Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.

A implantação de um appliance do Unified Access Gateway baseado em DMZ normalmente inclui dois firewalls:

  • É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.
  • É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.

A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.

As tabelas a seguir listam os requisitos de porta para os serviços diferentes no Unified Access Gateway.
Observação: Para que sejam permitidas, todas as portas UDP exigem diagramas de dados de encaminhamento e diagramas de dados de resposta. Os serviços do Unified Access Gateway usam o DNS para resolver nomes de host. Os endereços IP do servidor DNS são configuráveis. Solicitações de DNS são feitas na porta UDP 53 e, por isso, é importante que um firewall externo não bloqueie essas solicitações ou respostas.
Tabela 1. Requisitos de Porta para o Secure Email Gateway
Porta Protocolo Fonte Alvo/Destino Descrição
443* ou qualquer porta maior que 1024 HTTPS Dispositivos (a partir da Internet e Wi-Fi)

Unified Access Gateway

Endpoint do Secure Email Gateway

O Secure Email Gateway escuta na porta 11443. Quando a porta 443 ou qualquer outra estiver configurada, a Unified Access Gateway roteará internamente o tráfego do SEG para 11443.
443* ou qualquer porta maior que 1024 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Endpoint do Secure Email Gateway

O Secure Email Gateway escuta na porta 11443. Quando a porta 443 ou qualquer outra estiver configurada, a Unified Access Gateway roteará internamente o tráfego do SEG para 11443.
443* ou qualquer porta maior que 1024 HTTPS Email Notification Service (quando ativado)

