Appliances do Unified Access Gatewaybaseados em DMZ exigem certas regras de firewall nos firewalls front-end e back-end. Durante a instalação, os serviços do Unified Access Gatewaysão configurados para ouvir em certas portas de rede por padrão.
A implantação de um appliance do Unified Access Gateway baseado em DMZ normalmente inclui dois firewalls:
- É necessário um firewall front-end externo voltado para a rede para proteger o DMZ e a rede interna. Configure este firewall para permitir que o tráfego de rede externo chegue até o DMZ.
- É necessário um firewall back-end, entre o DMZ e a rede interna, para fornecer uma segunda camada de segurança. Configure este firewall para aceitar tráfego que se origina somente dos serviços dentro do DMZ.
A política de firewall controla estritamente comunicações de entrada de serviço DMZ, o que reduz amplamente o risco de comprometimento da rede interna.
As tabelas a seguir listam os requisitos de porta para os serviços diferentes no
Unified Access Gateway.
Observação: Para que sejam permitidas, todas as portas UDP exigem diagramas de dados de encaminhamento e diagramas de dados de resposta.
| Porta | Protocolo | Fonte | Alvo/Destino | Descrição |
|---|---|---|---|---|
| 443* ou qualquer porta maior que 1024 | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Unified Access Gateway Endpoint do Secure Email Gateway |
O Secure Email Gateway escuta na porta 11443 |
| 443* ou qualquer porta maior que 1024 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Endpoint do Secure Email Gateway |
O Secure Email Gateway escuta na porta 11443 |
| 443* ou qualquer porta maior que 1024 | HTTPS | Email Notification Service (quando ativado) | Unified Access Gateway Endpoint do Secure Email Gateway |
O Secure Email Gateway escuta na porta 11443 |
| 5701 | HTTP | Secure Email Gateway | Secure Email Gateway | Usado para o cache distribuído Hazelcast |
| 41232 | HTTPS | Secure Email Gateway | Secure Email Gateway | Usado para o gerenciamento de cluster do Vertx |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | Usado para funcionalidades Administrativas e de Diagnóstico |
Observação: Como o serviço do Secure Email Gateway (SEG) é executado como um usuário não raiz no Unified Access Gateway; o SEG não pode ser executado nas portas do sistema. Portanto, as portas personalizadas devem ser superiores à porta 1024.
| Porta | Protocolo | Fonte | Destino | Descrição |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Para o tráfego da Web, XML Horizon Client - API, túnel do Horizon e Blast Extreme |
| 443 | UDP | Internet | Unified Access Gateway | O UDP 443 é internamente encaminhado para o UDP 9443 no serviço do servidor do túnel UDP no Unified Access Gateway. |
| 8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
| 8443 | TCP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
| 4172 | TCP e UDP | Internet | Unified Access Gateway | PCoIP (opcional) |
| 443 | TCP | Unified Access Gateway | Horizon Connection Server | Horizon Client XML-API, Blast extreme HTML access, Horizon Air Console Access (HACA) |
| 22443 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Blast Extreme |
| 4172 | TCP e UDP | Unified Access Gateway | Áreas de trabalho e hosts RDS | PCoIP (opcional) |
| 32111 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | Canal de estrutura para redirecionamento USB |
| 9427 | TCP | Unified Access Gateway | Áreas de trabalho e hosts RDS | MMR e CDR |
Observação: Para permitir que dispositivos cliente externos se conectem a um appliance do
Unified Access Gateway dentro da DMZ, o firewall front-end deve permitir tráfego em determinadas portas. Por padrão, os dispositivos cliente externos e clientes Web externos (HTML Access) conectam-se a um appliance do
Unified Access Gateway dentro da DMZ na porta TCP 443. Se for usado o protocolo Blast, a porta 8443 deve estar aberta no firewall, mas é possível configurar também o Blast para a porta 443.
