在防火墙上打开适当的端口
您必须确保防火墙上适当的端口是开放的,以支持双跳DMZ部署中涉及的各个组件之间发生的不同连接。有关连接过程的详细信息,请参见DMZ双跳部署的通信流程.
下图显示了双跳DMZ部署中可以使用的常用端口。
下表显示了通过第一个防火墙发生的连接以及必须开放以支持这些连接的端口。
| 通过第一个防火墙的连接 | 使用的端口 |
|---|---|
| 来自Internet的web浏览器连接到第一个DMZ中的Citrix Gateway。注意:Citrix Gateway包括一个选项,可以将在端口80上建立的连接重定向到安全端口。如果在Citrix Gateway上启用该选项,则可以通过第一个防火墙打开端口80。当用户在端口80上与Citrix Gateway进行未加密连接时,Citrix Gateway会自动将连接重定向到安全端口。 | 通过第一个防火墙打开TCP端口443。 |
| 来自Internet的Citrix Workspace应用程序连接到第一个DMZ中的Citrix Gateway。 | 通过第一个防火墙打开TCP端口443。 |
下表显示了通过第二个防火墙发生的连接以及必须开放以支持这些连接的端口。
| 通过第二个防火墙的连接 | 使用的端口 |
|---|---|
| 第一个DMZ中的Citrix网关连接到第二个DMZ中的Web接口。 | 打开TCP端口80(不安全连接)或打开TCP端口443(通过第二台防火墙的安全连接)。 |
| 第一个DMZ中的Citrix Gateway连接到第二个DMZ中的Citrix Gateway。 | 打开TCP端口443,通过第二台防火墙建立安全的SOCKS连接。 |
| 如果您在第一个DMZ中的Citrix Gateway上启用了身份验证,则此设备可能需要连接到内部网络中的身份验证服务器。 | 打开认证服务器侦听连接的TCP端口。例如,RADIUS的端口为1812,LDAP的端口为389。 |
下表显示了通过第三个防火墙发生的连接以及必须开放以支持这些连接的端口。
| 通过第三个防火墙的连接 | 使用的端口 |
|---|---|
| 第二个DMZ中的StoreFront或Web Interface连接到内部网络中服务器上托管的XML服务。 | 打开端口80(不安全连接)或打开端口443(通过第三个防火墙的安全连接)。 |
| 第二个DMZ中的StoreFront或Web接口连接到内部网络中服务器上托管的安全票据颁发机构(STA)。 | 打开端口80(不安全连接)或打开端口443(通过第三个防火墙的安全连接)。 |
| 位于第二个DMZ区域的Citrix Gateway连接到位于安全网络中的STA。 | 打开端口80(不安全连接)或打开端口443(通过第三个防火墙的安全连接)。 |
| 第二个DMZ中的Citrix Gateway与内部网络中服务器上发布的应用程序或虚拟桌面建立ICA连接。 | 开放TCP 1494端口,支持通过第三防火墙进行ICA连接。如果您在Citrix Virtual Apps上启用了会话可靠性,请打开TCP端口2598而不是1494。 |
| 如果您在第一个DMZ中的Citrix Gateway上启用了身份验证,则此设备可能需要连接到内部网络中的身份验证服务器。 | 打开认证服务器侦听连接的TCP端口。例如,RADIUS的端口为1812,LDAP的端口为389。 |
在防火墙上打开适当的端口
在本文中
复制!
失败了!