基于 DMZ 的 Unified Access Gateway 设备要求在前端防火墙和后端防火墙上使用特定的防火墙规则。安装过程中,Unified Access Gateway 服务的默认设置是在特定网络端口进行侦听。

基于 DMZ 的 Unified Access Gateway 设备部署通常包含两个防火墙:

  • 需要部署一个面向外部网络的前端防火墙,用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许外部网络流量到达 DMZ。
  • 需要在 DMZ 和内部网络之间部署一个后端防火墙,用于提供第二层安全保障。您需要将该防火墙配置为仅接受 DMZ 内的服务产生的流量。

防火墙策略可严格控制来自 DMZ 服务的入站通信,这样将大幅降低内部网络受到威胁的风险。

下表列出了 Unified Access Gateway 内不同服务的端口要求。
注: 所有 UDP 端口均要求允许转发数据报和回复数据报。 Unified Access Gateway 服务使用 DNS 解析主机名。DNS 服务器 IP 地址可配置。DNS 请求是在 UDP 端口 53 上发出的,因此,一定要确保外部防火墙不会阻止这些请求或回复。
表 1. Secure Email Gateway 的端口要求
端口 协议 目标 说明
443* 或大于 1024 的任意端口 HTTPS 设备(从 Internet 和 Wi-Fi)

Unified Access Gateway

Secure Email Gateway 端点

Secure Email Gateway 侦听端口 11443。配置 443 或任何其他端口时,Unified Access Gateway 会在内部将 SEG 流量路由到 11443。
443* 或大于 1024 的任意端口 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Secure Email Gateway 端点

Secure Email Gateway 侦听端口 11443。配置 443 或任何其他端口时,Unified Access Gateway 会在内部将 SEG 流量路由到 11443。
443* 或大于 1024 的任意端口 HTTPS 电子邮件通知服务(启用时)

Unified Access Gateway

Secure Email Gateway 端点

Secure Email Gateway 侦听端口 11443。配置 443 或任何其他端口时,Unified Access Gateway 会在内部将 SEG 流量路由到 11443。
5701 TCP Secure Email Gateway Secure Email Gateway 用于 Hazelcast 分布式缓存。
41232 TLS/TCP Secure Email Gateway Secure Email Gateway 用于 Vertx 集群管理。
44444 HTTPS Secure Email Gateway Secure Email Gateway 用于诊断和管理功能。
任意 HTTPS Secure Email Gateway 电子邮件服务器 SEG 连接到电子邮件服务器的侦听器端口(通常为 443)来处理电子邮件流量
任意 HTTPS Secure Email Gateway Workspace ONE UEM API 服务器 SEG 从 Workspace ONE 获取配置和策略数据。端口通常为 443。
88 TCP Secure Email Gateway KDC 服务器/AD 服务器 用于在启用 KCD 身份验证时获取 Kerberos 身份验证令牌。
注: 当在 Unified Access Gateway 中以非 root 用户身份运行 Secure Email Gateway (SEG) 服务时,SEG 无法在系统端口上运行。因此,自定义端口必须大于端口 1024。
表 2. Horizon 的端口要求
端口 协议 目标 说明
443 TCP Internet Unified Access Gateway 适用于 Web 流量、Horizon Client XML - API、Horizon 隧道和 Blast Extreme
443 UDP Internet Unified Access Gateway UDP 443 在内部转发到 Unified Access Gateway 中的 UDP 隧道服务器服务上的 UDP 9443。
8443 UDP Internet Unified Access Gateway Blast Extreme(可选)
8443 TCP Internet Unified Access Gateway Blast Extreme(可选)
4172 TCP 和 UDP Internet Unified Access Gateway PCoIP(可选)
443 TCP Unified Access Gateway Horizon 连接服务器 Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air 控制台访问 (Horizon Air Console Access, HACA)
22443 TCP 和 UDP Unified Access Gateway 桌面和 RDS 主机 Blast Extreme
4172 TCP 和 UDP Unified Access Gateway 桌面和 RDS 主机 PCoIP(可选)
32111 TCP Unified Access Gateway 桌面和 RDS 主机 USB 重定向的框架通道
3389 TCP Unified Access Gateway 桌面和 RDS 主机 仅当 Horizon Client 使用 RDP 协议时才需要。
9427 TCP Unified Access Gateway 桌面和 RDS 主机 MMR、CDR 和 HTML5 功能,例如,Microsoft Teams 优化、浏览器重定向等。
注: 要允许外部客户端设备连接到 DMZ 中的 Unified Access Gateway 设备,前端防火墙必须允许特定端口上的流量。默认情况下,外部客户端设备和外部 Web 客户端 (HTML Access) 会使用 TCP 端口 443 连接到 DMZ 中的 Unified Access Gateway 设备。如果您使用 Blast 协议,则必须在防火墙上打开端口 8443。如果通过 TCP 端口 443 使用 Blast,则无需在防火墙上打开 TCP 8443。
表 3. Workspace ONE Intelligence 配置的端口要求
端口 协议 目标 说明
443 HTTPS Unified Access Gateway Workspace ONE Intelligence 服务器 curl -ILvv https://<api_server_hostname>/v1/device/risk_score

curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag

curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

表 4. Web 反向代理的端口要求
端口 协议 目标 说明
443 TCP Internet Unified Access Gateway 适用于 Web 流量
任意 TCP Unified Access Gateway Intranet 站点 Intranet 正在侦听的任何已配置的自定义端口。例如,80、443、8080 等。
88 TCP Unified Access Gateway KDC 服务器/AD 服务器 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。
88 UDP Unified Access Gateway KDC 服务器/AD 服务器 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。
表 5. 管理 UI 的端口要求
端口 协议 目标 说明
9443 TCP 管理 UI Unified Access Gateway 管理界面
表 6. Content Gateway 基本端点配置的端口要求
端口 协议 目标 说明
任何大于 1024 的端口或 443* HTTPS 设备(从 Internet 和 Wi-Fi) Unified Access Gateway Content Gateway 端点 如果使用 443,则 Content Gateway 将侦听端口 10443。
任何大于 1024 的端口或 443* HTTPS Workspace ONE UEM 设备服务 Unified Access Gateway Content Gateway 端点
任何大于 1024 的端口或 443* HTTPS Workspace ONE UEM Console Unified Access Gateway Content Gateway 端点 如果使用 443,则 Content Gateway 将侦听端口 10443。
任何大于 1024 的端口或 443* HTTPS Unified Access Gateway Content Gateway 端点 Workspace ONE UEM API 服务器
存储库正在侦听的任何端口。 HTTP 或 HTTPS Unified Access Gateway Content Gateway 端点 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 Intranet 站点正在侦听的任何已配置的自定义端口。
137 - 139 和 445 CIFS 或 SMB Unified Access Gateway Content Gateway 端点 基于网络共享的存储库(Windows 文件共享) 基于 SMB 的存储库(分布式文件系统、NFS、NetApp OnTap、Nutanix 共享、IBM 共享驱动器)
表 7. Content Gateway 中继端点配置的端口要求
端口 协议 目标 说明
任何大于 1024 的端口或 443* HTTP/HTTPS Unified Access Gateway 中继服务器(Content Gateway 中继) Unified Access Gateway Content Gateway 端点 *如果使用 443,则 Content Gateway 将侦听端口 10443。
任何大于 1024 的端口或 443* HTTPS 设备(从 Internet 和 Wi-Fi) Unified Access Gateway 中继服务器(Content Gateway 中继) *如果使用 443,则 Content Gateway 将侦听端口 10443。
任何大于 1024 的端口或 443* TCP Workspace ONE UEM 设备服务 Unified Access Gateway 中继服务器(Content Gateway 中继) *如果使用 443,则 Content Gateway 将侦听端口 10443。
任何大于 1024 的端口或 443* HTTPS Workspace ONE UEM Console Unified Access Gateway 中继服务器(Content Gateway 中继) *如果使用 443,则 Content Gateway 将侦听端口 10443。
任何大于 1024 的端口或 443* HTTPS Unified Access Gateway Content Gateway 中继 Workspace ONE UEM API 服务器 *如果使用 443,则 Content Gateway 将侦听端口 10443。
任何大于 1024 的端口或 443* HTTPS Unified Access Gateway Content Gateway 端点 Workspace ONE UEM API 服务器 *如果使用 443,则 Content Gateway 将侦听端口 10443。
存储库正在侦听的任何端口。 HTTP 或 HTTPS Unified Access Gateway Content Gateway 端点 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 Intranet 站点正在侦听的任何已配置的自定义端口。
任何大于 1024 的端口或 443* HTTPS Unified Access GatewayContent Gateway 中继) Unified Access Gateway Content Gateway 端点 *如果使用 443,则 Content Gateway 将侦听端口 10443。
137 - 139 和 445 CIFS 或 SMB Unified Access Gateway Content Gateway 端点 基于网络共享的存储库(Windows 文件共享) 基于 SMB 的存储库(分布式文件系统、NFS、NetApp OnTap、Nutanix 共享、IBM 共享驱动器)
注: 由于在 Unified Access Gateway 中以非 root 用户身份运行 Content Gateway 服务,所以 Content Gateway 无法在系统端口上运行,因此自定义端口应大于 1024。
表 8. VMware Tunnel 的端口要求
端口 协议 目标 验证 注释(请参阅页面底部的“注释”部分)
8443 * TCP、UDP 设备(从 Internet 和 Wi-Fi) VMware Tunnel 每应用隧道 安装后,运行以下命令:netstat -tlpn | grep [Port] 1
表 9. VMware Tunnel 基本端点配置
端口 协议 目标 验证 注释(请参阅页面底部的“注释”部分)
SaaS:443

