基于 DMZ 的 Unified Access Gateway 设备要求在前端防火墙和后端防火墙上使用特定的防火墙规则。安装过程中,Unified Access Gateway 服务的默认设置是在特定网络端口进行侦听。
基于 DMZ 的 Unified Access Gateway 设备部署通常包含两个防火墙:
- 需要部署一个面向外部网络的前端防火墙,用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许外部网络流量到达 DMZ。
- 需要在 DMZ 和内部网络之间部署一个后端防火墙,用于提供第二层安全保障。您需要将该防火墙配置为仅接受 DMZ 内的服务产生的流量。
防火墙策略可严格控制来自 DMZ 服务的入站通信,这样将大幅降低内部网络受到威胁的风险。
下表列出了
Unified Access Gateway 内不同服务的端口要求。
注: 所有 UDP 端口均要求允许转发数据报和回复数据报。
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 443* 或大于 1024 的任意端口 | HTTPS | 设备(从 Internet 和 Wi-Fi) | Unified Access Gateway Secure Email Gateway 端点 |
Secure Email Gateway 侦听端口 11443 |
| 443* 或大于 1024 的任意端口 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Secure Email Gateway 端点 |
Secure Email Gateway 侦听端口 11443 |
| 443* 或大于 1024 的任意端口 | HTTPS | 电子邮件通知服务(启用时) | Unified Access Gateway Secure Email Gateway 端点 |
Secure Email Gateway 侦听端口 11443 |
| 5701 | HTTP | Secure Email Gateway | Secure Email Gateway | 用于 Hazelcast 分布式缓存 |
| 41232 | HTTPS | Secure Email Gateway | Secure Email Gateway | 用于 Vertx 群集管理 |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | 用于诊断和管理功能 |
注: 当在 Unified Access Gateway 中以非 root 用户身份运行 Secure Email Gateway (SEG) 服务时,SEG 无法在系统端口上运行。因此,自定义端口必须大于端口 1024。
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | 适用于 Web 流量、Horizon Client XML - API、Horizon 隧道和 Blast Extreme |
| 443 | UDP | Internet | Unified Access Gateway | UDP 443 在内部转发到 Unified Access Gateway 中的 UDP 隧道服务器服务上的 UDP 9443。 |
| 8443 | UDP | Internet | Unified Access Gateway | Blast Extreme(可选) |
| 8443 | TCP | Internet | Unified Access Gateway | Blast Extreme(可选) |
| 4172 | TCP 和 UDP | Internet | Unified Access Gateway | PCoIP(可选) |
| 443 | TCP | Unified Access Gateway | Horizon 连接服务器 | Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air 控制台访问 (Horizon Air Console Access, HACA) |
| 22443 | TCP 和 UDP | Unified Access Gateway | 桌面和 RDS 主机 | Blast Extreme |
| 4172 | TCP 和 UDP | Unified Access Gateway | 桌面和 RDS 主机 | PCoIP(可选) |
| 32111 | TCP | Unified Access Gateway | 桌面和 RDS 主机 | USB 重定向的框架通道 |
| 9427 | TCP | Unified Access Gateway | 桌面和 RDS 主机 | MMR 和 CDR |
注: 要允许外部客户端设备连接到 DMZ 中的
Unified Access Gateway 设备,前端防火墙必须允许特定端口上的流量。默认情况下,外部客户端设备和外部 Web 客户端 (HTML Access) 会使用 TCP 端口 443 连接到 DMZ 中的
Unified Access Gateway 设备。如果您使用 Blast 协议,则必须在防火墙中打开端口 8443,但也可以为 Blast 配置端口 443。
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | 适用于 Web 流量 |
| 任意 | TCP | Unified Access Gateway | Intranet 站点 | Intranet 正在侦听的任何已配置的自定义端口。例如,80、443、8080 等。 |
| 88 | TCP | Unified Access Gateway | KDC 服务器/AD 服务器 | 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。 |
| 88 | UDP | Unified Access Gateway | KDC 服务器/AD 服务器 | 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。 |
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 9443 | TCP | 管理 UI | Unified Access Gateway | 管理界面 |
