基于 DMZ 的 Unified Access Gateway 设备要求在前端防火墙和后端防火墙上使用特定的防火墙规则。安装过程中,Unified Access Gateway 服务的默认设置是在特定网络端口进行侦听。
基于 DMZ 的 Unified Access Gateway 设备部署通常包含两个防火墙:
- 需要部署一个面向外部网络的前端防火墙,用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许外部网络流量到达 DMZ。
- 需要在 DMZ 和内部网络之间部署一个后端防火墙,用于提供第二层安全保障。您需要将该防火墙配置为仅接受 DMZ 内的服务产生的流量。
防火墙策略可严格控制来自 DMZ 服务的入站通信,这样将大幅降低内部网络受到威胁的风险。
下表列出了
Unified Access Gateway 内不同服务的端口要求。
注: 所有 UDP 端口均要求允许转发数据报和回复数据报。
Unified Access Gateway 服务使用 DNS 解析主机名。DNS 服务器 IP 地址可配置。DNS 请求是在 UDP 端口 53 上发出的,因此,一定要确保外部防火墙不会阻止这些请求或回复。
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 443* 或大于 1024 的任意端口 | HTTPS | 设备(从 Internet 和 Wi-Fi) | Unified Access Gateway Secure Email Gateway 端点 |
Secure Email Gateway 侦听端口 11443。配置 443 或任何其他端口时,Unified Access Gateway 会在内部将 SEG 流量路由到 11443。 |
| 443* 或大于 1024 的任意端口 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Secure Email Gateway 端点 |
Secure Email Gateway 侦听端口 11443。配置 443 或任何其他端口时,Unified Access Gateway 会在内部将 SEG 流量路由到 11443。 |
| 443* 或大于 1024 的任意端口 | HTTPS | 电子邮件通知服务(启用时) | Unified Access Gateway Secure Email Gateway 端点 |
Secure Email Gateway 侦听端口 11443。配置 443 或任何其他端口时,Unified Access Gateway 会在内部将 SEG 流量路由到 11443。 |
| 5701 | TCP | Secure Email Gateway | Secure Email Gateway | 用于 Hazelcast 分布式缓存。 |
| 41232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | 用于 Vertx 集群管理。 |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | 用于诊断和管理功能。 |
| 任意 | HTTPS | Secure Email Gateway | 电子邮件服务器 | SEG 连接到电子邮件服务器的侦听器端口(通常为 443)来处理电子邮件流量 |
| 任意 | HTTPS | Secure Email Gateway | Workspace ONE UEM API 服务器 | SEG 从 Workspace ONE 获取配置和策略数据。端口通常为 443。 |
| 88 | TCP | Secure Email Gateway | KDC 服务器/AD 服务器 | 用于在启用 KCD 身份验证时获取 Kerberos 身份验证令牌。 |
注: 当在 Unified Access Gateway 中以非 root 用户身份运行 Secure Email Gateway (SEG) 服务时,SEG 无法在系统端口上运行。因此,自定义端口必须大于端口 1024。
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | 适用于 Web 流量、Horizon Client XML - API、Horizon 隧道和 Blast Extreme |
| 443 | UDP | Internet | Unified Access Gateway | UDP 443 在内部转发到 Unified Access Gateway 中的 UDP 隧道服务器服务上的 UDP 9443。 |
| 8443 | UDP | Internet | Unified Access Gateway | Blast Extreme(可选) |
| 8443 | TCP | Internet | Unified Access Gateway | Blast Extreme(可选) |
| 4172 | TCP 和 UDP | Internet | Unified Access Gateway | PCoIP(可选) |
| 443 | TCP | Unified Access Gateway | Horizon 连接服务器 | Horizon Client XML-API、Blast Extreme HTML Access |
| 22443 | TCP 和 UDP | Unified Access Gateway | 桌面和 RDS 主机 | Blast Extreme |
| 4172 | TCP 和 UDP | Unified Access Gateway | 桌面和 RDS 主机 | PCoIP(可选) |
| 32111 | TCP | Unified Access Gateway | 桌面和 RDS 主机 | USB 重定向的框架通道 |
| 3389 | TCP | Unified Access Gateway | 桌面和 RDS 主机 | 仅当 Horizon Client 使用 RDP 协议时才需要。 |
| 9427 | TCP | Unified Access Gateway | 桌面和 RDS 主机 | MMR、CDR 和 HTML5 功能,例如,Microsoft Teams 优化、浏览器重定向等。 |
注: 要允许外部客户端设备连接到 DMZ 中的
Unified Access Gateway 设备,前端防火墙必须允许特定端口上的流量。默认情况下,外部客户端设备和外部 Web 客户端 (HTML Access) 会使用 TCP 端口 443 连接到 DMZ 中的
Unified Access Gateway 设备。如果您使用 Blast 协议,则必须在防火墙上打开端口 8443。如果通过 TCP 端口 443 使用 Blast,则无需在防火墙上打开 TCP 8443。
