Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.
A implantação de um appliance do Unified Access Gateway baseado em DMZ normalmente inclui dois firewalls:
É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.
É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.
A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.
As tabelas a seguir listam os requisitos de porta para os serviços diferentes no Unified Access Gateway.
Para que sejam permitidas, todas as portas UDP exigem diagramas de dados de encaminhamento e diagramas de dados de resposta.
Porta |
Protocolo |
Fonte |
Destino |
Descrição |
|---|---|---|---|---|
443 |
TCP |
Internet |
Unified Access Gateway |
Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme |
443 |
UDP |
Internet |
Unified Access Gateway |
O UDP 443 é internamente encaminhado para o UDP 9443 no serviço do servidor do túnel UDP no Unified Access Gateway. |
8443 |
UDP |
Internet |
Unified Access Gateway |
Blast Extreme (opcional) |
8443 |
TCP |
Internet |
Unified Access Gateway |
Blast Extreme (opcional) |
4172 |
TCP e UDP |
Internet |
Unified Access Gateway |
PCoIP (opcional) |
443 |
TCP |
Unified Access Gateway |
Horizon Connection Server |
Horizon Client XML-API, Blast extreme HTML access, Horizon Air Console Access (HACA) |
22443 |
TCP e UDP |
Unified Access Gateway |
Áreas de trabalho e hosts RDS |
Blast Extreme |
4172 |
TCP e UDP |
Unified Access Gateway |
Áreas de trabalho e hosts RDS |
PCoIP (opcional) |
32111 |
TCP |
Unified Access Gateway |
Áreas de trabalho e hosts RDS |
Canal de estrutura para redirecionamento USB |
9427 |
TCP |
Unified Access Gateway |
Áreas de trabalho e hosts RDS |
MMR e CDR |
Para permitir que dispositivos cliente externos se conectem a um appliance do Unified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance do Unified Access Gateway dentro da DMZ na porta TCP 443. Se for usado o protocolo Blast, a porta 8443 deve estar aberta no firewall, mas é possível configurar também o Blast para a porta 443.
Porta |
Protocolo |
Fonte |
Destino |
Descrição |
|---|---|---|---|---|
443 |
TCP |
Internet |
Unified Access Gateway |
Para o tráfego da Web |
Qualquer |
TCP |
Unified Access Gateway |
Site de intranet |
Qualquer porta personalizada configurada na qual a Intranet está fazendo escuta. Por exemplo, 80, 443, 8080 e assim por diante. |
88 |
TCP |
Unified Access Gateway |
Servidor KDC/Servidor AD |
É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
88 |
UDP |
Unified Access Gateway |
Servidor KDC/Servidor AD |
É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
Porta |
Protocolo |
Fonte |
Destino |
Descrição |
|---|---|---|---|---|
9443 |
TCP |
IU do administrador |
Unified Access Gateway |
Interface de gerenciamento |
Porta |
Protocolo |
Fonte |
Destino |
Descrição |
|---|---|---|---|---|
443* ou qualquer porta > 1024 |
HTTPS |
Dispositivos (a partir da Internet e Wi-Fi) |
Endpoint do Content Gateway do Unified Access Gateway |
Se for usado 443, Content Gateway irá escutar na porta 10443. |
443* ou qualquer porta > 1024 |
HTTPS |
Serviços de dispositivo do VMware AirWatch |
Endpoint do Content Gateway do Unified Access Gateway |
|
443* ou qualquer porta > 1024 |
HTTPS |
Console do Workspace ONE UEM |
Endpoint do Content Gateway do Unified Access Gateway |
Se for usado 443, Content Gateway irá escutar na porta 10443. |
Qualquer porta na qual o repositório está fazendo a escuta. |
HTTP ou HTTPS |
Endpoint do Content Gateway do Unified Access Gateway |
Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante |
Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
137 – 139 e 445 |
CIFS ou PME |
Endpoint do Content Gateway do Unified Access Gateway |
Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) |
Compartilhamentos de Intranet |
Porta |
Protocolo |
Fonte |
Alvo/Destino |
Descrição |
|---|---|---|---|---|
443* ou qualquer porta > 1024 |
HTTP/HTTPS |
Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) |
Endpoint do Content Gateway do Unified Access Gateway |
Se for usado 443, Content Gateway irá escutar na porta 10443. |
443* ou qualquer porta > 1024 |
HTTPS |
Dispositivos (a partir da Internet e Wi-Fi) |
Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) |
Se for usado 443, Content Gateway irá escutar na porta 10443. |
443* ou qualquer porta > 1024 |
TCP |
Serviços de dispositivo do AirWatch |
Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) |
Se for usado 443, Content Gateway irá escutar na porta 10443. |
443* ou qualquer porta > 1024 |
HTTPS |
Workspace ONE UEM Console |
||
Qualquer porta na qual o repositório está fazendo a escuta. |
HTTP ou HTTPS |
Endpoint do Content Gateway do Unified Access Gateway |
Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante |
Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
443* ou qualquer porta > 1024 |
HTTPS |
Unified Access Gateway (retransmissão do Content Gateway) |
Endpoint do Content Gateway do Unified Access Gateway |
Se for usado 443, Content Gateway irá escutar na porta 10443. |
137 – 139 e 445 |
CIFS ou PME |
Endpoint do Content Gateway do Unified Access Gateway |
Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) |
Compartilhamentos de Intranet |
Como o serviço do Content Gateway é executado como um usuário não raiz no Unified Access Gateway, o Content Gateway não pode ser executado nas portas do sistema e, portanto, as portas personalizadas devem ser > 1024.
