基于 DMZ 的 Unified Access Gateway 设备要求在前端防火墙和后端防火墙上使用特定的防火墙规则。安装过程中,Unified Access Gateway 服务的默认设置是在特定网络端口进行侦听。

基于 DMZ 的 Unified Access Gateway 设备部署通常包含两个防火墙:

  • 需要部署一个面向外部网络的前端防火墙,用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许外部网络流量到达 DMZ。

  • 需要在 DMZ 和内部网络之间部署一个后端防火墙,用于提供第二层安全保障。您需要将该防火墙配置为仅接受 DMZ 内的服务产生的流量。

防火墙策略可严格控制来自 DMZ 服务的入站通信,这样将大幅降低内部网络受到威胁的风险。

下表列出了 Unified Access Gateway 内不同服务的端口要求。

注:

所有 UDP 端口均要求允许转发数据报和回复数据报。

表 1. Horizon 连接服务器的端口要求

端口

协议

目标

说明

443

TCP

Internet

Unified Access Gateway

适用于 Web 流量、Horizon Client XML - API、Horizon 隧道和 Blast Extreme

443

UDP

Internet

Unified Access Gateway

UDP 443 在内部转发到 Unified Access Gateway 中的 UDP 隧道服务器服务上的 UDP 9443。

8443

UDP

Internet

Unified Access Gateway

Blast Extreme(可选)

8443

TCP

Internet

Unified Access Gateway

Blast Extreme(可选)

4172

TCP 和 UDP

Internet

Unified Access Gateway

PCoIP(可选)

443

TCP

Unified Access Gateway

Horizon 连接服务器

Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air 控制台访问 (Horizon Air Console Access, HACA)

22443

TCP 和 UDP

Unified Access Gateway

桌面和 RDS 主机

Blast Extreme

4172

TCP 和 UDP

Unified Access Gateway

桌面和 RDS 主机

PCoIP(可选)

32111

TCP

Unified Access Gateway

桌面和 RDS 主机

USB 重定向的框架通道

9427

TCP

Unified Access Gateway

桌面和 RDS 主机

MMR 和 CDR

注:

要允许外部客户端设备连接到 DMZ 中的 Unified Access Gateway 设备,前端防火墙必须允许特定端口上的流量。默认情况下,外部客户端设备和外部 Web 客户端 (HTML Access) 会使用 TCP 端口 443 连接到 DMZ 中的 Unified Access Gateway 设备。如果您使用 Blast 协议,则必须在防火墙中打开端口 8443,但是您也可以为 Blast 配置端口 443。

表 2. Web 反向代理的端口要求

端口

协议

目标

说明

443

TCP

Internet

Unified Access Gateway

适用于 Web 流量

任意

TCP

Unified Access Gateway

Intranet 站点

Intranet 正在侦听的任何已配置的自定义端口。例如,80、443、8080 等。

88

TCP

Unified Access Gateway

KDC 服务器/AD 服务器

如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。

88

UDP

Unified Access Gateway

KDC 服务器/AD 服务器

如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。

表 3. 管理 UI 的端口要求

端口

协议

目标

说明

9443

TCP

管理 UI

Unified Access Gateway

管理界面

表 4. Content Gateway 基本端点配置的端口要求

端口

协议

目标

说明

443* 或任何大于 1024 的端口

HTTPS

设备(从 Internet 和 Wi-Fi)

Unified Access Gateway Content Gateway 端点

如果使用 443,Content Gateway 将侦听端口 10443。

443* 或任何大于 1024 的端口

HTTPS

VMware AirWatch 设备服务

Unified Access Gateway Content Gateway 端点

443* 或任何大于 1024 的端口

HTTPS

Workspace ONE UEM Console

Unified Access Gateway Content Gateway 端点

如果使用 443,Content Gateway 将侦听端口 10443。

存储库正在侦听的任何端口。

HTTP 或 HTTPS

Unified Access Gateway Content Gateway 端点

基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等

Intranet 站点正在侦听的任何已配置的自定义端口。

137 - 139 和 445

CIFS 或 SMB

Unified Access Gateway Content Gateway 端点

基于网络共享的存储库(Windows 文件共享)

Intranet 共享

表 5. Content Gateway 中继端点配置的端口要求

端口

协议

目标

说明

443* 或任何大于 1024 的端口

HTTP/HTTPS

Unified Access Gateway 中继服务器(Content Gateway 中继)

Unified Access Gateway Content Gateway 端点

如果使用 443,Content Gateway 将侦听端口 10443。

443* 或任何大于 1024 的端口

HTTPS

设备(从 Internet 和 Wi-Fi)

Unified Access Gateway 中继服务器(Content Gateway 中继)

如果使用 443,Content Gateway 将侦听端口 10443。

443* 或任何大于 1024 的端口

TCP

AirWatch 设备服务

Unified Access Gateway 中继服务器(Content Gateway 中继)

如果使用 443,Content Gateway 将侦听端口 10443。

443* 或任何大于 1024 的端口

HTTPS

Workspace ONE UEM Console

存储库正在侦听的任何端口。

HTTP 或 HTTPS

Unified Access Gateway Content Gateway 端点

基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等

Intranet 站点正在侦听的任何已配置的自定义端口。

443* 或任何大于 1024 的端口

HTTPS

Unified Access GatewayContent Gateway 中继)

Unified Access Gateway Content Gateway 端点

如果使用 443,Content Gateway 将侦听端口 10443。

137 - 139 和 445

CIFS 或 SMB

Unified Access Gateway Content Gateway 端点

基于网络共享的存储库(Windows 文件共享)

Intranet 共享

注:

