Gateway

打开防火墙上的相应端口

必须确保在防火墙上打开适当的端口,以支持双跃点 DMZ 部署中涉及的各种组件之间发生的不同连接。有关连接过程的详细信息,请参阅 双跃点 DMZ 部署中的通信流

下图显示了可在双跃点 DMZ 部署中使用的常见端口。

双跃点 DMZ 部署中的常见端口

下表显示了通过第一个防火墙发生的连接以及为支持这些连接而必须打开的端口。

通过第一个防火墙的连接 使用的端口
来自互联网的 Web 浏览器在第一个 DMZ 中连接到 NetScaler Gateway。注意: NetScaler Gateway 包含一个选项,可将在端口 80 上建立的连接重定向到安全端口。如果在 NetScaler Gateway 上启用此选项,则可以通过第一个防火墙打开端口 80。当用户在端口 80 上与 NetScaler Gateway 建立未加密的连接时,NetScaler Gateway 会自动将连接重定向到安全端口。 通过第一个防火墙打开 TCP 端口 443。
来自互联网的 Citrix Workspace 应用程序在第一个 DMZ 中连接到 NetScaler Gateway。 通过第一个防火墙打开 TCP 端口 443。

下表显示了通过第二个防火墙发生的连接以及为支持这些连接而必须打开的端口。

通过第二个防火墙的连接 使用的端口
第一个 DMZ 中的 NetScaler Gateway 连接到第二个 DMZ 中的 Web Interface。 打开 TCP 端口 80 以建立不安全的连接,或打开 TCP 端口 443 以通过第二个防火墙进行安全连接。
第一个 DMZ 中的 NetScaler Gateway 在第二个 DMZ 中连接到 NetScaler Gateway。 打开 TCP 端口 443,通过第二个防火墙建立安全的 SOCKS 连接。
如果您在第一个 DMZ 中的 NetScaler Gateway 上启用了身份验证,则此设备可能需要连接到内部网络中的身份验证服务器。 打开身份验证服务器侦听连接的 TCP 端口。示例包括用于 RADIUS 的端口 1812 和用于 LDAP 的端口 389。

下表显示了通过第三个防火墙发生的连接以及为支持这些连接而必须打开的端口。

通过第三个防火墙的连接 使用的端口
StoreFront 或第二个 DMZ 中的 Web Interface 连接到内部网络中服务器上托管的 XML 服务。 打开端口 80 进行不安全的连接,或打开端口 443 以通过第三个防火墙进行安全连接。
StoreFront 或第二个 DMZ 中的 Web Interface 连接到内部网络中服务器上托管的 Secure Ticket Authority (STA)。 打开端口 80 进行不安全的连接,或打开端口 443 以通过第三个防火墙进行安全连接。
第二个 DMZ 中的 NetScaler Gateway 连接到驻留在安全网络中的 STA。 打开端口 80 进行不安全的连接,或打开端口 443 以通过第三个防火墙进行安全连接。
第二个 DMZ 中的 NetScaler Gateway 与内部网络中服务器上的已发布应用程序或虚拟桌面建立 ICA 连接。 打开 TCP 端口 1494 以支持通过第三个防火墙的 ICA 连接。如果在 Citrix Virtual Apps 上启用了会话可靠性,请打开 TCP 端口 2598 而不是 1494。
如果您在第一个 DMZ 中的 NetScaler Gateway 上启用了身份验证,则此设备可能需要连接到内部网络中的身份验证服务器。 打开身份验证服务器侦听连接的 TCP 端口。示例包括用于 RADIUS 的端口 1812 和用于 LDAP 的端口 389。
打开防火墙上的相应端口