防火墙可用于保护网络的各个部分,且必须进行配置以允许 SGD 所需的连接。
本节包括以下主题:
客户端设备必须能够建立与阵列中任何 SGD 服务器的 HTTP 和 AIP 连接。这是因为用户的 SGD 会话和用户的应用程序会话可以托管在不同的 SGD 服务器上。
下表列出了可能需要打开以允许客户端设备与 SGD 服务器之间连接的端口。
源 | 目标 | 端口 | 协议 | 用途 |
---|---|---|---|---|
客户端 | SGD Web 服务器 | 80 | TCP | 未加密的标准 HTTP 请求和响应。 用于显示 Webtops 以及用于 Web 服务。 |
客户端 | SGD Web 服务器 | 443 | TCP | 加密的安全 HTTPS 请求和响应。 用于显示 Webtops 以及用于 Web 服务。 |
客户端 | SGD 服务器 | 3144 | TCP | 未加密的标准 AIP 连接。 用于控制和应用程序显示更新。 |
客户端 | SGD 服务器 | 5307 | TCP | 经过加密的基于 SSL 的安全 AIP 连接。 用于控制和应用程序显示更新。 |
TCP 端口 80 和 443 是 HTTP 和 HTTPS 的 Internet 标准端口。仅当在 SGD Web 服务器上启用了 HTTPS 时才使用端口 443。可以配置 SGD Web 服务器以使用任何端口。
对于默认的安全模式安装(启用 SGD 安全服务并使用 HTTPS),只有端口 443 和 5307 必须在防火墙内部打开。
对于非安全模式安装(连接不受保护),端口 80、3144 和 5307 都必须在防火墙内部打开。这是因为 SGD Client 起初会在端口 5307 上进行安全连接。该连接建立后,连接将降级为端口 3144 上的标准连接。有关在无法打开这些端口时如何配置 SGD 的信息,请参见第 1.5.2 节 “防火墙穿越”。
端口 3144 和 5307 已注册到 Internet 号码分配机构 (Internet Assigned Numbers Authority, IANA),是保留供 SGD 专用的端口。
网络可能包含阵列中的 SGD 服务器之间的防火墙;例如,如果您拥有多个办公地点,而每个办公地点都包含 SGD 服务器。阵列中的 SGD 服务器必须能够连接到阵列的其他任何成员。
下表列出了可能需要打开以允许 SGD 服务器之间连接的端口。
源 | 目标 | 端口 | 协议 | 用途 |
---|---|---|---|---|
SGD 服务器 | 另一个 SGD 服务器 | 515 | TCP | 在使用 tarantella print move 命令将打印作业从一个 SGD 服务器移到另一个 SGD 服务器时使用。 |
SGD 服务器 | 另一个 SGD 服务器 | 1024 及以上 | TCP | 用于支持 Windows 应用程序的音频、智能卡和串行端口。 |
SGD 服务器 | 另一个 SGD 服务器 | 5427 | TCP | 用于 SGD 服务器之间的连接,以允许阵列复制以及阵列中静态和动态数据的共享。 |
端口 5427 已注册到 IANA,保留供 SGD 专用。
如果启用对 Windows 应用程序的音频、智能卡或串行端口的支持,则防火墙必须允许 SGD 服务器之间在 TCP 端口 1024 及以上端口上的连接。管理这些功能的协议引擎在托管用户会话的 SGD 服务器上运行,此服务器可能不同于托管应用程序会话的服务器。如果不使用这些功能,则最好在 SGD 中禁用对它们的支持。有关更多信息,请参见以下内容:
要运行应用程序,SGD 服务器必须能够连接到应用服务器。
用于 SGD 服务器与应用服务器之间的连接的端口取决于应用程序类型以及用于登录到应用服务器的连接方法。需要使用其他端口以便在使用应用程序时提供支持。
下表列出了可能需要打开以允许 SGD 服务器与应用服务器之间连接的端口。
源 | 目标 | 端口 | 协议 | 用途 |
---|---|---|---|---|
SGD 服务器 | 应用服务器 | 22 | TCP | 用于使用 SSH 连接到 X 和字符应用程序。 |
SGD 服务器 | 应用服务器 | 23 | TCP | 用于使用 Telnet 连接到 Windows、X 和字符应用程序。 |
应用服务器 | SGD 服务器 | 139 | TCP | 用于 UNIX 和 Linux 平台客户端驱动器映射服务。不管是否启用了客户端驱动器映射服务,服务器都会在启动时绑定到此端口。 |
应用服务器 | SGD 服务器 | 515 | TCP | 用于将打印作业从应用服务器发送到 SGD 服务器。 |
SGD 服务器 | 应用服务器 | 3389 | TCP | 用于连接到使用 Microsoft RDP 协议的 Windows 应用程序。 |
