Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.
A implantação de um appliance do Unified Access Gateway baseado em DMZ normalmente inclui dois firewalls:
- É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.
- É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.
A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.
As tabelas a seguir listam os requisitos de porta para os serviços diferentes no
Unified Access Gateway.
Observação: Para que sejam permitidas, todas as portas UDP exigem diagramas de dados de encaminhamento e diagramas de dados de resposta. Os serviços do
Unified Access Gateway usam o DNS para resolver nomes de host. Os endereços IP do servidor DNS são configuráveis. Solicitações de DNS são feitas na porta UDP 53 e, por isso, é importante que um firewall externo não bloqueie essas solicitações ou respostas.
| Porta | Protocolo | Fonte | Alvo/Destino | Descrição |
|---|---|---|---|---|
| 443* ou qualquer porta maior que 1024 | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Unified Access Gateway Endpoint do Secure Email Gateway |
O Secure Email Gateway escuta na porta 11443. Quando a porta 443 ou qualquer outra estiver configurada, a Unified Access Gateway roteará internamente o tráfego do SEG para 11443. |
| 443* ou qualquer porta maior que 1024 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Endpoint do Secure Email Gateway |
O Secure Email Gateway escuta na porta 11443. Quando a porta 443 ou qualquer outra estiver configurada, a Unified Access Gateway roteará internamente o tráfego do SEG para 11443. |
| 443* ou qualquer porta maior que 1024 | HTTPS | Email Notification Service (quando ativado) | Unified Access Gateway Endpoint do Secure Email Gateway |
O Secure Email Gateway escuta na porta 11443. Quando a porta 443 ou qualquer outra estiver configurada, a Unified Access Gateway roteará internamente o tráfego do SEG para 11443. |
| 5701 | TCP | Secure Email Gateway | Secure Email Gateway | Usado para o cache distribuído Hazelcast. |
| 41232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | Usado para o gerenciamento de clusters do Vertx. |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | Usado para funcionalidades Administrativas e de Diagnóstico. |
| Qualquer | HTTPS | Secure Email Gateway | Servidor de e-mail | O SEG conecta-se à porta do ouvinte do servidor de e-mail, normalmente 443, para lidar com o tráfego de e-mail |
| Qualquer | HTTPS | Secure Email Gateway | Servidor de API do Workspace ONE UEM | O SEG busca os dados de configuração e política do Workspace ONE. A porta é normalmente 443. |
| 88 | TCP | Secure Email Gateway | Servidor KDC/Servidor AD | Usado para obter tokens de autenticação Kerberos quando a autenticação KCD está ativada. |
Observação: Como o serviço do Secure Email Gateway (SEG) é executado como um usuário não raiz no Unified Access Gateway; o SEG não pode ser executado nas portas do sistema. Portanto, as portas personalizadas devem ser superiores à porta 1024.
| Porta | Protocolo | Fonte | Destino | Descrição |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme |
| 443 | UDP | Internet | Unified Access Gateway | O UDP 443 é internamente encaminhado para o UDP 9443 no serviço do servidor do túnel UDP no Unified Access Gateway. |
| 8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
| 8443 | TCP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
| 4172 | TCP e UDP | Internet | Unified Access Gateway | PCoIP (opcional) |
| 443 | TCP | Unified Access Gateway | Horizon Connection Server | Horizon Client XML-API, acesso HTML Blast Extreme |
| 22443 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Blast Extreme |
| 4172 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | PCoIP (opcional) |
| 32111 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Canal de estrutura para redirecionamento USB |
| 3389 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Necessário apenas se os Horizon Clients usarem o protocolo RDP. |
| 9427 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Recursos de MMR, CDR e HTML5 Por exemplo, Microsoft Teams Optimization, Browser Redirection e outros. |
Observação: Para permitir que dispositivos cliente externos se conectem a um appliance do
Unified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance do
Unified Access Gateway na DMZ na porta TCP 443. Se utilizar o protocolo Blast, a porta 8443 deverá ser aberta no firewall. Se você usar o Blast através da porta TCP 443, não será necessário abrir o TCP 8443 no firewall.
