Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.
A implantação de um appliance do Unified Access Gateway baseado em DMZ normalmente inclui dois firewalls:
- É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.
- É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.
A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.
Porta | Protocolo | Fonte | Destino | Descrição |
---|---|---|---|---|
443 | TCP | Internet | Unified Access Gateway | Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme |
443 | UDP | Internet | Unified Access Gateway | O UDP 443 é internamente encaminhado para o UDP 9443 no serviço do servidor do túnel UDP no Unified Access Gateway. |
8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
8443 | TCP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
4172 | TCP e UDP | Internet | Unified Access Gateway | PCoIP (opcional) |
443 | TCP | Unified Access Gateway | Agente Horizon | Horizon Client XML-API, Blast extreme HTML access, Horizon Air Console Access (HACA) |
22443 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Blast Extreme |
4172 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | PCoIP (opcional) |
32111 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Canal de estrutura para redirecionamento USB |
9427 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | MMR e CDR |
Para permitir que dispositivos cliente externos se conectem a um appliance do Unified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance do Unified Access Gateway dentro da DMZ na porta TCP 443. Se for usado o protocolo Blast, a porta 8443 deve estar aberta no firewall, mas é possível configurar também o Blast para a porta 443.
Porta | Protocolo | Fonte | Destino | Descrição |
---|---|---|---|---|
443 | TCP | Internet | Unified Access Gateway | Para o tráfego da Web |
Qualquer | TCP | Unified Access Gateway | Site de intranet | Qualquer porta personalizada configurada na qual a Intranet está fazendo escuta. Por exemplo, 80, 443, 8080 e assim por diante. |
88 | TCP | Unified Access Gateway | Servidor KDC/Servidor AD | É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
88 | UDP | Unified Access Gateway | Servidor KDC/Servidor AD | É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
Porta | Protocolo | Fonte | Destino | Descrição |
---|---|---|---|---|
9443 | TCP | IU do administrador | Unified Access Gateway | Interface de gerenciamento |
Porta | Protocolo | Fonte | Destino | Descrição |
---|---|---|---|---|
443* ou qualquer porta > 1024 | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
443* ou qualquer porta > 1024 | HTTPS | Serviços de dispositivo do VMware AirWatch | Endpoint do Content Gateway do Unified Access Gateway | |
443* ou qualquer porta > 1024 | HTTPS | Console do Workspace ONE UEM | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta na qual o repositório está fazendo a escuta. | HTTP ou HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante | Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
137 – 139 e 445 | CIFS ou PME | Endpoint do Content Gateway do Unified Access Gateway | Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) | Compartilhamentos de Intranet |
Porta | Protocolo | Fonte | Alvo/Destino | Descrição |
---|---|---|---|---|
443* ou qualquer porta > 1024 | HTTP/HTTPS | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
443* ou qualquer porta > 1024 | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | Se for usado 443, Content Gateway irá escutar na porta 10443. |
443* ou qualquer porta > 1024 | TCP | Serviços de dispositivo do AirWatch | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | Se for usado 443, Content Gateway irá escutar na porta 10443. |
443* ou qualquer porta > 1024 | HTTPS | Workspace ONE UEM Console | ||
Qualquer porta na qual o repositório está fazendo a escuta. | HTTP ou HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante | Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
443* ou qualquer porta > 1024 | HTTPS | Unified Access Gateway (retransmissão do Content Gateway) | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
137 – 139 e 445 | CIFS ou PME | Endpoint do Content Gateway do Unified Access Gateway | Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) | Compartilhamentos de Intranet |
Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
---|---|---|---|---|---|
2020 * | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Proxy do VMware Tunnel | Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] | |
