打开防火墙上的适当端口

您必须确保在防火墙上打开相应的端口,以支持双跳 DMZ 部署中涉及的各个组件之间发生的不同连接。有关连接过程的更多信息,请参阅双跳 DMZ 部署中的通信流

下图显示了可在双跳 DMZ 部署中使用的常用端口。

本地化后的图片

下表显示了通过第一个防火墙发生的连接以及必须打开才能支持连接的端口。

通过第一个防火墙进行连接 使用的端口
来自互联网的 Web 浏览器连接到第一个 DMZ 中的 Citrix 网关。注意: Citrix Gateway 包含一个用于将端口 80 上建立的连接重定向到安全端口的选项。如果在 Citrix 网关上启用此选项,则可以通过第一个防火墙打开端口 80。当用户与端口 80 上的 Citrix 网关建立未加密连接时,Citrix 网关会自动将连接重定向到安全端口。 通过第一个防火墙打开 TCP 端口 443。
从互联网的思杰接收器连接到思杰网关在第一个 DMZ. 通过第一个防火墙打开 TCP 端口 443。

下表显示了通过第二个防火墙发生的连接以及必须打开才能支持连接的端口。

通过第二个防火墙进行连接 使用的端口
第一个 DMZ 中的 Citrix 网关连接到第二个 DMZ 中的 Web 界面。 为不安全的连接打开 TCP 端口 80,或通过第二个防火墙建立安全连接的 TCP 端口 443。
第一个 DMZ 中的 Citrix 网关连接到第二个 DMZ 中的 Citrix 网关。 打开 TCP 端口 443 通过第二个防火墙进行安全的 SOCKS 连接。
如果在第一个 DMZ 中启用 Citrix Gateway 上的身份验证,则此设备可能需要连接到内部网络中的身份验证服务器。 打开身份验证服务器侦听连接的 TCP 端口。示例包括端口 1812 用于 RADIUS 和端口 389 用于 LDAP。

下表显示了通过第三个防火墙发生的连接以及必须打开才能支持连接的端口。

通过第三个防火墙进行连接 使用的端口
StoreFront 或第二个 DMZ 中的 Web 界面连接到内部网络中服务器上托管的 XML 服务。 为不安全的连接打开端口 80 或通过第三个防火墙建立安全连接的端口 443。
StoreFront 或第二个 DMZ 中的 Web 界面连接到内部网络中服务器上托管的安全票证机构 (STA)。 为不安全的连接打开端口 80 或通过第三个防火墙建立安全连接的端口 443。
第二个 DMZ 中的 Citrix 网关连接到驻留在安全网络中的 STA。 为不安全的连接打开端口 80 或通过第三个防火墙建立安全连接的端口 443。
第二个 DMZ 中的 Citrix 网关与内部网络中的服务器上的已发布应用程序或虚拟桌面建立 ICA 连接。 打开 TCP 端口 1494 以通过第三个防火墙支持 ICA 连接。如果在 Citrix 虚拟应用程序上启用了会话可靠性,请打开 TCP 端口 2598 而不是 1494。
如果在第一个 DMZ 中启用 Citrix Gateway 上的身份验证,则此设备可能需要连接到内部网络中的身份验证服务器。 打开身份验证服务器侦听连接的 TCP 端口。示例包括端口 1812 用于 RADIUS 和端口 389 用于 LDAP。

打开防火墙上的适当端口