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 443 | HTTPS | Unified Access Gateway | Workspace ONE Intelligence 服务器 | curl -ILvv https://<api_server_hostname>/v1/device/risk_score curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 |
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | 适用于 Web 流量 |
| 任意 | TCP | Unified Access Gateway | Intranet 站点 | Intranet 正在侦听的任何已配置的自定义端口。例如,80、443、8080 等。 |
| 88 | TCP | Unified Access Gateway | KDC 服务器/AD 服务器 | 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。 |
| 88 | UDP | Unified Access Gateway | KDC 服务器/AD 服务器 | 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。 |
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 9443 | TCP | 管理 UI | Unified Access Gateway | 管理界面 |
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 任何大于 1024 的端口或 443* | HTTPS | 设备(从 Internet 和 Wi-Fi) | Unified Access Gateway Content Gateway 端点 | 如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 任何大于 1024 的端口或 443* | HTTPS | Workspace ONE UEM 设备服务 | Unified Access Gateway Content Gateway 端点 | |
| 任何大于 1024 的端口或 443* | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Content Gateway 端点 | 如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 任何大于 1024 的端口或 443* | HTTPS | Unified Access Gateway Content Gateway 端点 | Workspace ONE UEM API 服务器 | |
| 存储库正在侦听的任何端口。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端点 | 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 | Intranet 站点正在侦听的任何已配置的自定义端口。 |
| 137 - 139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端点 | 基于网络共享的存储库(Windows 文件共享) | 基于 SMB 的存储库(分布式文件系统、NFS、NetApp OnTap、Nutanix 共享、IBM 共享驱动器) |
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 任何大于 1024 的端口或 443* | HTTP/HTTPS | Unified Access Gateway 中继服务器(Content Gateway 中继) | Unified Access Gateway Content Gateway 端点 | *如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 任何大于 1024 的端口或 443* | HTTPS | 设备(从 Internet 和 Wi-Fi) | Unified Access Gateway 中继服务器(Content Gateway 中继) | *如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 任何大于 1024 的端口或 443* | TCP | Workspace ONE UEM 设备服务 | Unified Access Gateway 中继服务器(Content Gateway 中继) | *如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 任何大于 1024 的端口或 443* | HTTPS | Workspace ONE UEM Console | Unified Access Gateway 中继服务器(Content Gateway 中继) | *如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 任何大于 1024 的端口或 443* | HTTPS | Unified Access Gateway Content Gateway 中继 | Workspace ONE UEM API 服务器 | *如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 任何大于 1024 的端口或 443* | HTTPS | Unified Access Gateway Content Gateway 端点 | Workspace ONE UEM API 服务器 | *如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 存储库正在侦听的任何端口。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端点 | 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 | Intranet 站点正在侦听的任何已配置的自定义端口。 |
| 任何大于 1024 的端口或 443* | HTTPS | Unified Access Gateway(Content Gateway 中继) | Unified Access Gateway Content Gateway 端点 | *如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 137 - 139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端点 | 基于网络共享的存储库(Windows 文件共享) | 基于 SMB 的存储库(分布式文件系统、NFS、NetApp OnTap、Nutanix 共享、IBM 共享驱动器) |