Unified Access Gateway

Endpoint do Secure Email Gateway

O Secure Email Gateway escuta na porta 11443. Quando a porta 443 ou qualquer outra estiver configurada, a Unified Access Gateway roteará internamente o tráfego do SEG para 11443.
5701 TCP Secure Email Gateway Secure Email Gateway Usado para o cache distribuído Hazelcast.
41232 TLS/TCP Secure Email Gateway Secure Email Gateway Usado para o gerenciamento de clusters do Vertx.
44444 HTTPS Secure Email Gateway Secure Email Gateway Usado para funcionalidades Administrativas e de Diagnóstico.
Qualquer HTTPS Secure Email Gateway Servidor de e-mail O SEG conecta-se à porta do ouvinte do servidor de e-mail, normalmente 443, para lidar com o tráfego de e-mail
Qualquer HTTPS Secure Email Gateway Servidor de API do Workspace ONE UEM O SEG busca os dados de configuração e política do Workspace ONE. A porta é normalmente 443.
88 TCP Secure Email Gateway Servidor KDC/Servidor AD Usado para obter tokens de autenticação Kerberos quando a autenticação KCD está ativada.
Observação: Como o serviço do Secure Email Gateway (SEG) é executado como um usuário não raiz no Unified Access Gateway; o SEG não pode ser executado nas portas do sistema. Portanto, as portas personalizadas devem ser superiores à porta 1024.
Tabela 2. Requisitos de porta do Horizon
Porta Protocolo Fonte Destino Descrição
443 TCP Internet Unified Access Gateway Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme
443 UDP Internet Unified Access Gateway O UDP 443 é internamente encaminhado para o UDP 9443 no serviço do servidor do túnel UDP no Unified Access Gateway.
8443 UDP Internet Unified Access Gateway Blast Extreme (opcional)
8443 TCP Internet Unified Access Gateway Blast Extreme (opcional)
4172 TCP e UDP Internet Unified Access Gateway PCoIP (opcional)
443 TCP Unified Access Gateway Horizon Connection Server Horizon Client XML-API, Blast extreme HTML access, Horizon Air Console Access (HACA)
22443 TCP e UDP Unified Access Gateway Áreas de trabalho e hosts RDS Blast Extreme
4172 TCP e UDP Unified Access Gateway Áreas de trabalho e hosts RDS PCoIP (opcional)
32111 TCP Unified Access Gateway Áreas de trabalho e hosts RDS Canal de estrutura para redirecionamento USB
3389 TCP Unified Access Gateway Áreas de trabalho e hosts RDS Necessário apenas se os Horizon Clients usarem o protocolo RDP.
9427 TCP Unified Access Gateway Áreas de trabalho e hosts RDS Recursos de MMR, CDR e HTML5 Por exemplo, Microsoft Teams Optimization, Browser Redirection e outros.
Observação: Para permitir que dispositivos cliente externos se conectem a um appliance do Unified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance do Unified Access Gateway na DMZ na porta TCP 443. Se utilizar o protocolo Blast, a porta 8443 deverá ser aberta no firewall. Se você usar o Blast através da porta TCP 443, não será necessário abrir o TCP 8443 no firewall.
Tabela 3. Requisitos de porta para proxy reverso da Web
Porta Protocolo Fonte Destino Descrição
443 TCP Internet Unified Access Gateway Para o tráfego da Web
Qualquer TCP Unified Access Gateway Site de intranet Qualquer porta personalizada configurada na qual a Intranet está fazendo escuta. Por exemplo, 80, 443, 8080 e assim por diante.
88 TCP Unified Access Gateway Servidor KDC/Servidor AD É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado.
88 UDP Unified Access Gateway Servidor KDC/Servidor AD É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado.
Tabela 4. Requisitos de porta para a interface do usuário do administrador
Porta Protocolo Fonte Destino Descrição
9443 TCP IU do administrador Unified Access Gateway Interface de gerenciamento
Tabela 5. Requisitos de porta para a configuração de endpoint básico do Content Gateway
Porta Protocolo Fonte Destino Descrição
Qualquer porta > 1024 ou 443* HTTPS Dispositivos (a partir da Internet e Wi-Fi) Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
Qualquer porta > 1024 ou 443* HTTPS Serviços de dispositivo do Workspace ONE UEM Endpoint do Content Gateway do Unified Access Gateway
Qualquer porta > 1024 ou 443* HTTPS Console do Workspace ONE UEM Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
Qualquer porta > 1024 ou 443* HTTPS Endpoint do Content Gateway do Unified Access Gateway Servidor de API do Workspace ONE UEM
Qualquer porta na qual o repositório está fazendo a escuta. HTTP ou HTTPS Endpoint do Content Gateway do Unified Access Gateway Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta.
137 – 139 e 445 CIFS ou PME Endpoint do Content Gateway do Unified Access Gateway Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) Compartilhamentos de Intranet
Tabela 6. Requisitos de porta para a configuração do endpoint de retransmissão do Content Gateway
Porta Protocolo Fonte Alvo/Destino Descrição
Qualquer porta > 1024 ou 443* HTTP/HTTPS Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) Endpoint do Content Gateway do Unified Access Gateway *Se for usado 443, Content Gateway irá escutar na porta 10443.
Qualquer porta > 1024 ou 443* HTTPS Dispositivos (a partir da Internet e Wi-Fi) Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) *Se for usado 443, Content Gateway irá escutar na porta 10443.
Qualquer porta > 1024 ou 443* TCP Serviços de dispositivo do Workspace ONE UEM Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) *Se for usado 443, Content Gateway irá escutar na porta 10443.
Qualquer porta > 1024 ou 443* HTTPS Console do Workspace ONE UEM Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) *Se for usado 443, Content Gateway irá escutar na porta 10443.
Qualquer porta > 1024 ou 443* HTTPS Retransmissão Unified Access Gateway Content Gateway Servidor de API do Workspace ONE UEM *Se for usado 443, Content Gateway irá escutar na porta 10443.
Qualquer porta > 1024 ou 443* HTTPS Endpoint do Content Gateway do Unified Access Gateway Servidor de API do Workspace ONE UEM *Se for usado 443, Content Gateway irá escutar na porta 10443.
Qualquer porta na qual o repositório está fazendo a escuta. HTTP ou HTTPS Endpoint do Content Gateway do Unified Access Gateway Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta.
Qualquer porta > 1024 ou 443* HTTPS Unified Access Gateway (retransmissão do Content Gateway) Endpoint do Content Gateway do Unified Access Gateway *Se for usado 443, Content Gateway irá escutar na porta 10443.
137 – 139 e 445 CIFS ou PME Endpoint do Content Gateway do Unified Access Gateway Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) Compartilhamentos de Intranet
Observação: Como o serviço do Content Gateway é executado como um usuário não raiz no Unified Access Gateway, o Content Gateway não pode ser executado nas portas do sistema e, portanto, as portas personalizadas devem ser > 1024.
Tabela 7. Requisitos de porta para VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
8443 * TCP, UDP Dispositivos (a partir da Internet e Wi-Fi) Per-App Tunnel do VMware Tunnel Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] 1
Tabela 8. Configuração básica do endpoint do VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
SaaS: 443

: 2001 *

HTTPS VMware Tunnel Servidor de AirWatch Cloud Messaging curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
A resposta esperada é
HTTP 200 OK
.
2
SaaS: 443

No local: 80 ou 443

HTTP ou HTTPS VMware Tunnel Endpoint da REST API do Workspace ONE UEM
  • SaaS:https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • No local: Mais comumente seu servidor de console ou DS
curl -Ivv https://<API URL>/api/mdm/ping

A resposta esperada é HTTP 401 não autorizado.