| Porta | Protocolo | Fonte | Destino | Descrição |
|---|---|---|---|---|
| 443 | HTTPS | Unified Access Gateway | Workspace ONE Intelligence Server | curl -ILvv https://<api_server_hostname>/v1/device/risk_score curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials A resposta esperada é HTTP 401 não autorizado. |
| Porta | Protocolo | Fonte | Destino | Descrição |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Para o tráfego da Web |
| Qualquer | TCP | Unified Access Gateway | Site de intranet | Qualquer porta personalizada configurada na qual a Intranet está fazendo escuta. Por exemplo, 80, 443, 8080 e assim por diante. |
| 88 | TCP | Unified Access Gateway | Servidor KDC/Servidor AD | É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
| 88 | UDP | Unified Access Gateway | Servidor KDC/Servidor AD | É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
| Porta | Protocolo | Fonte | Destino | Descrição |
|---|---|---|---|---|
| 9443 | TCP | IU do administrador | Unified Access Gateway | Interface de gerenciamento |
| Porta | Protocolo | Fonte | Destino | Descrição |
|---|---|---|---|---|
| Qualquer porta > 1024 ou 443* | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
| Qualquer porta > 1024 ou 443* | HTTPS | Serviços de dispositivo do Workspace ONE UEM | Endpoint do Content Gateway do Unified Access Gateway | |
| Qualquer porta > 1024 ou 443* | HTTPS | Console do Workspace ONE UEM | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
| Qualquer porta > 1024 ou 443* | HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Servidor de API do Workspace ONE UEM | |
| Qualquer porta na qual o repositório está fazendo a escuta. | HTTP ou HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante | Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
| 137 – 139 e 445 | CIFS ou PME | Endpoint do Content Gateway do Unified Access Gateway | Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) | Repositórios baseados em PME (Sistemas de arquivos distribuídos, NFS, NetApp OnTap, Nutanix Shares, IBM Share Drives) |
| Porta | Protocolo | Fonte | Alvo/Destino | Descrição |
|---|---|---|---|---|
| Qualquer porta > 1024 ou 443* | HTTP/HTTPS | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | Endpoint do Content Gateway do Unified Access Gateway | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
| Qualquer porta > 1024 ou 443* | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
| Qualquer porta > 1024 ou 443* | TCP | Serviços de dispositivo do Workspace ONE UEM | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
| Qualquer porta > 1024 ou 443* | HTTPS | Console do Workspace ONE UEM | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
| Qualquer porta > 1024 ou 443* | HTTPS | Retransmissão Unified Access Gateway Content Gateway | Servidor de API do Workspace ONE UEM | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
| Qualquer porta > 1024 ou 443* | HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Servidor de API do Workspace ONE UEM | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
| Qualquer porta na qual o repositório está fazendo a escuta. | HTTP ou HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante | Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
| Qualquer porta > 1024 ou 443* | HTTPS | Unified Access Gateway (retransmissão do Content Gateway) | Endpoint do Content Gateway do Unified Access Gateway | *Se for usado 443, Content Gateway irá escutar na porta 10443. |
| 137 – 139 e 445 | CIFS ou PME | Endpoint do Content Gateway do Unified Access Gateway | Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) | Repositórios baseados em PME (Sistemas de arquivos distribuídos, NFS, NetApp OnTap, Nutanix Shares, IBM Share Drives) |
Observação: Como o serviço do
Content Gateway é executado como um usuário não raiz no
Unified Access Gateway, o
Content Gateway não pode ser executado nas portas do sistema e, portanto, as portas personalizadas devem ser > 1024.
| Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
| 8443 * | TCP, UDP | Dispositivos (a partir da Internet e Wi-Fi) | Per-App Tunnel do VMware Tunnel | Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] | 1 |
| Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
| SaaS: 443 : 2001 * |
HTTPS | VMware Tunnel | Servidor de AirWatch Cloud Messaging | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
A resposta esperada é
HTTP 200 OK. |
2 |
| SaaS: 443 No local: 80 ou 443 |
HTTP ou HTTPS | VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
| 80, 443, qualquer TCP | HTTP, HTTPS ou TCP | VMware Tunnel | Recursos internos | Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. | 4 |
| 514 * | UDP | VMware Tunnel | Servidor de syslog |
| Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
| SaaS: 443 No local: 2001 * |
TLS v1.2 | Front-end do VMware Tunnel | AirWatch Cloud Messaging Server | Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. | 2 |
| 8443 | TLS v1.2 | Front-end do VMware Tunnel | Back-end do VMware Tunnel | Telnet do front-end do VMware Tunnel para o servidor de back-end do VMware Tunnel na porta | 3 |
| SaaS: 443 No local: 2001 |
TLS v1.2 | Back-end do VMware Tunnel | Workspace ONE UEMServidor de Cloud Messaging | Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. | 2 |
| 80 ou 443 | TCP | Back-end do VMware Tunnel | Sites internos/aplicativos Web | 4 | |
| 80, 443, qualquer TCP | TCP | Back-end do VMware Tunnel | Recursos internos | 4 | |
| 80 ou 443 | HTTPS | Front-end e back-end do VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
| Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
| SaaS: 443 No local: 2001 |
HTTP ou HTTPS | Front-end do VMware Tunnel | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping A resposta esperada é HTTP 200 OK. |
2 |
| 80 ou 443 | HTTPS ou HTTPS | Front-end e Back-end do VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. O endpoint do VMware Tunnel requer acesso ao endpoint da REST API somente durante a implantação inicial. |
5 |
| 2010 * | HTTPS | Front-end do VMware Tunnel | Back-end do VMware Tunnel | Telnet do Front-end do VMware Tunnel para o servidor de Back-end do VMware Tunnel na porta | 3 |
| 80, 443, qualquer TCP | HTTP, HTTPS ou TCP | Back-end do VMware Tunnel | Recursos internos | Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. | 4 |
| 514 * | UDP | VMware Tunnel | Servidor de syslog |
Os seguintes pontos são válidos para os requisitos do VMware Tunnel.
Observação:
* - Esta porta poderá ser alterada, se necessário, com base nas restrições do seu ambiente.
- Se a porta 443 for usada, o Per-App Tunnel fará a escuta na porta 8443.
Observação: Quando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmo appliance, e o compartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivos para cada serviço. Quando o TLS não está ativado, apenas um nome DNS pode ser usado para ambos os serviços, pois a porta diferenciará o tráfego de entrada. (Para Content Gateway, se a porta 443 for usada, o Content Gateway fará a escuta na porta 10443.)
- Para o VMware Tunnel consultar o console do Workspace ONE UEM para fins de rastreamento e conformidade.
- Para as topologias de Front-end do VMware Tunnel encaminhar solicitações de dispositivo somente para o Back-end interno do VMware Tunnel.
- Para aplicativos utilizando o VMware Tunnel para acessar recursos internos.
- O VMware Tunnel deve se comunicar com a API para a inicialização. Garanta que haja conectividade entre a REST API e o servidor do VMware Tunnel. Vá para para definir a URL do servidor da REST API. Esta página não está disponível para clientes SaaS. A URL da REST API para clientes SaaS mais comumente é a URL do servidor do seu console ou serviços de dispositivos.