8443 * | TCP | Dispositivos (a partir da Internet e Wi-Fi) | Per-App Tunnel do VMware Tunnel | Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] | 1 |
Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
---|---|---|---|---|---|
SaaS: 443 : 2001 * |
HTTPS | VMware Tunnel | Servidor de AirWatch Cloud Messaging | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping A resposta esperada é HTTP 200 OK. |
2 |
SaaS: 443 No local: 80 ou 443 |
HTTP ou HTTPS | VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
80, 443, qualquer TCP | HTTP, HTTPS ou TCP | VMware Tunnel | Recursos internos | Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. | 4 |
514 * | UDP | VMware Tunnel | Servidor de syslog | ||
No local: 2020 | HTTPS | Console do Workspace ONE UEM | Proxy do VMware Tunnel | Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> | 6 |
Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
---|---|---|---|---|---|
SaaS: 443 No local: 2001 * |
TLS v1.2 | Front-end do VMware Tunnel | Servidor de AirWatch Cloud Messaging | Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. | 2 |
8443 | TLS v1.2 | Front-end do VMware Tunnel | Back-end do VMware Tunnel | Telnet do front-end do VMware Tunnel para o servidor de back-end do VMware Tunnel na porta | 3 |
SaaS: 443 No local: 2001 |
TLS v1.2 | Back-end do VMware Tunnel | Servidor de AirWatch Cloud Messaging | Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. | 2 |
80 ou 443 | TCP | Back-end do VMware Tunnel | Sites internos/aplicativos Web | 4 | |
80, 443, qualquer TCP | TCP | Back-end do VMware Tunnel | Recursos internos | 4 | |
80 ou 443 | HTTPS | Front-end e back-end do VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
---|---|---|---|---|---|
SaaS: 443 No local: 2001 |
HTTP ou HTTPS | Retransmissão do VMware Tunnel | Servidor de AirWatch Cloud Messaging | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping A resposta esperada é HTTP 200 OK. |
2 |
80 ou 443 | HTTPS ou HTTPS | Endpoint e retransmissão do VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. O endpoint do VMware Tunnel requer acesso ao endpoint da REST API somente durante a implantação inicial. |
5 |
2010 * | HTTPS | Retransmissão do VMware Tunnel | Endpoint do VMware Tunnel | Telnet da retransmissão do VMware Tunnel para o servidor de endpoint do VMware Tunnel na porta | 3 |
80, 443, qualquer TCP | HTTP, HTTPS ou TCP | Endpoint do VMware Tunnel | Recursos internos | Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. | 4 |
514 * | UDP | VMware Tunnel | Servidor de syslog | ||
No local: 2020 | HTTPS | Workspace ONE UEM | Proxy do VMware Tunnel | Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> | 6 |
* - Esta porta poderá ser alterada, se necessário, com base nas restrições do seu ambiente.
- Se a porta 443 for usada, o Per-App Tunnel fará a escuta na porta 8443.
Observação: Quando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmo appliance, e o compartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivos para cada serviço. Quando o TLS não está ativado, apenas um nome DNS pode ser usado para ambos os serviços, pois a porta diferenciará o tráfego de entrada. (Para Content Gateway, se a porta 443 for usada, o Content Gateway fará a escuta na porta 10443.)
- Para o VMware Tunnel consultar o console do Workspace ONE UEM para fins de rastreamento e conformidade.
- Para as topologias de retransmissão do VMware Tunnel encaminhar solicitações de dispositivo somente para o endpoint interno do VMware Tunnel.
- Para aplicativos utilizando o VMware Tunnel para acessar recursos internos.
- O VMware Tunnel deve se comunicar com a API para a inicialização. Garanta que haja conectividade entre a REST API e o servidor do VMware Tunnel. Vá para para definir a URL do servidor da REST API. Esta página não está disponível para clientes SaaS. A URL da REST API para clientes SaaS mais comumente é a URL do servidor do seu console ou serviços de dispositivos.
Isso é necessário para uma "Conexão de teste" bem-sucedida com o proxy do VMware Tunnel no console do Workspace ONE UEM. O requisito é opcional e pode ser omitido sem a perda de funcionalidade para os dispositivos. Para clientes de SaaS, o console do Workspace ONE UEM talvez já tenha conectividade de entrada com o proxy do VMware Tunnel na porta 2020 devido ao requisito de Internet de entrada na porta 2020.