Citrix Gateway

Öffnen der entsprechenden Ports an den Firewalls

Sie müssen sicherstellen, dass die entsprechenden Ports an den Firewalls geöffnet sind, um die verschiedenen Verbindungen zu unterstützen, die zwischen den verschiedenen Komponenten einer Double-Hop-DMZ-Bereitstellung auftreten. Weitere Informationen zum Verbindungsvorgang finden Sie unter Kommunikationsfluss in einer Double-Hop-DMZ-Bereitstellung.

Die folgende Abbildung zeigt gemeinsame Ports, die in einer Double-Hop-DMZ-Bereitstellung verwendet werden können.

Gemeinsame Ports in einer Double-Hop-DMZ-Bereitstellung

Die folgende Tabelle zeigt die Verbindungen, die über die erste Firewall entstehen, und die Ports, die geöffnet sein müssen, um die Verbindungen zu unterstützen.

Verbindungen durch die erste Firewall Benutzte Ports
Der Webbrowser aus dem Internet stellt in der ersten DMZ eine Verbindung zu Citrix Gateway her. Hinweis: Citrix Gateway enthält eine Option zum Umleiten von Verbindungen, die an Port 80 hergestellt werden, an einen sicheren Port. Wenn Sie diese Option auf Citrix Gateway aktivieren, können Sie Port 80 über die erste Firewall öffnen. Wenn ein Benutzer eine unverschlüsselte Verbindung zu Citrix Gateway auf Port 80 herstellt, leitet Citrix Gateway die Verbindung automatisch an einen sicheren Port um. Öffnen Sie den TCP-Port 443 durch die erste Firewall.
Die Citrix Workspace-App aus dem Internet stellt in der ersten DMZ eine Verbindung zu Citrix Gateway her. Öffnen Sie den TCP-Port 443 durch die erste Firewall.

Die folgende Tabelle zeigt die Verbindungen, die über die zweite Firewall entstehen, und die Ports, die geöffnet sein müssen, um die Verbindungen zu unterstützen.

Verbindungen durch die zweite Firewall Benutzte Ports
Citrix Gateway in der ersten DMZ stellt eine Verbindung zum Webinterface in der zweiten DMZ her. Öffnen Sie entweder TCP-Port 80 für eine unsichere Verbindung oder TCP-Port 443 für eine sichere Verbindung durch die zweite Firewall.
Citrix Gateway in der ersten DMZ stellt eine Verbindung zu Citrix Gateway in der zweiten DMZ her. Öffnen Sie den TCP-Port 443 für eine sichere SOCKS-Verbindung durch die zweite Firewall.
Wenn Sie die Authentifizierung auf Citrix Gateway in der ersten DMZ aktiviert haben, muss dieses Gerät möglicherweise eine Verbindung zu einem Authentifizierungsserver im internen Netzwerk herstellen. Öffnen Sie den TCP-Port, an dem der Authentifizierungsserver auf Verbindungen wartet. Beispiele sind Port 1812 für RADIUS und Port 389 für LDAP.

Die folgende Tabelle zeigt die Verbindungen, die über die dritte Firewall entstehen, und die Ports, die geöffnet sein müssen, um die Verbindungen zu unterstützen.

Verbindungen durch die dritte Firewall Benutzte Ports
StoreFront oder das Webinterface in der zweiten DMZ stellt eine Verbindung zum XML-Dienst her, der auf einem Server im internen Netzwerk gehostet wird. Öffnen Sie entweder Port 80 für eine unsichere Verbindung oder Port 443 für eine sichere Verbindung durch die dritte Firewall.
StoreFront oder das Webinterface in der zweiten DMZ stellt eine Verbindung zur Secure Ticket Authority (STA) her, die auf einem Server im internen Netzwerk gehostet wird. Öffnen Sie entweder Port 80 für eine unsichere Verbindung oder Port 443 für eine sichere Verbindung durch die dritte Firewall.
Citrix Gateway in der zweiten DMZ stellt eine Verbindung zur STA her, die sich im sicheren Netzwerk befindet. Öffnen Sie entweder Port 80 für eine unsichere Verbindung oder Port 443 für eine sichere Verbindung durch die dritte Firewall.
Citrix Gateway stellt in der zweiten DMZ eine ICA-Verbindung zu einer veröffentlichten Anwendung oder einem virtuellen Desktop auf einem Server im internen Netzwerk her. Öffnen Sie den TCP-Port 1494, um ICA-Verbindungen über die dritte Firewall zu unterstützen. Wenn Sie die Sitzungszuverlässigkeit in Citrix Virtual Apps aktiviert haben, öffnen Sie den TCP-Port 2598 anstelle von 1494.
Wenn Sie die Authentifizierung auf Citrix Gateway in der ersten DMZ aktiviert haben, muss dieses Gerät möglicherweise eine Verbindung zu einem Authentifizierungsserver im internen Netzwerk herstellen. Öffnen Sie den TCP-Port, an dem der Authentifizierungsserver auf Verbindungen wartet. Beispiele sind Port 1812 für RADIUS und Port 389 für LDAP.
Öffnen der entsprechenden Ports an den Firewalls