基于 DMZ 的 Unified Access Gateway 设备要求在前端防火墙和后端防火墙上使用特定的防火墙规则。安装过程中,Unified Access Gateway 服务的默认设置是在特定网络端口进行侦听。
基于 DMZ 的 Unified Access Gateway 设备部署通常包含两个防火墙:
- 需要部署一个面向外部网络的前端防火墙,用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许外部网络流量到达 DMZ。
- 需要在 DMZ 和内部网络之间部署一个后端防火墙,用于提供第二层安全保障。您需要将该防火墙配置为仅接受 DMZ 内的服务产生的流量。
防火墙策略可严格控制来自 DMZ 服务的入站通信,这样将大幅降低内部网络受到威胁的风险。
端口 | 协议 | 源 | 目标 | 说明 |
---|---|---|---|---|
443 | TCP | Internet | Unified Access Gateway | 适用于 Web 流量、Horizon Client XML - API、Horizon 隧道和 Blast Extreme |
443 | UDP | Internet | Unified Access Gateway | UDP 443 在内部转发到 Unified Access Gateway 中的 UDP 隧道服务器服务上的 UDP 9443。 |
8443 | UDP | Internet | Unified Access Gateway | Blast Extreme(可选) |
8443 | TCP | Internet | Unified Access Gateway | Blast Extreme(可选) |
4172 | TCP 和 UDP | Internet | Unified Access Gateway | PCoIP(可选) |
443 | TCP | Unified Access Gateway | Horizon 代理 | Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air 控制台访问 (Horizon Air Console Access, HACA) |
22443 | TCP 和 UDP | Unified Access Gateway | 桌面和 RDS 主机 | Blast Extreme |
4172 | TCP 和 UDP | Unified Access Gateway | 桌面和 RDS 主机 | PCoIP(可选) |
32111 | TCP | Unified Access Gateway | 桌面和 RDS 主机 | USB 重定向的框架通道 |
9427 | TCP | Unified Access Gateway | 桌面和 RDS 主机 | MMR 和 CDR |
要允许外部客户端设备连接到 DMZ 中的 Unified Access Gateway 设备,前端防火墙必须允许特定端口上的流量。默认情况下,外部客户端设备和外部 Web 客户端 (HTML Access) 会使用 TCP 端口 443 连接到 DMZ 中的 Unified Access Gateway 设备。如果您使用 Blast 协议,则必须在防火墙中打开端口 8443,但是您也可以为 Blast 配置端口 443。
端口 | 协议 | 源 | 目标 | 说明 |
---|---|---|---|---|
443 | TCP | Internet | Unified Access Gateway | 适用于 Web 流量 |
任意 | TCP | Unified Access Gateway | Intranet 站点 | Intranet 正在侦听的任何已配置的自定义端口。例如,80、443、8080 等。 |
88 | TCP | Unified Access Gateway | KDC 服务器/AD 服务器 | 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。 |
88 | UDP | Unified Access Gateway | KDC 服务器/AD 服务器 | 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。 |
端口 | 协议 | 源 | 目标 | 说明 |
---|---|---|---|---|
9443 | TCP | 管理 UI | Unified Access Gateway | 管理界面 |
端口 | 协议 | 源 | 目标 | 说明 |
---|---|---|---|---|
443* 或任何大于 1024 的端口 | HTTPS | 设备(从 Internet 和 Wi-Fi) | Unified Access Gateway Content Gateway 端点 | 如果使用 443,Content Gateway 将侦听端口 10443。 |
443* 或任何大于 1024 的端口 | HTTPS | VMware AirWatch 设备服务 | Unified Access Gateway Content Gateway 端点 | |
443* 或任何大于 1024 的端口 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Content Gateway 端点 | 如果使用 443,Content Gateway 将侦听端口 10443。 |
存储库正在侦听的任何端口。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端点 | 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 | Intranet 站点正在侦听的任何已配置的自定义端口。 |
137 - 139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端点 | 基于网络共享的存储库(Windows 文件共享) | Intranet 共享 |
端口 | 协议 | 源 | 目标 | 说明 |
---|---|---|---|---|
443* 或任何大于 1024 的端口 | HTTP/HTTPS | Unified Access Gateway 中继服务器(Content Gateway 中继) | Unified Access Gateway Content Gateway 端点 | 如果使用 443,Content Gateway 将侦听端口 10443。 |
443* 或任何大于 1024 的端口 | HTTPS | 设备(从 Internet 和 Wi-Fi) | Unified Access Gateway 中继服务器(Content Gateway 中继) | 如果使用 443,Content Gateway 将侦听端口 10443。 |
443* 或任何大于 1024 的端口 | TCP | AirWatch 设备服务 | Unified Access Gateway 中继服务器(Content Gateway 中继) | 如果使用 443,Content Gateway 将侦听端口 10443。 |
443* 或任何大于 1024 的端口 | HTTPS | Workspace ONE UEM Console | ||
存储库正在侦听的任何端口。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端点 | 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 | Intranet 站点正在侦听的任何已配置的自定义端口。 |
443* 或任何大于 1024 的端口 | HTTPS | Unified Access Gateway(Content Gateway 中继) | Unified Access Gateway Content Gateway 端点 | 如果使用 443,Content Gateway 将侦听端口 10443。 |
