Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.
A implantação de um appliance do Unified Access Gateway baseado em DMZ normalmente inclui dois firewalls:
- É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.
- É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.
A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.
Porta | Protocolo | Fonte | Alvo/Destino | Descrição |
---|---|---|---|---|
443* ou qualquer porta maior que 1024 | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Unified Access Gateway Endpoint do Secure Email Gateway |
O Secure Email Gateway escuta na porta 11443. Quando a porta 443 ou qualquer outra estiver configurada, a Unified Access Gateway roteará internamente o tráfego do SEG para 11443. |
443* ou qualquer porta maior que 1024 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Endpoint do Secure Email Gateway |
O Secure Email Gateway escuta na porta 11443. Quando a porta 443 ou qualquer outra estiver configurada, a Unified Access Gateway roteará internamente o tráfego do SEG para 11443. |
443* ou qualquer porta maior que 1024 | HTTPS | Email Notification Service (quando ativado) | Unified Access Gateway Endpoint do Secure Email Gateway |
O Secure Email Gateway escuta na porta 11443. Quando a porta 443 ou qualquer outra estiver configurada, a Unified Access Gateway roteará internamente o tráfego do SEG para 11443. |
5701 | TCP | Secure Email Gateway | Secure Email Gateway | Usado para o cache distribuído Hazelcast. |
41232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | Usado para o gerenciamento de clusters do Vertx. |
44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | Usado para funcionalidades Administrativas e de Diagnóstico. |
Qualquer | HTTPS | Secure Email Gateway | Servidor de e-mail | O SEG conecta-se à porta do ouvinte do servidor de e-mail, normalmente 443, para lidar com o tráfego de e-mail |
Qualquer | HTTPS | Secure Email Gateway | Servidor de API do Workspace ONE UEM | O SEG busca os dados de configuração e política do Workspace ONE. A porta é normalmente 443. |
88 | TCP | Secure Email Gateway | Servidor KDC/Servidor AD | Usado para obter tokens de autenticação Kerberos quando a autenticação KCD está ativada. |
Porta | Protocolo | Fonte | Destino | Descrição |
---|---|---|---|---|
443 | TCP | Internet | Unified Access Gateway | Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme |
443 | UDP | Internet | Unified Access Gateway | O UDP 443 é internamente encaminhado para o UDP 9443 no serviço do servidor do túnel UDP no Unified Access Gateway. |
8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
8443 | TCP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
4172 | TCP e UDP | Internet | Unified Access Gateway | PCoIP (opcional) |
443 | TCP | Unified Access Gateway | Horizon Connection Server | Horizon Client XML-API, Blast extreme HTML access, Horizon Air Console Access (HACA) |
22443 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Blast Extreme |
4172 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | PCoIP (opcional) |
32111 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Canal de estrutura para redirecionamento USB |
3389 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Necessário apenas se os Horizon Clients usarem o protocolo RDP. |
9427 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Recursos de MMR, CDR e HTML5 Por exemplo, Microsoft Teams Optimization, Browser Redirection e outros. |
Porta | Protocolo | Fonte | Destino | Descrição |
---|---|---|---|---|
443 | TCP | Internet | Unified Access Gateway | Para o tráfego da Web |
Qualquer | TCP | Unified Access Gateway | Site de intranet | Qualquer porta personalizada configurada na qual a Intranet está fazendo escuta. Por exemplo, 80, 443, 8080 e assim por diante. |
88 | TCP | Unified Access Gateway | Servidor KDC/Servidor AD | É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
88 | UDP | Unified Access Gateway | Servidor KDC/Servidor AD | É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
Porta | Protocolo | Fonte | Destino | Descrição |
---|---|---|---|---|
9443 | TCP | IU do administrador | Unified Access Gateway | Interface de gerenciamento |
Porta | Protocolo | Fonte | Destino | Descrição |
---|---|---|---|---|
Qualquer porta > 1024 ou 443* | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta > 1024 ou 443* | HTTPS | Serviços de dispositivo do Workspace ONE UEM | Endpoint do Content Gateway do Unified Access Gateway | |
Qualquer porta > 1024 ou 443* | HTTPS | Console do Workspace ONE UEM | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta > 1024 ou 443* | HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Servidor de API do Workspace ONE UEM | |
Qualquer porta na qual o repositório está fazendo a escuta. | HTTP ou HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante | Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
137 – 139 e 445 | CIFS ou PME | Endpoint do Content Gateway do Unified Access Gateway | Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) | Compartilhamentos de Intranet |
Porta | Protocolo | Fonte | Alvo/Destino | Descrição |
