Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.

A implantação de um appliance do Unified Access Gateway baseado em DMZ normalmente inclui dois firewalls:

  • É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.
  • É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.

A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.

As tabelas a seguir listam os requisitos de porta para os serviços diferentes no Unified Access Gateway.
Observação: Para que sejam permitidas, todas as portas UDP exigem diagramas de dados de encaminhamento e diagramas de dados de resposta.
Tabela 1. Requisitos de porta do Horizon View
Porta Protocolo Fonte Destino Descrição
443 TCP Internet Unified Access Gateway Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme
443 UDP Internet Unified Access Gateway O UDP 443 é internamente encaminhado para o UDP 9443 no serviço do servidor do túnel UDP no Unified Access Gateway.
8443 UDP Internet Unified Access Gateway Blast Extreme (opcional)
8443 TCP Internet Unified Access Gateway Blast Extreme (opcional)
4172 TCP e UDP Internet Unified Access Gateway PCoIP (opcional)
443 TCP Unified Access Gateway Agente Horizon Horizon Client XML-API, Blast extreme HTML access, Horizon Air Console Access (HACA)
22443 TCP e UDP Unified Access Gateway Áreas de trabalho e hosts RDS Blast Extreme
4172 TCP e UDP Unified Access Gateway Áreas de trabalho e hosts RDS PCoIP (opcional)
32111 TCP Unified Access Gateway Áreas de trabalho e hosts RDS Canal de estrutura para redirecionamento USB
9427 TCP Unified Access Gateway Áreas de trabalho e hosts RDS MMR e CDR
Observação:

Para permitir que dispositivos cliente externos se conectem a um appliance do Unified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance do Unified Access Gateway dentro da DMZ na porta TCP 443. Se for usado o protocolo Blast, a porta 8443 deve estar aberta no firewall, mas é possível configurar também o Blast para a porta 443.

Tabela 2. Requisitos de porta para proxy reverso da Web
Porta Protocolo Fonte Destino Descrição
443 TCP Internet Unified Access Gateway Para o tráfego da Web
Qualquer TCP Unified Access Gateway Site de intranet Qualquer porta personalizada configurada na qual a Intranet está fazendo escuta. Por exemplo, 80, 443, 8080 e assim por diante.
88 TCP Unified Access Gateway Servidor KDC/Servidor AD É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado.
88 UDP Unified Access Gateway Servidor KDC/Servidor AD É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado.
Tabela 3. Requisitos de porta para a interface do usuário do administrador
Porta Protocolo Fonte Destino Descrição
9443 TCP IU do administrador Unified Access Gateway Interface de gerenciamento
Tabela 4. Requisitos de porta para a configuração de endpoint básico do Content Gateway
Porta Protocolo Fonte Destino Descrição
443* ou qualquer porta > 1024 HTTPS Dispositivos (a partir da Internet e Wi-Fi) Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
443* ou qualquer porta > 1024 HTTPS Serviços de dispositivo do VMware AirWatch Endpoint do Content Gateway do Unified Access Gateway
443* ou qualquer porta > 1024 HTTPS Console do Workspace ONE UEM Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
Qualquer porta na qual o repositório está fazendo a escuta. HTTP ou HTTPS Endpoint do Content Gateway do Unified Access Gateway Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta.
137 – 139 e 445 CIFS ou PME Endpoint do Content Gateway do Unified Access Gateway Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) Compartilhamentos de Intranet
Tabela 5. Requisitos de porta para a configuração do endpoint de retransmissão do Content Gateway
Porta Protocolo Fonte Alvo/Destino Descrição
443* ou qualquer porta > 1024 HTTP/HTTPS Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
443* ou qualquer porta > 1024 HTTPS Dispositivos (a partir da Internet e Wi-Fi) Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) Se for usado 443, Content Gateway irá escutar na porta 10443.
443* ou qualquer porta > 1024 TCP Serviços de dispositivo do AirWatch Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) Se for usado 443, Content Gateway irá escutar na porta 10443.
443* ou qualquer porta > 1024 HTTPS Workspace ONE UEM Console
Qualquer porta na qual o repositório está fazendo a escuta. HTTP ou HTTPS Endpoint do Content Gateway do Unified Access Gateway Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta.
443* ou qualquer porta > 1024 HTTPS Unified Access Gateway (retransmissão do Content Gateway) Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
137 – 139 e 445 CIFS ou PME Endpoint do Content Gateway do Unified Access Gateway Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) Compartilhamentos de intranet
Observação: Como o serviço do Content Gateway é executado como um usuário não raiz no Unified Access Gateway, o Content Gateway não pode ser executado nas portas do sistema e, portanto, as portas personalizadas devem ser > 1024.
Tabela 6. Requisitos de porta para VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
2020 * HTTPS Dispositivos (a partir da Internet e Wi-Fi) Proxy do VMware Tunnel Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port]
8443 * TCP Dispositivos (a partir da Internet e Wi-Fi) Per-App Tunnel do VMware Tunnel Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] 1
Tabela 7. Configuração básica do endpoint do VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
SaaS: 443

: 2001 *

HTTPS VMware Tunnel Servidor de AirWatch Cloud Messaging curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

A resposta esperada é HTTP 200 OK.

