172 連線至 DMZ 內的安全伺服器,以便透過 PCoIP 與遠端桌面平台或應用程式進行通訊。 |
| 安全伺服器 | UDP 4172 | PCoIP | Horizon Client | UDP 任何連接埠 | 安全伺服器會從 UDP 連接埠 4172 將 PCoIP 資料傳回至外部用戶端裝置。目的地 UDP 連接埠將是所接收 UDP 封包的來源連接埠。由於這些封包包含回覆資料,所以通常不需要為此流量新增明確防火牆規則。 |
| Horizon Client 或用戶端網頁瀏覽器 | TCP 任何連接埠 | HTTPS | 安全伺服器 | TCP 8443 UDP 8443 |
外部用戶端裝置和外部 Web 用戶端 (HTML Access) 會透過 HTTPS 連接埠 8443 連線至 DMZ 內的安全伺服器,以便與遠端桌面平台進行通訊。 |
後端防火牆規則
若要允許安全伺服器與內部網路中的所有 View 連線伺服器執行個體進行通訊,後端防火牆將必須允許特定 TCP 連接埠的傳入流量。在後端防火牆的後方,必須以類似方式設定內部防火牆,以允許遠端桌面平台應用程式與連線伺服器執行個體互相進行通訊。後端防火牆規則 會摘要後端防火牆規則。
| 來源 | 預設連接埠 | 通訊協定 | 目的地 | 預設連接埠 | 備註 |
|---|---|---|---|---|---|
| 安全伺服器 | UDP 500 | IPSec | 連線伺服器 | UDP 500 | 安全伺服器會在 UDP 連接埠 500 與連線伺服器執行個體交涉 IPsec。 |
| 連線伺服器 | UDP 500 | IPSec | 安全伺服器 | UDP 500 | 連線伺服器執行個體會在 UDP 連接埠 500 回應安全伺服器。 |
| 安全伺服器 | UDP 4500 | NAT-T ISAKMP | 連線伺服器 | UDP 4500 | 如果在安全伺服器及其配對的連線伺服器執行個體之間使用 NAT,則需要此項目。安全伺服器會使用 UDP 連接埠 4500 周遊 NAT 並交涉 IPsec 安全性。 |
| 連線伺服器 | UDP 4500 | NAT-T ISAKMP | 安全伺服器 | UDP 4500 | 如果使用 NAT,則連線伺服器執行個體會在 UDP 連接埠 4500 回應安全伺服器。 |
| 安全伺服器 | TCP 任何連接埠 | AJP13 | 連線伺服器 | TCP 8009 | 安全伺服器會在 TCP 連接埠 8009 連線至連線伺服器執行個體,以轉送來自外部用戶端裝置的 Web 流量。 如果您啟用 IPSec,則 AJP13 流量在配對之後不會使用 TCP 連接埠 8009。而是會透過 NAT-T (UDP 連接埠 4500) 或 ESP 傳送流量。 |
| 安全伺服器 | TCP 任何連接埠 | JMS | 連線伺服器 | TCP 4001 | 安全伺服器會在 TCP 連接埠 4001 連線至連線伺服器執行個體,以交換 Java Message Service (JMS) 流量。 |
| 安全伺服器 | TCP 任何連接埠 | JMS | 連線伺服器 | TCP 4002 | 安全伺服器會在 TCP 連接埠 4002 連線至連線伺服器執行個體,以交換安全 Java Message Service (JMS) 流量。 |
| 安全伺服器 | TCP 任何連接埠 | RDP | 遠端桌面平台 | TCP 3389 | 安全伺服器會在 TCP 連接埠 3389 連線至遠端桌面平台,以交換 RDP 流量。 |
| 安全伺服器 | TCP 任何連接埠 | MMR | 遠端桌面平台 | TCP 9427 | 安全伺服器會在 TCP 連接埠 9427 連線至遠端桌面平台,以接收與多媒體重新導向 (MMR) 和用戶端磁碟機重新導向有關的流量。 |
| 安全伺服器 | TCP 任何連接埠 UDP 55000 |
PCoIP | 遠端桌面平台或應用程式 | TCP 4172 UDP 4172 |
安全伺服器會在 TCP 連接埠 4172 和 UDP 連接埠 4172 連線至遠端桌面平台和應用程式,以交換 PCoIP 流量。 |
| 遠端桌面平台或應用程式 | UDP 4172 | PCoIP | 安全伺服器 | UDP 55000 | 遠端桌面平台和應用程式會從 UDP 連接埠 4172 將 PCoIP 資料回傳至安全伺服器。 目的地 UDP 連接埠將會是所接收 UDP 封包中的來源連接埠,由於這是回覆資料,所以通常不需要為此新增明確防火牆規則。 |
| 安全伺服器 | TCP 任何連接埠 | USB-R | 遠端桌面平台 | TCP 32111 | 安全伺服器在 TCP 連接埠 32111 連線至遠端桌面平台,以便在外部用戶端裝置與遠端桌面平台之間交換 USB 重新導向流量。 |
| 安全伺服器 | TCP 或 UDP 任何連接埠 | Blast Extreme | 遠端桌面平台或應用程式 | TCP 或 UDP 22443 | 安全伺服器會在 TCP 和 UDP 連接埠 22443 連線至遠端桌面平台和應用程式,以交換 Blast Extreme 流量。 |
| 安全伺服器 | TCP 任何連接埠 | HTTPS | 遠端桌面平台 | TCP 22443 | 如果您使用 HTML Access,安全伺服器會在 HTTPS 連接埠 22443 連線至遠端桌面平台,以便與 Blast Extreme 代理程式進行通訊。 |
| 安全伺服器 | ESP | 連線伺服器 | 無需 NAT 穿越時封裝的 AJP13 流量。ESP 為 IP 通訊協定 50。未指定連接埠號碼。 | ||
| 連線伺服器 | ESP | 安全伺服器 | 無需 NAT 穿越時封裝的 AJP13 流量。ESP 為 IP 通訊協定 50。未指定連接埠號碼。 |