---|---|---|---|---|
Qualquer porta > 1024 ou 443* | HTTP/HTTPS | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | Endpoint do Content Gateway do Unified Access Gateway | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta > 1024 ou 443* | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta > 1024 ou 443* | TCP | Serviços de dispositivo do Workspace ONE UEM | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta > 1024 ou 443* | HTTPS | Console do Workspace ONE UEM | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta > 1024 ou 443* | HTTPS | Retransmissão Unified Access Gateway Content Gateway | Servidor de API do Workspace ONE UEM | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta > 1024 ou 443* | HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Servidor de API do Workspace ONE UEM | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta na qual o repositório está fazendo a escuta. | HTTP ou HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante | Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
Qualquer porta > 1024 ou 443* | HTTPS | Unified Access Gateway (retransmissão do Content Gateway) | Endpoint do Content Gateway do Unified Access Gateway | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
137 – 139 e 445 | CIFS ou PME | Endpoint do Content Gateway do Unified Access Gateway | Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) | Compartilhamentos de Intranet |
Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
---|---|---|---|---|---|
8443 * | TCP, UDP | Dispositivos (a partir da Internet e Wi-Fi) | Per-App Tunnel do VMware Tunnel | Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] | 1 |
Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
---|---|---|---|---|---|
SaaS: 443 : 2001 * |
HTTPS | VMware Tunnel | Servidor de AirWatch Cloud Messaging | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
A resposta esperada é
HTTP 200 OK. |
2 |
SaaS: 443 No local: 80 ou 443 |
HTTP ou HTTPS | VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
80, 443, qualquer TCP | HTTP, HTTPS ou TCP | VMware Tunnel | Recursos internos | Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. | 4 |
514 * | UDP | VMware Tunnel | Servidor de syslog |
Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
---|---|---|---|---|---|
SaaS: 443 No local: 2001 * |
TLS v1.2 | Front-end do VMware Tunnel | AirWatch Cloud Messaging Server | Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. | 2 |
8443 | TLS v1.2 | Front-end do VMware Tunnel | Back-end do VMware Tunnel | Telnet do front-end do VMware Tunnel para o servidor de back-end do VMware Tunnel na porta | 3 |
SaaS: 443 No local: 2001 |
TLS v1.2 | Back-end do VMware Tunnel | Workspace ONE UEMServidor de Cloud Messaging | Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. | 2 |
80 ou 443 | TCP | Back-end do VMware Tunnel | Sites internos/aplicativos Web | 4 | |
80, 443, qualquer TCP | TCP | Back-end do VMware Tunnel | Recursos internos | 4 | |
80 ou 443 | HTTPS | Front-end e back-end do VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
---|---|---|---|---|---|
SaaS: 443 No local: 2001 |
HTTP ou HTTPS | Front-end do VMware Tunnel | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping A resposta esperada é HTTP 200 OK. |
2 |
80 ou 443 | HTTPS ou HTTPS | Front-end e Back-end do VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. O endpoint do VMware Tunnel requer acesso ao endpoint da REST API somente durante a implantação inicial. |
5 |
2010 * | HTTPS | Front-end do VMware Tunnel | Back-end do VMware Tunnel | Telnet do Front-end do VMware Tunnel para o servidor de Back-end do VMware Tunnel na porta | 3 |
80, 443, qualquer TCP | HTTP, HTTPS ou TCP | Back-end do VMware Tunnel | Recursos internos | Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. | 4 |
514 * | UDP | VMware Tunnel | Servidor de syslog |
Os seguintes pontos são válidos para os requisitos do VMware Tunnel.
- Se a porta 443 for usada, o Per-App Tunnel fará a escuta na porta 8443.
Observação: Quando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmo appliance, e o compartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivos para cada serviço. Quando o TLS não está ativado, apenas um nome DNS pode ser usado para ambos os serviços, pois a porta diferenciará o tráfego de entrada. (Para Content Gateway, se a porta 443 for usada, o Content Gateway fará a escuta na porta 10443.)
- Para o VMware Tunnel consultar o console do Workspace ONE UEM para fins de rastreamento e conformidade.
- Para as topologias de Front-end do VMware Tunnel encaminhar solicitações de dispositivo somente para o Back-end interno do VMware Tunnel.
- Para aplicativos utilizando o VMware Tunnel para acessar recursos internos.
- O VMware Tunnel deve se comunicar com a API para a inicialização. Garanta que haja conectividade entre a REST API e o servidor do VMware Tunnel. Vá para para definir a URL do servidor da REST API. Esta página não está disponível para clientes SaaS. A URL da REST API para clientes SaaS mais comumente é a URL do servidor do seu console ou serviços de dispositivos.