SGD 服务器 | 应用服务器 | 3579 | TCP | 用于主 SGD 服务器与应用服务器上的 SGD 负载平衡服务之间的连接。 |
应用服务器 | SGD 服务器 | 3579 | UDP | 用于应用服务器上的 SGD 负载平衡服务与主 SGD 服务器之间的连接。 |
SGD 服务器 | 应用服务器 | 5999 | TCP | 用于连接到 Windows 应用程序,前提是应用程序配置为使用 Wincenter 协议并且连接方法为 Telnet。Wincenter 协议不再受支持,但传统 Windows 应用程序对象可能会使用该协议。 |
应用服务器 | SGD 服务器 | 6010 及以上 | TCP | 用于将 X 应用程序连接到 SGD 服务器上的协议引擎。 |
对于 X 应用程序,仅在 X 应用程序的连接方法为 Telnet 时才使用端口 6010 及以上端口。如果连接方法为 SSH,则连接将使用端口 22。如果为 X 应用程序启用音频,则应用服务器与 SGD 之间的所有端口都必须打开。这是因为 SGD 音频守护进程会在随机端口上连接到 SGD 服务器。即使连接方法为 SSH,也适用这种情况。有关详细信息,请参见第 5.3 节 “音频”。
端口 3579 已注册到 IANA,保留供 SGD 专用。如果要使用 SGD 高级负载管理,则只需打开这些端口。有关详细信息,请参见第 7.2.3 节 “Application Load Balancing(应用程序负载平衡)”。
SGD 需要建立与任何可能要使用的验证服务和目录服务的连接。
下表列出了可能需要打开以允许 SGD 服务器与其他服务之间连接的端口。
源 | 目标 | 端口 | 协议 | 用途 |
---|---|---|---|---|
SGD 服务器 | Windows 服务器 | 88 | TCP 或 UDP | 用于在 Active Directory 林中验证用户。 |
SGD 服务器 | LDAP 目录服务器 | 389 | TCP | 用于使用轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 目录验证用户或者将应用程序分配给用户。 |
SGD 服务器 | Windows 服务器 | 464 | TCP 或 UDP | 用于允许用户在自己的密码过期时更改密码。 |
SGD 服务器 | LDAP 目录服务器 | 636 | TCP | 用于使用与 LDAP 目录的安全连接 (LDAPS) 验证用户或者将应用程序分配给用户。 |
SecurID 验证管理器 | SGD 服务器 | 1024 到 65535 | UDP | 用于使用 SecurID 验证用户。 |
SGD 服务器 | Windows 服务器 | 3268 | TCP | 用于在 Active Directory 林中验证用户。 |
SGD 服务器 | Windows 服务器 | 3269 | TCP | 用于在 Active Directory 林中验证用户。 |
SGD 服务器 | SecurID 验证管理器 | 5500 | UDP | 用于使用 SecurID 验证用户。 |
仅当使用 Active Directory 验证时才需要端口 88、464、3268 和 3269。端口 88 和 464 可以使用 TCP 或 UDP 协议,具体取决于包大小以及您的 Kerberos 配置。有关详细信息,请参见第 2.2.4 节 “配置 SGD 进行 Kerberos 验证”。端口 3268 和 3269 仅用于与 Active Directory 的 SSL 连接,有关详细信息,请参见第 2.2.3.5 节 “与 Active Directory 之间的 SSL 连接”。
仅当使用 LDAP 目录建立用户的身份或者向用户分配应用程序时才需要端口 389 和 636。此情形适用于以下验证机制:
Active Directory 验证,请参见第 2.2 节 “Active Directory 验证”
LDAP 验证,请参见第 2.4 节 “LDAP 验证”
使用 LDAP 搜索方法的第三方或 Web 验证,请参见第 2.6 节 “第三方验证和 Web 验证”
仅当使用 SecurID 验证时才需要端口 1024 到 65535。为了让 RSA SecurID 验证管理器与充当代理主机的 SGD 服务器通信,从主、从验证管理器的 IP 地址到所有代理主机的 IP 地址的从 1024 到 65535 的所有端口都必须打开。有关详细信息,请参见第 2.5 节 “SecurID 验证”。
仅当使用 SecurID 验证时才需要端口 5500。为了让 RSA SecurID 验证管理器与充当代理主机的 SGD 服务器通信,从代理主机的 IP 地址到主、从验证管理器的 IP 地址的端口 5500 必须打开。