注: 由于在
Unified Access Gateway 中以非 root 用户身份运行
Content Gateway 服务,所以
Content Gateway 无法在系统端口上运行,因此自定义端口应大于 1024。
| 端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
|---|---|---|---|---|---|
| 8443 * | TCP、UDP | 设备(从 Internet 和 Wi-Fi) | VMware Tunnel 每应用隧道 | 安装后,运行以下命令:netstat -tlpn | grep [Port] | 1 |
| 端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
|---|---|---|---|---|---|
| SaaS:443 :2001 * |
HTTPS | VMware Tunnel | AirWatch Cloud Messaging 服务器 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
预期响应为
“HTTP 200 正常”(HTTP 200 OK)。 |
2 |
| SaaS:443 内部部署:80 或 443 |
HTTP 或 HTTPS | VMware Tunnel | Workspace ONE UEM REST API 端点
|
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 |
5 |
| 80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel | 内部资源 | 确认 VMware Tunnel 可以通过所需端口访问内部资源。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 服务器 |
| 端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
|---|---|---|---|---|---|
| SaaS:443 内部部署:2001 * |
TLS v1.2 | VMware Tunnel 前端 | AirWatch Cloud Messaging Server | 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget 并确保收到 HTTP 200 响应来进行验证。 | 2 |
| 8443 | TLS v1.2 | VMware Tunnel 前端 | VMware Tunnel 后端 | 使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器 | 3 |
| SaaS:443 内部部署:2001 |
TLS v1.2 | VMware Tunnel 后端 | Workspace ONE UEM Cloud Messaging 服务器 | 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget 并确保收到 HTTP 200 响应来进行验证。 | 2 |
| 80 或 443 | TCP | VMware Tunnel 后端 | 内部网站/Web 应用程序 | 4 | |
| 80、443、任何 TCP | TCP | VMware Tunnel 后端 | 内部资源 | 4 | |
| 80 或 443 | HTTPS | VMware Tunnel 前端和后端 | Workspace ONE UEM REST API 端点
|
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 |
5 |
| 端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
|---|---|---|---|---|---|
| SaaS:443 内部部署:2001 |
HTTP 或 HTTPS | VMware Tunnel 前端 | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 预期响应为“HTTP 200 正常”(HTTP 200 OK)。 |
2 |
| 80 或 443 | HTTP 或 HTTPS | VMware Tunnel 后端和前端 | Workspace ONE UEM REST API 端点
|
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 VMware Tunnel 端点仅在初始部署期间需要访问 REST API 端点。 |
5 |
| 2010 * | HTTPS | VMware Tunnel 前端 | VMware Tunnel 后端 | 使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器 | 3 |
| 80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel 后端 | 内部资源 | 确认 VMware Tunnel 可以通过所需端口访问内部资源。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 服务器 |
对于 VMware Tunnel 要求,以下几点适用。
注:
* - 可在需要时根据您环境的限制来更改此端口
- 如果使用端口 443,则每应用隧道将侦听端口 8443。
注: 在同一设备上同时启用了 VMware Tunnel 和 Content Gateway 服务,并且还启用了 TLS 端口共享时,DNS 名称对于每项服务必须是唯一的。如果未启用 TLS,则只有一个 DNS 名称可用于这两项服务,因为端口将区分入站流量。(对于 Content Gateway,如果使用端口 443,则 Content Gateway 将侦听端口 10443。)
- 供 VMware Tunnel 用来查询 Workspace ONE UEM Console 以达到合规性和跟踪目的。
- 供 VMware Tunnel 前端拓扑用来将设备请求仅转发到内部 VMware Tunnel 后端。
- 供使用 VMware Tunnel 访问内部资源的应用程序使用。
- VMware Tunnel 必须与 API 进行通信,以便进行初始化。确保在 REST API 和 VMware Tunnel 服务器之间建立了连接。导航到 以设置 REST API 服务器 URL。SaaS 客户无法访问此页面。适用于 SaaS 客户的 REST API URL 是您最常用的控制台或设备服务的服务器 URL。
