Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.

A implantação de um appliance do Unified Access Gateway baseado em DMZ normalmente inclui dois firewalls:

  • É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.
  • É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.

A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.

As tabelas a seguir listam os requisitos de porta para os serviços diferentes no Unified Access Gateway.
Observação: Para que sejam permitidas, todas as portas UDP exigem diagramas de dados de encaminhamento e diagramas de dados de resposta.
Tabela 1. Requisitos de Porta para o Secure Email Gateway
Porta Protocolo Fonte Alvo/Destino Descrição
443* ou qualquer porta maior que 1024 HTTPS Dispositivos (a partir da Internet e Wi-Fi)

Unified Access Gateway

Endpoint do Secure Email Gateway

O Secure Email Gateway escuta na porta 11443
443* ou qualquer porta maior que 1024 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Endpoint do Secure Email Gateway

O Secure Email Gateway escuta na porta 11443
443* ou qualquer porta maior que 1024 HTTPS Email Notification Service (quando ativado)

Unified Access Gateway

Endpoint do Secure Email Gateway

O Secure Email Gateway escuta na porta 11443
5701 HTTP Secure Email Gateway Secure Email Gateway Usado para o cache distribuído Hazelcast
41232 HTTPS Secure Email Gateway Secure Email Gateway Usado para o gerenciamento de cluster do Vertx
44444 HTTPS Secure Email Gateway Secure Email Gateway Usado para funcionalidades Administrativas e de Diagnóstico
Observação: Como o serviço do Secure Email Gateway (SEG) é executado como um usuário não raiz no Unified Access Gateway; o SEG não pode ser executado nas portas do sistema. Portanto, as portas personalizadas devem ser superiores à porta 1024.
Tabela 2. Requisitos de porta para o Horizon Connection Server
Porta Protocolo Fonte Destino Descrição
443 TCP Internet Unified Access Gateway Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme
443 UDP Internet Unified Access Gateway O UDP 443 é internamente encaminhado para o UDP 9443 no serviço do servidor do túnel UDP no Unified Access Gateway.
8443 UDP Internet Unified Access Gateway Blast Extreme (opcional)
8443 TCP Internet Unified Access Gateway Blast Extreme (opcional)
4172 TCP e UDP Internet Unified Access Gateway PCoIP (opcional)
443 TCP Unified Access Gateway Horizon Connection Server Horizon Client XML-API, Blast extreme HTML access, Horizon Air Console Access (HACA)
22443 TCP e UDP Unified Access Gateway Áreas de trabalho e hosts RDS Blast Extreme
4172 TCP e UDP Unified Access Gateway Áreas de trabalho e hosts RDS PCoIP (opcional)
32111 TCP Unified Access Gateway Áreas de trabalho e hosts RDS Canal de estrutura para redirecionamento USB
9427 TCP Unified Access Gateway Áreas de trabalho e hosts RDS MMR e CDR
Observação: Para permitir que dispositivos cliente externos se conectem a um appliance do Unified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance do Unified Access Gateway dentro da DMZ na porta TCP 443. Se for usado o protocolo Blast, a porta 8443 deve estar aberta no firewall, mas é possível configurar também o Blast para a porta 443.
Tabela 3. Requisitos de porta para proxy reverso da Web
Porta Protocolo Fonte Destino Descrição
443 TCP Internet Unified Access Gateway Para o tráfego da Web
Qualquer TCP Unified Access Gateway Site de intranet Qualquer porta personalizada configurada na qual a Intranet está fazendo escuta. Por exemplo, 80, 443, 8080 e assim por diante.
