基于 DMZ 的 Unified Access Gateway 设备要求在前端防火墙和后端防火墙上使用特定的防火墙规则。安装过程中,Unified Access Gateway 服务的默认设置是在特定网络端口进行侦听。

基于 DMZ 的 Unified Access Gateway 设备部署通常包含两个防火墙:

  • 需要部署一个面向外部网络的前端防火墙,用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许外部网络流量到达 DMZ。
  • 需要在 DMZ 和内部网络之间部署一个后端防火墙,用于提供第二层安全保障。您需要将该防火墙配置为仅接受 DMZ 内的服务产生的流量。

防火墙策略可严格控制来自 DMZ 服务的入站通信,这样将大幅降低内部网络受到威胁的风险。

下表列出了 Unified Access Gateway 内不同服务的端口要求。
注: 所有 UDP 端口均要求允许转发数据报和回复数据报。
表 1. Secure Email Gateway 的端口要求
端口 协议 目标 说明
443* 或大于 1024 的任意端口 HTTPS 设备(从 Internet 和 Wi-Fi)

Unified Access Gateway

Secure Email Gateway 端点

Secure Email Gateway 侦听端口 11443
443* 或大于 1024 的任意端口 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Secure Email Gateway 端点

Secure Email Gateway 侦听端口 11443
443* 或大于 1024 的任意端口 HTTPS 电子邮件通知服务(启用时)