:2001 *

HTTPS VMware Tunnel AirWatch Cloud Messaging 服务器 curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
预期响应为
“HTTP 200 正常”(HTTP 200 OK)
2
SaaS:443

内部部署:80 或 443

HTTP 或 HTTPS VMware Tunnel Workspace ONE UEM REST API 端点
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 内部部署:您最常用的 DS 或控制台服务器
curl -Ivv https://<API URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

5
80、443、任何 TCP HTTP、HTTPS 或 TCP VMware Tunnel 内部资源 确认 VMware Tunnel 可以通过所需端口访问内部资源。 4
514 * UDP VMware Tunnel Syslog 服务器
表 10. VMware Tunnel 级联配置
端口 协议 目标 验证 注释(请参阅页面底部的“注释”部分)
SaaS:443

内部部署:2001 *

TLS v1.2 VMware Tunnel 前端 AirWatch Cloud Messaging Server 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget 并确保收到 HTTP 200 响应来进行验证。 2
8443 TLS v1.2 VMware Tunnel 前端 VMware Tunnel 后端 使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器 3
SaaS:443

内部部署:2001

TLS v1.2 VMware Tunnel 后端 Workspace ONE UEM Cloud Messaging 服务器 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget 并确保收到 HTTP 200 响应来进行验证。 2
80 或 443 TCP VMware Tunnel 后端 内部网站/Web 应用程序 4
80、443、任何 TCP TCP VMware Tunnel 后端 内部资源 4
80 或 443 HTTPS VMware Tunnel 前端和后端 Workspace ONE UEM REST API 端点
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 内部部署:您最常用的 DS 或控制台服务器
curl -Ivv https://<API URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

5
表 11. VMware Tunnel 前端和后端配置
端口 协议 目标 验证 注释(请参阅页面底部的“注释”部分)
SaaS:443

内部部署:2001

HTTP 或 HTTPS VMware Tunnel 前端 AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

预期响应为“HTTP 200 正常”(HTTP 200 OK)。

2
80 或 443 HTTP 或 HTTPS VMware Tunnel 后端和前端 Workspace ONE UEM REST API 端点
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 内部部署:您最常用的 DS 或控制台服务器
curl -Ivv https://<API URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

VMware Tunnel 端点仅在初始部署期间需要访问 REST API 端点。

5
2010 * HTTPS VMware Tunnel 前端 VMware Tunnel 后端 使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器 3
80、443、任何 TCP HTTP、HTTPS 或 TCP VMware Tunnel 后端 内部资源 确认 VMware Tunnel 可以通过所需端口访问内部资源。 4
514 * UDP VMware Tunnel Syslog 服务器

对于 VMware Tunnel 要求,以下几点适用。

注: * - 可在需要时根据您环境的限制来更改此端口
  1. 如果使用端口 443,则每应用隧道将侦听端口 8443。
    注: 在同一设备上同时启用了 VMware TunnelContent Gateway 服务,并且还启用了 TLS 端口共享时,DNS 名称对于每项服务必须是唯一的。如果未启用 TLS,则只有一个 DNS 名称可用于这两项服务,因为端口将区分入站流量。(对于 Content Gateway,如果使用端口 443,则 Content Gateway 将侦听端口 10443。)
  2. VMware Tunnel 用来查询 Workspace ONE UEM Console 以达到合规性和跟踪目的。
  3. VMware Tunnel 前端拓扑用来将设备请求仅转发到内部 VMware Tunnel 后端。
  4. 供使用 VMware Tunnel 访问内部资源的应用程序使用。
  5. VMware Tunnel 必须与 API 进行通信,以便进行初始化。确保在 REST API 和 VMware Tunnel 服务器之间建立了连接。导航到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API 服务器 URL。SaaS 客户无法访问此页面。适用于 SaaS 客户的 REST API URL 是您最常用的控制台或设备服务的服务器 URL。