ファイアウォールで適切なポートを開く

ダブルホップ DMZ 展開に関連するさまざまなコンポーネント間で発生するさまざまな接続をサポートするために、ファイアウォールで適切なポートが開いていることを確認する必要があります。接続処理の詳細については、「ダブルホップDMZ配置における通信フロー」を参照してください。

次の図は、ダブルホップ DMZ 配置で使用できる一般的なポートを示しています。

ローカライズされた画像

次の表に、最初のファイアウォールを介して発生する接続と、接続をサポートするために開く必要があるポートを示します。

最初のファイアウォールを介した接続 使用するポート
インターネットからのWebブラウザは、最初のDMZでCitrix Gateway に接続します。注: Citrix Gateway には、ポート80で行われた接続をセキュアなポートにリダイレクトするオプションがあります。Citrix Gateway でこのオプションを有効にすると、最初のファイアウォールからポート80を開くことができます。ユーザーがポート80でCitrix Gateway に暗号化されていない接続を行うと、Citrix Gatewayは自動的に安全なポートにリダイレクトされます。 最初のファイアウォールを介して TCP ポート 443 を開きます。
インターネットからのCitrix Workspace アプリは、最初のDMZでCitrix Gateway に接続します. 最初のファイアウォールを介して TCP ポート 443 を開きます。

次の表に、2 番目のファイアウォールを介して発生する接続と、接続をサポートするために開く必要があるポートを示します。

2 番目のファイアウォールを介した接続 使用するポート
最初のDMZのCitrix Gateway は、2番目のDMZのWeb Interfaceに接続します. セキュリティで保護されていない接続の場合は TCP ポート 80、2 番目のファイアウォールを経由してセキュリティで保護された接続の場合は TCP ポート 443 のいずれかを開きます。
最初のDMZのCitrix Gateway は、2番目のDMZのCitrix Gateway に接続します. TCP ポート 443 を開いて、2 番目のファイアウォールを介したセキュアな SOCKS 接続を確立します。
最初のDMZでCitrix Gateway で認証を有効にした場合、このアプライアンスは内部ネットワークの認証サーバーに接続する必要があります。 認証サーバが接続をリッスンする TCP ポートを開きます。たとえば、RADIUS 用のポート 1812、LDAP 用のポート 389 などがあります。

次の表に、3 番目のファイアウォールを介して発生する接続と、接続をサポートするために開く必要があるポートを示します。

3 番目のファイアウォールを介した接続 使用するポート
StoreFront または2番目のDMZのWeb Interfaceは、内部ネットワークのサーバーでホストされているXMLサービスに接続します。 セキュリティで保護されていない接続の場合はポート 80、3 番目のファイアウォールを介した安全な接続の場合はポート 443 のいずれかを開きます。
StoreFront または2番目のDMZのWeb Interfaceは、内部ネットワークのサーバーでホストされているSecure Ticket Authority(STA)に接続します。 セキュリティで保護されていない接続の場合はポート 80、3 番目のファイアウォールを介した安全な接続の場合はポート 443 のいずれかを開きます。
2つ目のDMZのCitrix Gateway は、安全なネットワーク内に存在するSTAに接続します。 セキュリティで保護されていない接続の場合はポート 80、3 番目のファイアウォールを介した安全な接続の場合はポート 443 のいずれかを開きます。
2番目のDMZのCitrix Gateway は、内部ネットワーク上のサーバー上の公開アプリケーションまたは仮想デスクトップにICA接続を行います。 TCPポート1494を開き、3番目のファイアウォールを介したICA接続をサポートします。Citrix Virtual Apps セッション画面の保持を有効にした場合は、1494ではなくTCPポート2598を開きます。
最初のDMZでCitrix Gateway で認証を有効にした場合、このアプライアンスは内部ネットワークの認証サーバーに接続する必要があります。 認証サーバが接続をリッスンする TCP ポートを開きます。たとえば、RADIUS 用のポート 1812、LDAP 用のポート 389 などがあります。

ファイアウォールで適切なポートを開く