Unified Access Gateway

Secure Email Gateway 端点

Secure Email Gateway 侦听端口 11443
5701 HTTP Secure Email Gateway Secure Email Gateway 用于 Hazelcast 分布式缓存
41232 HTTPS Secure Email Gateway Secure Email Gateway 用于 Vertx 集群管理
44444 HTTPS Secure Email Gateway Secure Email Gateway 用于诊断和管理功能
注: 当在 Unified Access Gateway 中以非 root 用户身份运行 Secure Email Gateway (SEG) 服务时,SEG 无法在系统端口上运行。因此,自定义端口必须大于端口 1024。
表 2. Horizon 的端口要求
端口 协议 目标 说明
443 TCP Internet Unified Access Gateway 适用于 Web 流量、Horizon Client XML - API、Horizon 隧道和 Blast Extreme
443 UDP Internet Unified Access Gateway UDP 443 在内部转发到 Unified Access Gateway 中的 UDP 隧道服务器服务上的 UDP 9443。
8443 UDP Internet Unified Access Gateway Blast Extreme(可选)
8443 TCP Internet Unified Access Gateway Blast Extreme(可选)
4172 TCP 和 UDP Internet Unified Access Gateway PCoIP(可选)
443 TCP Unified Access Gateway Horizon 连接服务器 Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air 控制台访问 (Horizon Air Console Access, HACA)
22443 TCP 和 UDP Unified Access Gateway 桌面和 RDS 主机 Blast Extreme
4172 TCP 和 UDP Unified Access Gateway 桌面和 RDS 主机 PCoIP(可选)
32111 TCP Unified Access Gateway 桌面和 RDS 主机 USB 重定向的框架通道
3389 TCP Unified Access Gateway 桌面和 RDS 主机 仅当 Horizon Client 使用 RDP 协议时才需要。
9427 TCP Unified Access Gateway 桌面和 RDS 主机 MMR 和 CDR
注: 要允许外部客户端设备连接到 DMZ 中的 Unified Access Gateway 设备,前端防火墙必须允许特定端口上的流量。默认情况下,外部客户端设备和外部 Web 客户端 (HTML Access) 会使用 TCP 端口 443 连接到 DMZ 中的 Unified Access Gateway 设备。如果您使用 Blast 协议,则必须在防火墙中打开端口 8443,但也可以为 Blast 配置端口 443。
表 3. Web 反向代理的端口要求
端口 协议 目标 说明
443 TCP Internet Unified Access Gateway 适用于 Web 流量
任意 TCP Unified Access Gateway Intranet 站点 Intranet 正在侦听的任何已配置的自定义端口。例如,80、443、8080 等。
88 TCP Unified Access Gateway KDC 服务器/AD 服务器 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。
88 UDP Unified Access Gateway KDC 服务器/AD 服务器 如果配置了 SAML 到 Kerberos/证书到 Kerberos,则需要使用此端口进行身份桥接来访问 AD。
表 4. 管理 UI 的端口要求
端口 协议 目标 说明
9443 TCP 管理 UI Unified Access Gateway 管理界面
表 5. Content Gateway 基本端点配置的端口要求
端口 协议 目标 说明
443* 或任何大于 1024 的端口 HTTPS 设备(从 Internet 和 Wi-Fi) Unified Access Gateway Content Gateway 端点 如果使用 443,则 Content Gateway 将侦听端口 10443。
443* 或任何大于 1024 的端口 HTTPS Workspace ONE UEM 设备服务 Unified Access Gateway Content Gateway 端点
443* 或任何大于 1024 的端口 HTTPS Workspace ONE UEM Console Unified Access Gateway Content Gateway 端点 如果使用 443,则 Content Gateway 将侦听端口 10443。
443* 或任何大于 1024 的端口 HTTPS Unified Access Gateway Content Gateway 端点 Workspace ONE UEM API Server
存储库正在侦听的任何端口。 HTTP 或 HTTPS Unified Access Gateway Content Gateway 端点 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 Intranet 站点正在侦听的任何已配置的自定义端口。
137 - 139 和 445 CIFS 或 SMB Unified Access Gateway Content Gateway 端点 基于网络共享的存储库(Windows 文件共享) Intranet 共享
表 6. Content Gateway 中继端点配置的端口要求
端口 协议 目标 说明
443* 或任何大于 1024 的端口 HTTP/HTTPS Unified Access Gateway 中继服务器(Content Gateway 中继) Unified Access Gateway Content Gateway 端点 如果使用 443,则 Content Gateway 将侦听端口 10443。
443* 或任何大于 1024 的端口 HTTPS 设备(从 Internet 和 Wi-Fi) Unified Access Gateway 中继服务器(Content Gateway 中继) 如果使用 443,则 Content Gateway 将侦听端口 10443。
443* 或任何大于 1024 的端口 TCP Workspace ONE UEM 设备服务 Unified Access Gateway 中继服务器(Content Gateway 中继) 如果使用 443,则 Content Gateway 将侦听端口 10443。
443* 或任何大于 1024 的端口 HTTPS Workspace ONE UEM Console
443* 或任何大于 1024 的端口 HTTPS Unified Access Gateway Content Gateway 中继 Workspace ONE UEM API 服务器
443* 或任何大于 1024 的端口 HTTPS Unified Access Gateway Content Gateway 端点 Workspace ONE UEM API 服务器
存储库正在侦听的任何端口。 HTTP 或 HTTPS Unified Access Gateway Content Gateway 端点 基于 Web 的内容存储库,例如 SharePoint/WebDAV/CMIS 等 Intranet 站点正在侦听的任何已配置的自定义端口。
443* 或任何大于 1024 的端口 HTTPS Unified Access GatewayContent Gateway 中继) Unified Access Gateway Content Gateway 端点 如果使用 443,则 Content Gateway 将侦听端口 10443。
137 - 139 和 445 CIFS 或 SMB Unified Access Gateway Content Gateway 端点 基于网络共享的存储库(Windows 文件共享) Intranet 共享
注: 由于在 Unified Access Gateway 中以非 root 用户身份运行 Content Gateway 服务,所以 Content Gateway 无法在系统端口上运行,因此自定义端口应大于 1024。
表 7. VMware Tunnel 的端口要求
端口 协议 目标 验证 注释(请参阅页面底部的“注释”部分)
2020 * HTTPS 设备(从 Internet 和 Wi-Fi) VMware Tunnel 代理 安装后,运行以下命令:netstat -tlpn | grep [Port]
8443 * TCP、UDP 设备(从 Internet 和 Wi-Fi) VMware Tunnel 每应用隧道 安装后,运行以下命令:netstat -tlpn | grep [Port] 1
表 8. VMware Tunnel 基本端点配置
端口 协议 目标 验证 注释(请参阅页面底部的“注释”部分)
SaaS:443

:2001 *

HTTPS VMware Tunnel Workspace ONE UEM Cloud Messaging 服务器 curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

预期响应为“HTTP 200 正常”(HTTP 200 OK)。

2
SaaS:443

内部部署:80 或 443

HTTP 或 HTTPS VMware Tunnel Workspace ONE UEM REST API 端点
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 内部部署:您最常用的 DS 或控制台服务器
curl -Ivv https://<API URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