| Porta | Protocolo | Fonte | Destino | Descrição |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Para o tráfego da Web |
| Qualquer | TCP | Unified Access Gateway | Site de intranet | Qualquer porta personalizada configurada na qual a Intranet está fazendo escuta. Por exemplo, 80, 443, 8080 e assim por diante. |
| 88 | TCP | Unified Access Gateway | Servidor KDC/Servidor AD | É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
| 88 | UDP | Unified Access Gateway | Servidor KDC/Servidor AD | É necessário para a ponte de identidade acessar o AD se o SAML para Kerberos/Certificado para Kerberos estiver configurado. |
| Porta | Protocolo | Fonte | Destino | Descrição |
|---|---|---|---|---|
| 9443 | TCP | IU do administrador | Unified Access Gateway | Interface de gerenciamento |
| Porta | Protocolo | Fonte | Destino | Descrição |
|---|---|---|---|---|
| 443* ou qualquer porta > 1024 | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
| 443* ou qualquer porta > 1024 | HTTPS | Serviços de dispositivo do Workspace ONE UEM | Endpoint do Content Gateway do Unified Access Gateway | |
| 443* ou qualquer porta > 1024 | HTTPS | Console do Workspace ONE UEM | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
| 443* ou qualquer porta > 1024 | HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Workspace ONE UEM API Server | |
| Qualquer porta na qual o repositório está fazendo a escuta. | HTTP ou HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante | Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
| 137 – 139 e 445 | CIFS ou PME | Endpoint do Content Gateway do Unified Access Gateway | Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) | Compartilhamentos de Intranet |
| Porta | Protocolo | Fonte | Alvo/Destino | Descrição |
|---|---|---|---|---|
| 443* ou qualquer porta > 1024 | HTTP/HTTPS | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
| 443* ou qualquer porta > 1024 | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | Se for usado 443, Content Gateway irá escutar na porta 10443. |
| 443* ou qualquer porta > 1024 | TCP | Serviços de dispositivo do Workspace ONE UEM | Servidor de retransmissão do Unified Access Gateway (retransmissão do Content Gateway) | Se for usado 443, Content Gateway irá escutar na porta 10443. |
| 443* ou qualquer porta > 1024 | HTTPS | Workspace ONE UEM Console | ||
| 443* ou qualquer porta > 1024 | HTTPS | Retransmissão Unified Access Gateway Content Gateway | Servidor de API do Workspace ONE UEM | |
| 443* ou qualquer porta > 1024 | HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Servidor de API do Workspace ONE UEM | |
| Qualquer porta na qual o repositório está fazendo a escuta. | HTTP ou HTTPS | Endpoint do Content Gateway do Unified Access Gateway | Repositórios de conteúdo baseado na Web, como (SharePoint/WebDAV/CMIS e assim por diante | Qualquer porta personalizada configurada na qual o site da Intranet está fazendo a escuta. |
| 443* ou qualquer porta > 1024 | HTTPS | Unified Access Gateway (retransmissão do Content Gateway) | Endpoint do Content Gateway do Unified Access Gateway | Se for usado 443, Content Gateway irá escutar na porta 10443. |
| 137 – 139 e 445 | CIFS ou PME | Endpoint do Content Gateway do Unified Access Gateway | Repositórios baseados em compartilhamento de rede (compartilhamentos de arquivos do Windows) | Compartilhamentos de Intranet |
Observação: Como o serviço do
Content Gateway é executado como um usuário não raiz no
Unified Access Gateway, o
Content Gateway não pode ser executado nas portas do sistema e, portanto, as portas personalizadas devem ser > 1024.
| Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
| 2020 * | HTTPS | Dispositivos (a partir da Internet e Wi-Fi) | Proxy do VMware Tunnel | Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] | |
| 8443 * | TCP, UDP | Dispositivos (a partir da Internet e Wi-Fi) | Per-App Tunnel do VMware Tunnel | Execute o seguinte comando após a instalação: netstat -tlpn | grep [Port] | 1 |
| Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
| SaaS: 443 : 2001 * |
HTTPS | VMware Tunnel | Servidor de Mensagens na Nuvem do Workspace ONE UEM | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping A resposta esperada é HTTP 200 OK. |
2 |
| SaaS: 443 No local: 80 ou 443 |
HTTP ou HTTPS | VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
| 80, 443, qualquer TCP | HTTP, HTTPS ou TCP | VMware Tunnel | Recursos internos | Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. | 4 |
| 514 * | UDP | VMware Tunnel | Servidor de syslog | ||
| No local: 2020 | HTTPS | Console do Workspace ONE UEM | Proxy do VMware Tunnel | Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> | 6 |
| Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
| SaaS: 443 No local: 2001 * |
TLS v1.2 | Front-end do VMware Tunnel | Servidor de Mensagens na Nuvem do Workspace ONE UEM | Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. | 2 |
| 8443 | TLS v1.2 | Front-end do VMware Tunnel | Back-end do VMware Tunnel | Telnet do front-end do VMware Tunnel para o servidor de back-end do VMware Tunnel na porta | 3 |
| SaaS: 443 No local: 2001 |
TLS v1.2 | Back-end do VMware Tunnel | Servidor de Mensagens na Nuvem do Workspace ONE UEM | Confirme usando wget para https://<AWCM URL>:<port>/awcm/status e garantindo que receberá uma resposta HTTP 200. | 2 |
| 80 ou 443 | TCP | Back-end do VMware Tunnel | Sites internos/aplicativos Web | 4 | |
| 80, 443, qualquer TCP | TCP | Back-end do VMware Tunnel | Recursos internos | 4 | |
| 80 ou 443 | HTTPS | Front-end e back-end do VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. |
5 |
| Porta | Protocolo | Fonte | Alvo/Destino | Verificação | Observação (consulte a seção Observação na parte inferior da página) |
|---|---|---|---|---|---|
| SaaS: 443 No local: 2001 |
HTTP ou HTTPS | Front-end do VMware Tunnel | Servidor de Mensagens na Nuvem do Workspace ONE UEM | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping A resposta esperada é HTTP 200 OK. |
2 |
| 80 ou 443 | HTTPS ou HTTPS | Front-end e Back-end do VMware Tunnel | Endpoint da REST API do Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping A resposta esperada é HTTP 401 não autorizado. O endpoint do VMware Tunnel requer acesso ao endpoint da REST API somente durante a implantação inicial. |
5 |
| 2010 * | HTTPS | Front-end do VMware Tunnel | Back-end do VMware Tunnel | Telnet do Front-end do VMware Tunnel para o servidor de Back-end do VMware Tunnel na porta | 3 |
| 80, 443, qualquer TCP | HTTP, HTTPS ou TCP | Back-end do VMware Tunnel | Recursos internos | Confirme se o VMware Tunnel pode acessar recursos internos pela porta necessária. | 4 |
| 514 * | UDP | VMware Tunnel | Servidor de syslog | ||
| No local: 2020 | HTTPS | Workspace ONE UEM | Proxy do VMware Tunnel | Os usuários no local podem testar a conexão usando o comando telnet :telnet <Tunnel Proxy URL> <port> | 6 |
Os seguintes pontos são válidos para os requisitos do VMware Tunnel.
Observação:
* - Esta porta poderá ser alterada, se necessário, com base nas restrições do seu ambiente.
- Se a porta 443 for usada, o Per-App Tunnel fará a escuta na porta 8443.
Observação: Quando os serviços de VMware Tunnel e Content Gateway estão ativados no mesmo appliance, e o compartilhamento de porta TLS está ativado, os nomes DNS devem ser exclusivos para cada serviço. Quando o TLS não está ativado, apenas um nome DNS pode ser usado para ambos os serviços, pois a porta diferenciará o tráfego de entrada. (Para Content Gateway, se a porta 443 for usada, o Content Gateway fará a escuta na porta 10443.)
- Para o VMware Tunnel consultar o console do Workspace ONE UEM para fins de rastreamento e conformidade.
- Para as topologias de Front-end do VMware Tunnel encaminhar solicitações de dispositivo somente para o Back-end interno do VMware Tunnel.
- Para aplicativos utilizando o VMware Tunnel para acessar recursos internos.
- O VMware Tunnel deve se comunicar com a API para a inicialização. Garanta que haja conectividade entre a REST API e o servidor do VMware Tunnel. Vá para para definir a URL do servidor da REST API. Esta página não está disponível para clientes SaaS. A URL da REST API para clientes SaaS mais comumente é a URL do servidor do seu console ou serviços de dispositivos.
-
Isso é necessário para uma "Conexão de teste" bem-sucedida com o proxy do VMware Tunnel no console do Workspace ONE UEM. O requisito é opcional e pode ser omitido sem a perda de funcionalidade para os dispositivos. Para clientes de SaaS, o console do Workspace ONE UEM talvez já tenha conectividade de entrada com o proxy do VMware Tunnel na porta 2020 devido ao requisito de Internet de entrada na porta 2020.