由于 Content Gateway 服务在 Unified Access Gateway 中以非 root 用户身份运行,Content Gateway 无法在系统端口上运行,因此,自定义端口应大于 1024。

表 6. VMware Tunnel 的端口要求

端口

协议

目标

验证

注释(请参阅页面底部的“注释”部分)

2020 *

HTTPS

设备(从 Internet 和 Wi-Fi)

VMware Tunnel 代理

安装后,运行以下命令:netstat -tlpn | grep [Port]

8443 *

TCP

设备(从 Internet 和 Wi-Fi)

VMware Tunnel 每应用隧道

安装后,运行以下命令:netstat -tlpn | grep [Port]

1

表 7. VMware Tunnel 基本端点配置

端口

协议

目标

验证

注释(请参阅页面底部的“注释”部分)

SaaS:443

:2001 *

HTTPS

VMware Tunnel

AirWatch Cloud Messaging 服务器

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

预期响应为“HTTP 200 正常”(HTTP 200 OK)。

2

SaaS:443

内部部署:80 或 443

HTTP 或 HTTPS

VMware Tunnel

Workspace ONE UEM REST API 端点

  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com

  • 内部部署:您最常用的 DS 或控制台服务器

curl -Ivv https://<API URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

5

80、443、任何 TCP

HTTP、HTTPS 或 TCP

VMware Tunnel

内部资源

确认 VMware Tunnel 可以通过所需端口访问内部资源。

4

514 *

UDP

VMware Tunnel

Syslog 服务器

内部部署:2020

HTTPS

Workspace ONE UEM Console

VMware Tunnel 代理

内部部署用户可使用以下 telnet 命令来测试连接:telnet <Tunnel Proxy URL> <port>

6

表 8. VMware Tunnel 级联配置

端口

协议

目标

验证

注释(请参阅页面底部的“注释”部分)

SaaS:443

内部部署:2001 *

TLS v1.2

VMware Tunnel 前端

AirWatch Cloud Messaging 服务器

通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget,并确保收到 HTTP 200 响应来进行验证。

2

8443

TLS v1.2

VMware Tunnel 前端

VMware Tunnel 后端

使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器

3

SaaS:443

内部部署:2001

TLS v1.2

VMware Tunnel 后端

AirWatch Cloud Messaging 服务器

通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget,并确保收到 HTTP 200 响应来进行验证。

2

80 或 443

TCP

VMware Tunnel 后端

内部网站/Web 应用程序

4

80、443、任何 TCP

TCP

VMware Tunnel 后端

内部资源

4

80 或 443

HTTPS

VMware Tunnel 前端和后端

Workspace ONE UEM REST API 端点

  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com

  • 内部部署:您最常用的 DS 或控制台服务器

curl -Ivv https://<API URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

5

表 9. VMware Tunnel 中继端点配置

端口

协议

目标

验证

注释(请参阅页面底部的“注释”部分)

SaaS:443

内部部署:2001

HTTP 或 HTTPS

VMware Tunnel 中继

AirWatch Cloud Messaging 服务器

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

预期响应为“HTTP 200 正常”(HTTP 200 OK)。

2

80 或 443

HTTP 或 HTTPS

VMware Tunnel 端点和中继

Workspace ONE UEM REST API 端点

  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com

  • 内部部署:您最常用的 DS 或控制台服务器

curl -Ivv https://<API URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

VMware Tunnel 端点仅在初始部署期间需要访问 REST API 端点。

5

2010 *

HTTPS

VMware Tunnel 中继

VMware Tunnel 端点

使用 Telnet 通过端口从 VMware Tunnel 中继连接到 VMware Tunnel 端点服务器

3

80、443、任何 TCP

HTTP、HTTPS 或 TCP

VMware Tunnel 端点

内部资源

确认 VMware Tunnel 可以通过所需端口访问内部资源。

4

514 *

UDP

VMware Tunnel

Syslog 服务器

内部部署:2020

HTTPS

Workspace ONE UEM

VMware Tunnel 代理

内部部署用户可使用以下 telnet 命令来测试连接:telnet <Tunnel Proxy URL> <port>

6

注:

以下几点对于 VMware Tunnel 要求有效。

* - 如果需要,可以根据您环境的限制更改此端口。

  1. 如果使用端口 443,每应用隧道将侦听端口 8443。

    注:

    在同一设备上同时启用了 VMware TunnelContent Gateway 服务,并且还启用了 TLS 端口共享时,DNS 名称对于每项服务必须是唯一的。如果未启用 TLS,则只有一个 DNS 名称可用于这两项服务,因为端口将区分入站流量。(对于 Content Gateway,如果使用端口 443,Content Gateway 将侦听端口 10443。)

  2. 用于使 VMware Tunnel 查询 Workspace ONE UEM Console 来实现合规和进行跟踪。

  3. 用于使 VMware Tunnel 中继拓扑将设备请求仅转发到内部 VMware Tunnel 端点。

  4. 适用于使用 VMware Tunnel 访问内部资源的应用程序。

  5. VMware Tunnel 必须与 API 通信以进行初始化。确保在 REST API 和 VMware Tunnel 服务器之间建立了连接。导航到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API 服务器 URL。SaaS 客户无法访问此页面。适用于 SaaS 客户的 REST API URL 是您最常用的控制台或设备服务的服务器 URL。

  6. 要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理之间的“测试连接”操作获得成功,需要使用此端口。此要求为可选项,如果不满足也不会导致设备功能缺失。对于 SaaS 客户,由于端口 2020 上具有入站 Internet 要求,因此,Workspace ONE UEM Console 可能已经通过端口 2020 与 VMware Tunnel 代理建立了入站连接。