Apertura de los puertos apropiados en los firewalls

Debe asegurarse de que los puertos adecuados estén abiertos en los firewalls para admitir las diferentes conexiones que se producen entre los distintos componentes involucrados en una implementación DMZ de doble salto. Para obtener más información sobre el proceso de conexión, consulteFlujo de comunicación en una implementación DMZ de doble salto.

La siguiente figura muestra los puertos comunes que se pueden utilizar en una implementación DMZ de doble salto.

Imagen localizada

En la tabla siguiente se muestran las conexiones que se producen a través del primer firewall y los puertos que deben estar abiertos para admitir las conexiones.

Conexiones a través del primer firewall Puertos utilizados
El explorador web de Internet se conecta a Citrix Gateway en la primera DMZ. Nota: Citrix Gateway incluye una opción para redirigir las conexiones que se realizan en el puerto 80 a un puerto seguro. Si habilita esta opción en Citrix Gateway, puede abrir el puerto 80 a través del primer firewall. Cuando un usuario realiza una conexión sin cifrar con Citrix Gateway en el puerto 80, Citrix Gateway redirige automáticamente la conexión a un puerto seguro. Abra el puerto TCP 443 a través del primer firewall.
Citrix Receiver desde Internet se conecta a Citrix Gateway en la primera DMZ. Abra el puerto TCP 443 a través del primer firewall.

En la tabla siguiente se muestran las conexiones que se producen a través del segundo firewall y los puertos que deben estar abiertos para admitir las conexiones.

Conexiones a través del segundo firewall Puertos utilizados
Citrix Gateway en la primera DMZ se conecta a la Interfaz Web en la segunda DMZ. Abra el puerto TCP 80 para una conexión no segura o el puerto TCP 443 para una conexión segura a través del segundo firewall.
Citrix Gateway en la primera DMZ se conecta a Citrix Gateway en la segunda DMZ. Abra el puerto TCP 443 para una conexión SOCKS segura a través del segundo firewall.
Si habilitó la autenticación en Citrix Gateway en la primera DMZ, es posible que este dispositivo necesite conectarse a un servidor de autenticación de la red interna. Abra el puerto TCP en el que el servidor de autenticación escucha las conexiones. Algunos ejemplos incluyen el puerto 1812 para RADIUS y el puerto 389 para LDAP.

En la tabla siguiente se muestran las conexiones que se producen a través del tercer firewall y los puertos que deben estar abiertos para admitir las conexiones.

Conexiones a través del tercer firewall Puertos utilizados
StoreFront o la Interfaz Web en la segunda DMZ se conecta al servicio XML alojado en un servidor de la red interna. Abra el puerto 80 para una conexión no segura o el puerto 443 para una conexión segura a través del tercer firewall.
StoreFront o la Interfaz Web en la segunda DMZ se conecta a Secure Ticket Authority (STA) alojada en un servidor de la red interna. Abra el puerto 80 para una conexión no segura o el puerto 443 para una conexión segura a través del tercer firewall.
Citrix Gateway en la segunda DMZ se conecta al STA que reside en la red segura. Abra el puerto 80 para una conexión no segura o el puerto 443 para una conexión segura a través del tercer firewall.
Citrix Gateway en la segunda DMZ realiza una conexión ICA a una aplicación publicada o escritorio virtual en un servidor de la red interna. Abra el puerto TCP 1494 para admitir conexiones ICA a través del tercer firewall. Si ha habilitado la fiabilidad de la sesión en Citrix Virtual Apps, abra el puerto TCP 2598 en lugar de 1494.
Si habilitó la autenticación en Citrix Gateway en la primera DMZ, es posible que este dispositivo necesite conectarse a un servidor de autenticación de la red interna. Abra el puerto TCP en el que el servidor de autenticación escucha las conexiones. Algunos ejemplos incluyen el puerto 1812 para RADIUS y el puerto 389 para LDAP.

Apertura de los puertos apropiados en los firewalls