2
SaaS: 443

No local: 80 ou 443

HTTP ou HTTPS VMware Tunnel Endpoint da REST API do Workspace ONE UEM
  • SaaS:https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • No local: Mais comumente seu servidor de console ou DS
curl -Ivv https://<API URL>/api/mdm/ping

A resposta esperada é HTTP 401 não autorizado.

5
80, 443, qualquer TCP HTTP, HTTPS ou TCP VMware Tunnel Recursos internos Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. 4
514 * UDP VMware Tunnel Servidor de syslog
No local: 2020 HTTPS Console do Workspace ONE UEM Proxy do VMware Tunnel Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> 6
Tabela 8. Configuração em cascata do VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
SaaS: 443

No local: 2001 *

TLS v1.2 Front-end do VMware Tunnel Servidor de AirWatch Cloud Messaging Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. 2
8443 TLS v1.2 Front-end do VMware Tunnel Back-end do VMware Tunnel Telnet do front-end do VMware Tunnel para o servidor de back-end do VMware Tunnel na porta 3
SaaS: 443

No local: 2001

TLS v1.2 Back-end do VMware Tunnel Servidor de AirWatch Cloud Messaging Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. 2
80 ou 443 TCP Back-end do VMware Tunnel Sites internos/aplicativos Web 4
80, 443, qualquer TCP TCP Back-end do VMware Tunnel Recursos internos 4
80 ou 443 HTTPS Front-end e back-end do VMware Tunnel Endpoint da REST API do Workspace ONE UEM
  • SaaS:https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • No local: Mais comumente seu servidor de console ou DS
curl -Ivv https://<API URL>/api/mdm/ping

A resposta esperada é HTTP 401 não autorizado.

5
Tabela 9. Configuração do endpoint de retransmissão do VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
SaaS: 443

No local: 2001

HTTP ou HTTPS Retransmissão do VMware Tunnel Servidor de AirWatch Cloud Messaging curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

A resposta esperada é HTTP 200 OK.

2
80 ou 443 HTTPS ou HTTPS Endpoint e retransmissão do VMware Tunnel Endpoint da REST API do Workspace ONE UEM
  • SaaS:https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • No local: Mais comumente seu servidor de console ou DS
curl -Ivv https://<API URL>/api/mdm/ping

A resposta esperada é HTTP 401 não autorizado.

O endpoint do VMware Tunnel requer acesso ao endpoint da REST API somente durante a implantação inicial.

5
2010 * HTTPS Retransmissão do VMware Tunnel Endpoint do VMware Tunnel Telnet da retransmissão do VMware Tunnel para o servidor de endpoint do VMware Tunnel na porta 3
80, 443, qualquer TCP HTTP, HTTPS ou TCP Endpoint do VMware Tunnel Recursos internos Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. 4
514 * UDP VMware Tunnel Servidor de syslog
No local: 2020 HTTPS Workspace ONE UEM Proxy do VMware Tunnel Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> 6
Observação: Os seguintes pontos são válidos para os requisitos do VMware Tunnel.

* - Esta porta poderá ser alterada, se necessário, com base nas restrições do seu ambiente.

  1. Se a porta 443 for usada, o Per-App Tunnel fará a escuta na porta 8443.
    Observação: Quando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmo appliance, e o compartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivos para cada serviço. Quando o TLS não está ativado, apenas um nome DNS pode ser usado para ambos os serviços, pois a porta diferenciará o tráfego de entrada. (Para Content Gateway, se a porta 443 for usada, o Content Gateway fará a escuta na porta 10443.)
  2. Para o VMware Tunnel consultar o console do Workspace ONE UEM para fins de rastreamento e conformidade.
  3. Para as topologias de retransmissão do VMware Tunnel encaminhar solicitações de dispositivo somente para o endpoint interno do VMware Tunnel.
  4. Para aplicativos utilizando o VMware Tunnel para acessar recursos internos.
  5. O VMware Tunnel deve se comunicar com a API para a inicialização. Garanta que haja conectividade entre a REST API e o servidor do VMware Tunnel. Vá para Grupos e ajustes > Todas as configurações > Sistema > Avançado > URLs do site para definir a URL do servidor da REST API. Esta página não está disponível para clientes SaaS. A URL da REST API para clientes SaaS mais comumente é a URL do servidor do seu console ou serviços de dispositivos.
  6. Isso é necessário para uma "Conexão de teste" bem-sucedida com o proxy do VMware Tunnel no console do Workspace ONE UEM. O requisito é opcional e pode ser omitido sem a perda de funcionalidade para os dispositivos. Para clientes de SaaS, o console do Workspace ONE UEM talvez já tenha conectividade de entrada com o proxy do VMware Tunnel na porta 2020 devido ao requisito de Internet de entrada na porta 2020.