88 TCP Unified Access Gateway Servidor KDC/Servidor AD É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado.
88 UDP Unified Access Gateway Servidor KDC/Servidor AD É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado.
Tabela 4. Requisitos de porta para a interface do usuário do administrador
Porta Protocolo Fonte Destino Descrição
9443 TCP IU do administrador Unified Access Gateway Interface de gerenciamento
Tabela 5. Requisitos de porta para a configuração de endpoint básico do Content Gateway
Porta Protocolo Fonte Destino Descrição
443* ou qualquer porta > 1024 HTTPS Dispositivos (a partir da Internet e Wi-Fi) Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
443* ou qualquer porta > 1024 HTTPS Serviços de dispositivo do Workspace ONE UEM Endpoint do Content Gateway do Unified Access Gateway
443* ou qualquer porta > 1024 HTTPS Console do Workspace ONE UEM Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
443* ou qualquer porta > 1024 HTTPS Endpoint do Content Gateway do Unified Access Gateway Workspace ONE UEM API Server
Qualquer porta na qual o repositório está fazendo a escuta. HTTP ou HTTPS Endpoint do Content Gateway do Unified Access Gateway Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta.
137 – 139 e 445 CIFS ou PME Endpoint do Content Gateway do Unified Access Gateway Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) Compartilhamentos de Intranet
Tabela 6. Requisitos de porta para a configuração do endpoint de retransmissão do Content Gateway
Porta Protocolo Fonte Alvo/Destino Descrição
443* ou qualquer porta > 1024 HTTP/HTTPS Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
443* ou qualquer porta > 1024 HTTPS Dispositivos (a partir da Internet e Wi-Fi) Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) Se for usado 443, Content Gateway irá escutar na porta 10443.
443* ou qualquer porta > 1024 TCP Serviços de dispositivo do Workspace ONE UEM Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) Se for usado 443, Content Gateway irá escutar na porta 10443.
443* ou qualquer porta > 1024 HTTPS Workspace ONE UEM Console
443* ou qualquer porta > 1024 HTTPS Retransmissão Unified Access Gateway Content Gateway Servidor de API do Workspace ONE UEM
443* ou qualquer porta > 1024 HTTPS Endpoint do Content Gateway do Unified Access Gateway Servidor de API do Workspace ONE UEM
Qualquer porta na qual o repositório está fazendo a escuta. HTTP ou HTTPS Endpoint do Content Gateway do Unified Access Gateway Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta.
443* ou qualquer porta > 1024 HTTPS Unified Access Gateway (retransmissão do Content Gateway) Endpoint do Content Gateway do Unified Access Gateway Se for usado 443, Content Gateway irá escutar na porta 10443.
137 – 139 e 445 CIFS ou PME Endpoint do Content Gateway do Unified Access Gateway Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) Compartilhamentos de Intranet
Observação: Como o serviço do Content Gateway é executado como um usuário não raiz no Unified Access Gateway, o Content Gateway não pode ser executado nas portas do sistema e, portanto, as portas personalizadas devem ser > 1024.
Tabela 7. Requisitos de porta para VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
2020 * HTTPS Dispositivos (a partir da Internet e Wi-Fi) Proxy do VMware Tunnel Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port]
8443 * TCP, UDP Dispositivos (a partir da Internet e Wi-Fi) Per-App Tunnel do VMware Tunnel Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] 1
Tabela 8. Configuração básica do endpoint do VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
SaaS: 443

