在防火墙上打开适当的端口
您必须确保在防火墙上打开适当的端口,以支持在双跳DMZ部署中涉及的各种组件之间发生的不同连接。有关连接过程的详细信息,请参见双跳DMZ部署的通信流程.
下图展示了双跳DMZ部署中可以使用的常见端口。
下表显示了通过第一个防火墙发生的连接,以及为了支持连接必须开放的端口。
| 连接通过第一个防火墙 | 使用的端口 |
|---|---|
| Internet上的web浏览器连接到第一个DMZ中的Citrix Gateway。注意:Citrix Gateway包含一个选项,可以将在端口80上建立的连接重定向到安全端口。如果您在Citrix Gateway上启用此选项,您可以通过第一个防火墙打开80端口。当用户在端口80上对Citrix Gateway进行不加密的连接时,Citrix Gateway会自动将连接重定向到一个安全端口。 | 通过第一个防火墙打开TCP端口443。 |
| 来自Internet的Citrix Receiver连接到第一个DMZ中的Citrix Gateway。 | 通过第一个防火墙打开TCP端口443。 |
下表显示了通过第二个防火墙发生的连接,以及为了支持连接而必须打开的端口。
| 通过第二个防火墙的连接 | 使用的端口 |
|---|---|
| 第一个DMZ中的Citrix Gateway连接到第二个DMZ中的Web Interface。 | 为不安全的连接打开TCP端口80,为通过第二个防火墙的安全连接打开TCP端口443。 |
| 第一个DMZ中的Citrix Gateway与第二个DMZ中的Citrix Gateway连接。 | 打开TCP端口443,通过第二个防火墙建立安全的SOCKS连接。 |
| 如果您在第一个DMZ中的Citrix Gateway上启用了身份验证,那么此设备可能需要连接到内部网络中的身份验证服务器。 | 打开认证服务器侦听连接的TCP端口。例如,RADIUS的端口是1812,LDAP的端口是389。 |
下表显示了通过第三个防火墙发生的连接,以及为了支持连接必须开放的端口。
| 连接通过第三个防火墙 | 使用的端口 |
|---|---|
| 第二个DMZ中的StoreFront或Web Interface连接到内部网络中服务器上托管的XML服务。 | 为不安全的连接打开端口80,为通过第三个防火墙的安全连接打开端口443。 |
| 第二个DMZ中的StoreFront或Web接口连接到内部网络中服务器上的安全票据颁发机构(STA)。 | 为不安全的连接打开端口80,为通过第三个防火墙的安全连接打开端口443。 |
| 位于第二个DMZ区的Citrix Gateway连接到安全网络中的用户。 | 为不安全的连接打开端口80,为通过第三个防火墙的安全连接打开端口443。 |
| 第二个DMZ中的Citrix Gateway与内部网络中服务器上发布的应用程序或虚拟桌面建立ICA连接。 | 打开TCP端口1494,支持通过第三防火墙进行ICA连接。如果您在Citrix虚拟应用程序上启用了会话可靠性,则需要打开TCP端口2598而不是1494。 |
| 如果您在第一个DMZ中的Citrix Gateway上启用了身份验证,那么此设备可能需要连接到内部网络中的身份验证服务器。 | 打开认证服务器侦听连接的TCP端口。例如,RADIUS的端口是1812,LDAP的端口是389。 |
在防火墙上打开适当的端口
在这篇文章中
复制!
失败了!