5
80, 443, qualquer TCP HTTP, HTTPS ou TCP VMware Tunnel Recursos internos Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. 4
514 * UDP VMware Tunnel Servidor de syslog
Tabela 9. Configuração em cascata do VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
SaaS: 443

No local: 2001 *

TLS v1.2 Front-end do VMware Tunnel AirWatch Cloud Messaging Server Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. 2
8443 TLS v1.2 Front-end do VMware Tunnel Back-end do VMware Tunnel Telnet do front-end do VMware Tunnel para o servidor de back-end do VMware Tunnel na porta 3
SaaS: 443

No local: 2001

TLS v1.2 Back-end do VMware Tunnel Workspace ONE UEMServidor de Cloud Messaging Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. 2
80 ou 443 TCP Back-end do VMware Tunnel Sites internos/aplicativos Web 4
80, 443, qualquer TCP TCP Back-end do VMware Tunnel Recursos internos 4
80 ou 443 HTTPS Front-end e back-end do VMware Tunnel Endpoint da REST API do Workspace ONE UEM
  • SaaS:https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • No local: Mais comumente seu servidor de console ou DS
curl -Ivv https://<API URL>/api/mdm/ping

A resposta esperada é HTTP 401 não autorizado.

5
Tabela 10. Configuração de Front-end e Back-end do VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
SaaS: 443

No local: 2001

HTTP ou HTTPS Front-end do VMware Tunnel AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

A resposta esperada é HTTP 200 OK.

2
80 ou 443 HTTPS ou HTTPS Front-end e Back-end do VMware Tunnel Endpoint da REST API do Workspace ONE UEM
  • SaaS:https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • No local: Mais comumente seu servidor de console ou DS
curl -Ivv https://<API URL>/api/mdm/ping

A resposta esperada é HTTP 401 não autorizado.

O endpoint do VMware Tunnel requer acesso ao endpoint da REST API somente durante a implantação inicial.

5
2010 * HTTPS Front-end do VMware Tunnel Back-end do VMware Tunnel Telnet do Front-end do VMware Tunnel para o servidor de Back-end do VMware Tunnel na porta 3
80, 443, qualquer TCP HTTP, HTTPS ou TCP Back-end do VMware Tunnel Recursos internos Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. 4
514 * UDP VMware Tunnel Servidor de syslog

Os seguintes pontos são válidos para os requisitos do VMware Tunnel.

Observação: * - Esta porta poderá ser alterada, se necessário, com base nas restrições do seu ambiente.
  1. Se a porta 443 for usada, o Per-App Tunnel fará a escuta na porta 8443.
    Observação: Quando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmo appliance, e o compartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivos para cada serviço. Quando o TLS não está ativado, apenas um nome DNS pode ser usado para ambos os serviços, pois a porta diferenciará o tráfego de entrada. (Para Content Gateway, se a porta 443 for usada, o Content Gateway fará a escuta na porta 10443.)
  2. Para o VMware Tunnel consultar o console do Workspace ONE UEM para fins de rastreamento e conformidade.
  3. Para as topologias de Front-end do VMware Tunnel encaminhar solicitações de dispositivo somente para o Back-end interno do VMware Tunnel.
  4. Para aplicativos utilizando o VMware Tunnel para acessar recursos internos.
  5. O VMware Tunnel deve se comunicar com a API para a inicialização. Garanta que haja conectividade entre a REST API e o servidor do VMware Tunnel. Vá para Grupos e Configurações > Todas as Configurações > Sistema > Avançado > URLs do Site para definir a URL do servidor da REST API. Esta página não está disponível para clientes SaaS. A URL da REST API para clientes SaaS mais comumente é a URL do servidor do seu console ou serviços de dispositivos.