: 2001 *

HTTPS VMware Tunnel Servidor de Mensagens na Nuvem do Workspace ONE UEM curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

A resposta esperada é HTTP 200 OK.

2
SaaS: 443

No local: 80 ou 443

HTTP ou HTTPS VMware Tunnel Endpoint da REST API do Workspace ONE UEM
  • SaaS:https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • No local: Mais comumente seu servidor de console ou DS
curl -Ivv https://<API URL>/api/mdm/ping

A resposta esperada é HTTP 401 não autorizado.

5
80, 443, qualquer TCP HTTP, HTTPS ou TCP VMware Tunnel Recursos internos Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. 4
514 * UDP VMware Tunnel Servidor de syslog
No local: 2020 HTTPS Console do Workspace ONE UEM Proxy do VMware Tunnel Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> 6
Tabela 9. Configuração em cascata do VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
SaaS: 443

No local: 2001 *

TLS v1.2 Front-end do VMware Tunnel Servidor de Mensagens na Nuvem do Workspace ONE UEM Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. 2
8443 TLS v1.2 Front-end do VMware Tunnel Back-end do VMware Tunnel Telnet do front-end do VMware Tunnel para o servidor de back-end do VMware Tunnel na porta 3
SaaS: 443

No local: 2001

TLS v1.2 Back-end do VMware Tunnel Servidor de Mensagens na Nuvem do Workspace ONE UEM Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. 2
80 ou 443 TCP Back-end do VMware Tunnel Sites internos/aplicativos Web 4
80, 443, qualquer TCP TCP Back-end do VMware Tunnel Recursos internos 4
80 ou 443 HTTPS Front-end e back-end do VMware Tunnel Endpoint da REST API do Workspace ONE UEM
  • SaaS:https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • No local: Mais comumente seu servidor de console ou DS
curl -Ivv https://<API URL>/api/mdm/ping

A resposta esperada é HTTP 401 não autorizado.

5
Tabela 10. Configuração de Front-end e Back-end do VMware Tunnel
Porta Protocolo Fonte Alvo/Destino Verificação Observação (consulte a seção Observação na parte inferior da página)
SaaS: 443

No local: 2001

HTTP ou HTTPS Front-end do VMware Tunnel Servidor de Mensagens na Nuvem do Workspace ONE UEM curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

A resposta esperada é HTTP 200 OK.

2
80 ou 443 HTTPS ou HTTPS Front-end e Back-end do VMware Tunnel Endpoint da REST API do Workspace ONE UEM
  • SaaS:https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • No local: Mais comumente seu servidor de console ou DS
curl -Ivv https://<API URL>/api/mdm/ping

A resposta esperada é HTTP 401 não autorizado.

O endpoint do VMware Tunnel requer acesso ao endpoint da REST API somente durante a implantação inicial.

5
2010 * HTTPS Front-end do VMware Tunnel Back-end do VMware Tunnel Telnet do Front-end do VMware Tunnel para o servidor de Back-end do VMware Tunnel na porta 3
80, 443, qualquer TCP HTTP, HTTPS ou TCP Back-end do VMware Tunnel Recursos internos Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. 4
514 * UDP VMware Tunnel Servidor de syslog
No local: 2020 HTTPS Workspace ONE UEM Proxy do VMware Tunnel Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> 6

Os seguintes pontos são válidos para os requisitos do VMware Tunnel.

Observação: * - Esta porta poderá ser alterada, se necessário, com base nas restrições do seu ambiente.
  1. Se a porta 443 for usada, o Per-App Tunnel fará a escuta na porta 8443.
    Observação: Quando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmo appliance, e o compartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivos para cada serviço. Quando o TLS não está ativado, apenas um nome DNS pode ser usado para ambos os serviços, pois a porta diferenciará o tráfego de entrada. (Para Content Gateway, se a porta 443 for usada, o Content Gateway fará a escuta na porta 10443.)
  2. Para o VMware Tunnel consultar o console do Workspace ONE UEM para fins de rastreamento e conformidade.
  3. Para as topologias de Front-end do VMware Tunnel encaminhar solicitações de dispositivo somente para o Back-end interno do VMware Tunnel.
  4. Para aplicativos utilizando o VMware Tunnel para acessar recursos internos.
  5. O VMware Tunnel deve se comunicar com a API para a inicialização. Garanta que haja conectividade entre a REST API e o servidor do VMware Tunnel. Vá para Grupos e Configurações > Todas as Configurações > Sistema > Avançado > URLs do Site para definir a URL do servidor da REST API. Esta página não está disponível para clientes SaaS. A URL da REST API para clientes SaaS mais comumente é a URL do servidor do seu console ou serviços de dispositivos.
  6. Isso é necessário para uma "Conexão de teste" bem-sucedida com o proxy do VMware Tunnel no console do Workspace ONE UEM. O requisito é opcional e pode ser omitido sem a perda de funcionalidade para os dispositivos. Para clientes de SaaS, o console do Workspace ONE UEM talvez já tenha conectividade de entrada com o proxy do VMware Tunnel na porta 2020 devido ao requisito de Internet de entrada na porta 2020.