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 443* 或任何大于 1024 的端口 | HTTPS | 设备(从 Internet 和 Wi-Fi) | Unified Access Gateway Content Gateway 端点 | 如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 443* 或任何大于 1024 的端口 | HTTPS | Workspace ONE UEM 设备服务 | Unified Access Gateway Content Gateway 端点 | |
| 443* 或任何大于 1024 的端口 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Content Gateway 端点 | 如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 443* 或任何大于 1024 的端口 | HTTPS | Unified Access Gateway Content Gateway 端点 | Workspace ONE UEM API Server | |
| 存储库正在侦听的任何端口。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端点 | 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 | Intranet 站点正在侦听的任何已配置的自定义端口。 |
| 137 - 139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端点 | 基于网络共享的存储库(Windows 文件共享) | Intranet 共享 |
| 端口 | 协议 | 源 | 目标 | 说明 |
|---|---|---|---|---|
| 443* 或任何大于 1024 的端口 | HTTP/HTTPS | Unified Access Gateway 中继服务器(Content Gateway 中继) | Unified Access Gateway Content Gateway 端点 | 如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 443* 或任何大于 1024 的端口 | HTTPS | 设备(从 Internet 和 Wi-Fi) | Unified Access Gateway 中继服务器(Content Gateway 中继) | 如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 443* 或任何大于 1024 的端口 | TCP | Workspace ONE UEM 设备服务 | Unified Access Gateway 中继服务器(Content Gateway 中继) | 如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 443* 或任何大于 1024 的端口 | HTTPS | Workspace ONE UEM Console | ||
| 443* 或任何大于 1024 的端口 | HTTPS | Unified Access Gateway Content Gateway 中继 | Workspace ONE UEM API 服务器 | |
| 443* 或任何大于 1024 的端口 | HTTPS | Unified Access Gateway Content Gateway 端点 | Workspace ONE UEM API 服务器 | |
| 存储库正在侦听的任何端口。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端点 | 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 | Intranet 站点正在侦听的任何已配置的自定义端口。 |
| 443* 或任何大于 1024 的端口 | HTTPS | Unified Access Gateway(Content Gateway 中继) | Unified Access Gateway Content Gateway 端点 | 如果使用 443,则 Content Gateway 将侦听端口 10443。 |
| 137 - 139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端点 | 基于网络共享的存储库(Windows 文件共享) | Intranet 共享 |
注: 由于在
Unified Access Gateway 中以非 root 用户身份运行
Content Gateway 服务,所以
Content Gateway 无法在系统端口上运行,因此自定义端口应大于 1024。
| 端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
|---|---|---|---|---|---|
| 2020 * | HTTPS | 设备(从 Internet 和 Wi-Fi) | VMware Tunnel 代理 | 安装后,运行以下命令:netstat -tlpn | grep [Port] | |
| 8443 * | TCP、UDP | 设备(从 Internet 和 Wi-Fi) | VMware Tunnel 每应用隧道 | 安装后,运行以下命令:netstat -tlpn | grep [Port] | 1 |
| 端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
|---|---|---|---|---|---|
| SaaS:443 :2001 * |
HTTPS | VMware Tunnel | Workspace ONE UEM Cloud Messaging 服务器 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 预期响应为“HTTP 200 正常”(HTTP 200 OK)。 |
2 |
| SaaS:443 内部部署:80 或 443 |
HTTP 或 HTTPS | VMware Tunnel | Workspace ONE UEM REST API 端点
|