137 - 139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端点 | 基于网络共享的存储库(Windows 文件共享) | Intranet 共享 |
端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
---|---|---|---|---|---|
2020 * | HTTPS | 设备(从 Internet 和 Wi-Fi) | VMware Tunnel 代理 | 安装后,运行以下命令:netstat -tlpn | grep [Port] | |
8443 * | TCP | 设备(从 Internet 和 Wi-Fi) | VMware Tunnel 每应用隧道 | 安装后,运行以下命令:netstat -tlpn | grep [Port] | 1 |
端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
---|---|---|---|---|---|
SaaS:443 :2001 * |
HTTPS | VMware Tunnel | AirWatch Cloud Messaging 服务器 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 预期响应为“HTTP 200 正常”(HTTP 200 OK)。 |
2 |
SaaS:443 内部部署:80 或 443 |
HTTP 或 HTTPS | VMware Tunnel | Workspace ONE UEM REST API 端点
|
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 |
5 |
80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel | 内部资源 | 确认 VMware Tunnel 可以通过所需端口访问内部资源。 | 4 |
514 * | UDP | VMware Tunnel | Syslog 服务器 | ||
内部部署:2020 | HTTPS | Workspace ONE UEM Console | VMware Tunnel 代理 | 内部部署用户可使用以下 telnet 命令来测试连接:telnet <Tunnel Proxy URL> <port> | 6 |
端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
---|---|---|---|---|---|
SaaS:443 内部部署:2001 * |
TLS v1.2 | VMware Tunnel 前端 | AirWatch Cloud Messaging 服务器 | 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget,并确保收到 HTTP 200 响应来进行验证。 | 2 |
8443 | TLS v1.2 | VMware Tunnel 前端 | VMware Tunnel 后端 | 使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器 | 3 |
SaaS:443 内部部署:2001 |
TLS v1.2 | VMware Tunnel 后端 | AirWatch Cloud Messaging 服务器 | 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget,并确保收到 HTTP 200 响应来进行验证。 | 2 |
80 或 443 | TCP | VMware Tunnel 后端 | 内部网站/Web 应用程序 | 4 | |
80、443、任何 TCP | TCP | VMware Tunnel 后端 | 内部资源 | 4 | |
80 或 443 | HTTPS | VMware Tunnel 前端和后端 | Workspace ONE UEM REST API 端点
|
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 |
5 |
端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
---|---|---|---|---|---|
SaaS:443 内部部署:2001 |
HTTP 或 HTTPS | VMware Tunnel 中继 | AirWatch Cloud Messaging 服务器 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 预期响应为“HTTP 200 正常”(HTTP 200 OK)。 |
2 |
80 或 443 | HTTP 或 HTTPS | VMware Tunnel 端点和中继 | Workspace ONE UEM REST API 端点
|
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 VMware Tunnel 端点仅在初始部署期间需要访问 REST API 端点。 |
5 |
2010 * | HTTPS | VMware Tunnel 中继 | VMware Tunnel 端点 | 使用 Telnet 通过端口从 VMware Tunnel 中继连接到 VMware Tunnel 端点服务器 | 3 |
80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel 端点 | 内部资源 | 确认 VMware Tunnel 可以通过所需端口访问内部资源。 | 4 |
514 * | UDP | VMware Tunnel | Syslog 服务器 | ||
内部部署:2020 | HTTPS | Workspace ONE UEM | VMware Tunnel 代理 | 内部部署用户可使用以下 telnet 命令来测试连接:telnet <Tunnel Proxy URL> <port> | 6 |
* - 如果需要,可以根据您环境的限制更改此端口。
- 如果使用端口 443,每应用隧道将侦听端口 8443。
注: 在同一设备上同时启用了 VMware Tunnel 和 Content Gateway 服务,并且还启用了 TLS 端口共享时,DNS 名称对于每项服务必须是唯一的。如果未启用 TLS,则只有一个 DNS 名称可用于这两项服务,因为端口将区分入站流量。(对于 Content Gateway,如果使用端口 443, Content Gateway 将侦听端口 10443。)
- 用于使 VMware Tunnel 查询 Workspace ONE UEM Console 来实现合规和进行跟踪。
- 用于使 VMware Tunnel 中继拓扑将设备请求仅转发到内部 VMware Tunnel 端点。
- 适用于使用 VMware Tunnel 访问内部资源的应用程序。
- VMware Tunnel 必须与 API 通信以进行初始化。确保在 REST API 和 VMware Tunnel 服务器之间建立了连接。导航到 以设置 REST API 服务器 URL。SaaS 客户无法访问此页面。适用于 SaaS 客户的 REST API URL 是您最常用的控制台或设备服务的服务器 URL。
要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理之间的“测试连接”操作获得成功,需要使用此端口。此要求为可选项,如果不满足也不会导致设备功能缺失。对于 SaaS 客户,由于端口 2020 上具有入站 Internet 要求,因此,Workspace ONE UEM Console 可能已经通过端口 2020 与 VMware Tunnel 代理建立了入站连接。