在防火墙上打开适当的端口
您必须确保在防火墙上打开相应的端口以支持双跳DMZ部署中涉及的各种组件之间发生的不同连接。有关连接过程的更多信息,请参阅双跳DMZ部署中的通信流程.
如下图所示,可以在双跳DMZ部署中使用常用的端口。
下表显示了通过第一防火墙发生的连接,并且必须是开放的,支持连接的端口。
| 通过第一个防火墙的连接 | 使用的端口 |
|---|---|
| 来自Internet的web浏览器连接到第一个DMZ中的Citrix网关。笔记:Citrix Gateway包括一个选项,可以将在端口80上建立的连接重定向到安全端口。如果您在Citrix Gateway上启用这个选项,您就可以通过第一个防火墙打开端口80。当用户在80端口与Citrix Gateway进行非加密连接时,Citrix Gateway会自动将连接重定向到安全端口。 | 通过第一个防火墙打开TCP端口443。 |
| Citrix Workspace应用程序从Internet连接到第一个DMZ中的Citrix网关。 | 通过第一个防火墙打开TCP端口443。 |
下表显示了通过第二防火墙和必须打开的端口发生的连接以支持连接。
| 通过第二防火墙连接 | 使用的端口 |
|---|---|
| 第一个DMZ中的Citrix Gateway连接到第二个DMZ中的Web接口。 | 对于不安全的连接,打开TCP端口80;对于通过第二防火墙的安全连接,打开TCP端口443。 |
| 第一个DMZ中的Citrix Gateway连接到第二个DMZ中的Citrix Gateway。 | 打开TCP端口443,以便通过第二个防火墙建立安全的SOCKS连接。 |
| 如果在第一个DMZ中启用了Citrix Gateway上的身份验证,则该设备可能需要连接到内部网络中的身份验证服务器。 | 打开身份验证服务器侦听连接的TCP端口。示例包括用于RADIUS的端口1812和用于LDAP的端口389。 |
下表显示了通过第三防火墙和必须打开以支持连接的端口发生的连接。
| 通过第三防火墙的连接 | 使用的端口 |
|---|---|
| 店面或在第二DMZ所连接到XML服务的Web界面托管的内部网络中的服务器上。 | 打开用于未安全连接或端口443的端口80,以通过第三防火墙安全连接。 |
| 第二个DMZ中的店面或Web界面连接到内部网络中服务器上的安全票证颁发机票(STA)。 | 打开用于未安全连接或端口443的端口80,以通过第三防火墙安全连接。 |
| 第二个DMZ中的Citrix网关连接到驻留在安全网络中的STA。 | 打开用于未安全连接或端口443的端口80,以通过第三防火墙安全连接。 |
| 的Citrix网关在第二DMZ使得内部网络中的ICA连接到已发布应用程序或虚拟桌面的服务器上。 | 开启TCP 1494端口,支持通过第三防火墙的ICA连接。如果您在Citrix Virtual Apps上启用了会话可靠性,请打开TCP端口2598而不是1494。 |
| 如果在第一个DMZ中启用了Citrix Gateway上的身份验证,则该设备可能需要连接到内部网络中的身份验证服务器。 | 打开身份验证服务器侦听连接的TCP端口。示例包括用于RADIUS的端口1812和用于LDAP的端口389。 |
在防火墙上打开适当的端口
在这篇文章中
复制!
失败的!