Porta |
Protocolo |
Fonte |
Alvo/Destino |
Verificação |
Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
2020 * |
HTTPS |
Dispositivos (a partir da Internet e Wi-Fi) |
Proxy do VMware Tunnel |
Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] |
|
8443 * |
TCP |
Dispositivos (a partir da Internet e Wi-Fi) |
Per-App Tunnel do VMware Tunnel |
Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] |
1 |
Porta |
Protocolo |
Fonte |
Alvo/Destino |
Verificação |
Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
SaaS: 443 : 2001 * |
HTTPS |
VMware Tunnel |
Servidor de AirWatch Cloud Messaging |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping A resposta esperada é HTTP 200 OK. |
2 |
SaaS: 443 No local: 80 ou 443 |
HTTP ou HTTPS |
VMware Tunnel |
Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
80, 443, qualquer TCP |
HTTP, HTTPS ou TCP |
VMware Tunnel |
Recursos internos |
Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. |
4 |
514 * |
UDP |
VMware Tunnel |
Servidor de syslog |
||
No local: 2020 |
HTTPS |
Console do Workspace ONE UEM |
Proxy do VMware Tunnel |
Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> |
6 |
Porta |
Protocolo |
Fonte |
Alvo/Destino |
Verificação |
Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
SaaS: 443 No local: 2001 * |
TLS v1.2 |
Front-end do VMware Tunnel |
Servidor de AirWatch Cloud Messaging |
Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. |
2 |
8443 |
TLS v1.2 |
Front-end do VMware Tunnel |
Back-end do VMware Tunnel |
Telnet do front-end do VMware Tunnel para o servidor de back-end do VMware Tunnel na porta |
3 |
SaaS: 443 No local: 2001 |
TLS v1.2 |
Back-end do VMware Tunnel |
Servidor de AirWatch Cloud Messaging |
Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. |
2 |
80 ou 443 |
TCP |
Back-end do VMware Tunnel |
Sites internos/aplicativos Web |
4 |
|
80, 443, qualquer TCP |
TCP |
Back-end do VMware Tunnel |
Recursos internos |
4 |
|
80 ou 443 |
HTTPS |
Front-end e back-end do VMware Tunnel |
Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
Porta |
Protocolo |
Fonte |
Alvo/Destino |
Verificação |
Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
SaaS: 443 No local: 2001 |
HTTP ou HTTPS |
Retransmissão do VMware Tunnel |
Servidor de AirWatch Cloud Messaging |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping A resposta esperada é HTTP 200 OK. |
2 |
80 ou 443 |
HTTPS ou HTTPS |
Endpoint e retransmissão do VMware Tunnel |
Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. O endpoint do VMware Tunnel requer acesso ao endpoint da REST API somente durante a implantação inicial. |
5 |
2010 * |
HTTPS |
Retransmissão do VMware Tunnel |
Endpoint do VMware Tunnel |
Telnet da retransmissão do VMware Tunnel para o servidor de endpoint do VMware Tunnel na porta |
3 |
80, 443, qualquer TCP |
HTTP, HTTPS ou TCP |
Endpoint do VMware Tunnel |
Recursos internos |
Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. |
4 |
514 * |
UDP |
VMware Tunnel |
Servidor de syslog |
||
No local: 2020 |
HTTPS |
Workspace ONE UEM |
Proxy do VMware Tunnel |
Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> |
6 |
Os seguintes pontos são válidos para os requisitos do VMware Tunnel.
* - Esta porta poderá ser alterada, se necessário, com base nas restrições do seu ambiente.
Se a porta 443 for usada, o Per-App Tunnel fará a escuta na porta 8443.
Observação:Quando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmo appliance, e o compartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivos para cada serviço. Quando o TLS não está ativado, apenas um nome DNS pode ser usado para ambos os serviços, pois a porta diferenciará o tráfego de entrada. (Para Content Gateway, se a porta 443 for usada, o Content Gateway fará a escuta na porta 10443.)
Para o VMware Tunnel consultar o console do Workspace ONE UEM para fins de rastreamento e conformidade.
Para as topologias de retransmissão do VMware Tunnel encaminhar solicitações de dispositivo somente para o endpoint interno do VMware Tunnel.
Para aplicativos utilizando o VMware Tunnel para acessar recursos internos.
O VMware Tunnel deve se comunicar com a API para a inicialização. Garanta que haja conectividade entre a REST API e o servidor do VMware Tunnel. Vá para para definir a URL do servidor da REST API. Esta página não está disponível para clientes SaaS. A URL da REST API para clientes SaaS mais comumente é a URL do servidor do seu console ou serviços de dispositivos.
Isso é necessário para uma "Conexão de teste" bem-sucedida com o proxy do VMware Tunnel no console do Workspace ONE UEM. O requisito é opcional e pode ser omitido sem a perda de funcionalidade para os dispositivos. Para clientes de SaaS, o console do Workspace ONE UEM talvez já tenha conectividade de entrada com o proxy do VMware Tunnel na porta 2020 devido ao requisito de Internet de entrada na porta 2020.