5
80、443、任何 TCP HTTP、HTTPS 或 TCP VMware Tunnel 内部资源 确认 VMware Tunnel 可以通过所需端口访问内部资源。 4
514 * UDP VMware Tunnel Syslog 服务器
内部部署:2020 HTTPS Workspace ONE UEM Console VMware Tunnel 代理 内部部署用户可使用以下 telnet 命令来测试连接:telnet <Tunnel Proxy URL> <port> 6
表 9. VMware Tunnel 级联配置
端口 协议 目标 验证 注释(请参阅页面底部的“注释”部分)
SaaS:443

内部部署:2001 *

TLS v1.2 VMware Tunnel 前端 Workspace ONE UEM Cloud Messaging 服务器 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget 并确保收到 HTTP 200 响应来进行验证。 2
8443 TLS v1.2 VMware Tunnel 前端 VMware Tunnel 后端 使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器 3
SaaS:443

内部部署:2001

TLS v1.2 VMware Tunnel 后端 Workspace ONE UEM Cloud Messaging 服务器 通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget 并确保收到 HTTP 200 响应来进行验证。 2
80 或 443 TCP VMware Tunnel 后端 内部网站/Web 应用程序 4
80、443、任何 TCP TCP VMware Tunnel 后端 内部资源 4
80 或 443 HTTPS VMware Tunnel 前端和后端 Workspace ONE UEM REST API 端点
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 内部部署:您最常用的 DS 或控制台服务器
curl -Ivv https://<API URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

5
表 10. VMware Tunnel 前端和后端配置
端口 协议 目标 验证 注释(请参阅页面底部的“注释”部分)
SaaS:443

内部部署:2001

HTTP 或 HTTPS VMware Tunnel 前端 Workspace ONE UEM Cloud Messaging 服务器 curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

预期响应为“HTTP 200 正常”(HTTP 200 OK)。

2
80 或 443 HTTP 或 HTTPS VMware Tunnel 后端和前端 Workspace ONE UEM REST API 端点
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 内部部署:您最常用的 DS 或控制台服务器
curl -Ivv https://<API URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”(HTTP 401 unauthorized)。

VMware Tunnel 端点仅在初始部署期间需要访问 REST API 端点。

5
2010 * HTTPS VMware Tunnel 前端 VMware Tunnel 后端 使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器 3
80、443、任何 TCP HTTP、HTTPS 或 TCP VMware Tunnel 后端 内部资源 确认 VMware Tunnel 可以通过所需端口访问内部资源。 4
514 * UDP VMware Tunnel Syslog 服务器
内部部署:2020 HTTPS Workspace ONE UEM VMware Tunnel 代理 内部部署用户可使用以下 telnet 命令来测试连接:telnet <Tunnel Proxy URL> <port> 6

对于 VMware Tunnel 要求,以下几点适用。

注: * - 可在需要时根据您环境的限制来更改此端口
  1. 如果使用端口 443,则每应用隧道将侦听端口 8443。
    注: 在同一设备上同时启用了 VMware TunnelContent Gateway 服务,并且还启用了 TLS 端口共享时,DNS 名称对于每项服务必须是唯一的。如果未启用 TLS,则只有一个 DNS 名称可用于这两项服务,因为端口将区分入站流量。(对于 Content Gateway,如果使用端口 443,则 Content Gateway 将侦听端口 10443。)
  2. VMware Tunnel 用来查询 Workspace ONE UEM Console 以达到合规性和跟踪目的。
  3. VMware Tunnel 前端拓扑用来将设备请求仅转发到内部 VMware Tunnel 后端。
  4. 供使用 VMware Tunnel 访问内部资源的应用程序使用。
  5. VMware Tunnel 必须与 API 进行通信,以便进行初始化。确保在 REST API 和 VMware Tunnel 服务器之间建立了连接。导航到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API 服务器 URL。SaaS 客户无法访问此页面。适用于 SaaS 客户的 REST API URL 是您最常用的控制台或设备服务的服务器 URL。
  6. 要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理之间的“测试连接”操作获得成功,需要使用此端口。此要求为可选项,即使不满足,也不会导致设备功能缺失。对于 SaaS 客户,由于端口 2020 上具有入站 Internet 要求,因此,Workspace ONE UEM Console 可能已经通过端口 2020 与 VMware Tunnel 代理建立了入站连接。