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 |
5 |
| 80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel | 内部资源 | 确认 VMware Tunnel 可以通过所需端口访问内部资源。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 服务器 | ||
| 内部部署:2020 | HTTPS | Workspace ONE UEM Console | VMware Tunnel 代理 | 内部部署用户可使用以下 telnet 命令来测试连接:telnet <Tunnel Proxy URL> <port> | 6 |
| 端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
|---|---|---|---|---|---|
| SaaS:443 内部部署:2001 * |
TLS v1.2 | VMware Tunnel 前端 | Workspace ONE UEM Cloud Messaging 服务器 | 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget 并确保收到 HTTP 200 响应来进行验证。 | 2 |
| 8443 | TLS v1.2 | VMware Tunnel 前端 | VMware Tunnel 后端 | 使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器 | 3 |
| SaaS:443 内部部署:2001 |
TLS v1.2 | VMware Tunnel 后端 | Workspace ONE UEM Cloud Messaging 服务器 | 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget 并确保收到 HTTP 200 响应来进行验证。 | 2 |
| 80 或 443 | TCP | VMware Tunnel 后端 | 内部网站/Web 应用程序 | 4 | |
| 80、443、任何 TCP | TCP | VMware Tunnel 后端 | 内部资源 | 4 | |
| 80 或 443 | HTTPS | VMware Tunnel 前端和后端 | Workspace ONE UEM REST API 端点
|
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 |
5 |
| 端口 | 协议 | 源 | 目标 | 验证 | 注释(请参阅页面底部的“注释”部分) |
|---|---|---|---|---|---|
| SaaS:443 内部部署:2001 |
HTTP 或 HTTPS | VMware Tunnel 前端 | Workspace ONE UEM Cloud Messaging 服务器 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 预期响应为“HTTP 200 正常”(HTTP 200 OK)。 |
2 |
| 80 或 443 | HTTP 或 HTTPS | VMware Tunnel 后端和前端 | Workspace ONE UEM REST API 端点
|
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。 VMware Tunnel 端点仅在初始部署期间需要访问 REST API 端点。 |
5 |
| 2010 * | HTTPS | VMware Tunnel 前端 | VMware Tunnel 后端 | 使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器 | 3 |
| 80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel 后端 | 内部资源 | 确认 VMware Tunnel 可以通过所需端口访问内部资源。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 服务器 | ||
| 内部部署:2020 | HTTPS | Workspace ONE UEM | VMware Tunnel 代理 | 内部部署用户可使用以下 telnet 命令来测试连接:telnet <Tunnel Proxy URL> <port> | 6 |
对于 VMware Tunnel 要求,以下几点适用。
注:
* - 可在需要时根据您环境的限制来更改此端口
- 如果使用端口 443,则每应用隧道将侦听端口 8443。
注: 在同一设备上同时启用了 VMware Tunnel 和 Content Gateway 服务,并且还启用了 TLS 端口共享时,DNS 名称对于每项服务必须是唯一的。如果未启用 TLS,则只有一个 DNS 名称可用于这两项服务,因为端口将区分入站流量。(对于 Content Gateway,如果使用端口 443,则 Content Gateway 将侦听端口 10443。)
- 供 VMware Tunnel 用来查询 Workspace ONE UEM Console 以达到合规性和跟踪目的。
- 供 VMware Tunnel 前端拓扑用来将设备请求仅转发到内部 VMware Tunnel 后端。
- 供使用 VMware Tunnel 访问内部资源的应用程序使用。
- VMware Tunnel 必须与 API 进行通信,以便进行初始化。确保在 REST API 和 VMware Tunnel 服务器之间建立了连接。导航到 以设置 REST API 服务器 URL。SaaS 客户无法访问此页面。适用于 SaaS 客户的 REST API URL 是您最常用的控制台或设备服务的服务器 URL。
-
要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理之间的“测试连接”操作获得成功,需要使用此端口。此要求为可选项,即使不满足,也不会导致设备功能缺失。对于 SaaS 客户,由于端口 2020 上具有入站 Internet 要求,因此,Workspace ONE UEM Console 可能已经通过端口 2020 与 VMware Tunnel 代理建立了入站连接。
