Für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances müssen für die Front-End- und Back-End-Firewall bestimmte Firewall-Regeln aktiviert sein. Während der Installation werden Unified Access Gateway-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet.

Die Bereitstellung einer Umkreisnetzwerk-basierten Unified Access Gateway-Appliance beinhaltet in der Regel zwei Firewalls:

  • Eine externe, dem Netzwerk vorgelagerte Front-End-Firewall ist erforderlich, um sowohl das Umkreisnetzwerk als auch das interne Netzwerk zu schützen. Diese Firewall wird so konfiguriert, dass externer Netzwerkdatenverkehr das Umkreisnetzwerk erreichen kann.
  • Eine Back-End-Firewall zwischen dem Umkreisnetzwerk und dem internen Netzwerk dient zum Bereitstellen einer zweiten Sicherheitsebene. Diese Firewall wird so konfiguriert, dass nur Datenverkehr zugelassen wird, der von Diensten innerhalb des Umkreisnetzwerks stammt.

Mithilfe von Firewall-Richtlinien wird die von Diensten im Umkreisnetzwerk (in der demilitarisierten Netzwerkzone/DMZ) eingehende Kommunikation streng kontrolliert, wodurch das Risiko einer Gefährdung des internen Netzwerks stark vermindert wird.

Die folgenden Tabellen enthält die Portanforderungen für die verschiedenen Dienste innerhalb von Unified Access Gateway.
Hinweis: Für alle UDP-Ports müssen Weiterleitungs- und Antwort-Datagramme erlaubt sein. Unified Access Gateway-Dienste verwenden DNS, um Hostnamen aufzulösen. Die IP-Adressen des DNS-Servers sind konfigurierbar. DNS-Anforderungen werden an UDP-Port 53 durchgeführt. Daher ist es wichtig, dass eine externe Firewall diese Anforderungen oder Antworten nicht blockiert.
Tabelle 1. Port-Anforderungen für das Secure Email Gateway
Port Protokoll Quelle Ziel Beschreibung
443* oder jeder beliebige Port größer als 1024 HTTPS Geräte (aus Internet und WLAN-Verbindung)

Unified Access Gateway

Endpoint des Secure Email Gateway

Secure Email Gateway überwacht Port 11443. Wenn 443 oder ein anderer Port konfiguriert ist, leitet Unified Access Gateway den SEG-Datenverkehr intern an 11443 weiter.
443* oder jeder beliebige Port größer als 1024 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Endpoint des Secure Email Gateway

Secure Email Gateway überwacht Port 11443. Wenn 443 oder ein anderer Port konfiguriert ist, leitet Unified Access Gateway den SEG-Datenverkehr intern an 11443 weiter.
443* oder jeder beliebige Port größer als 1024 HTTPS Email Notification Service (wenn aktiviert)

Unified Access Gateway

Endpoint des Secure Email Gateway

Secure Email Gateway überwacht Port 11443. Wenn 443 oder ein anderer Port konfiguriert ist, leitet Unified Access Gateway den SEG-Datenverkehr intern an 11443 weiter.
5701 TCP Secure Email Gateway Secure Email Gateway Verwendet für den verteilten Cache „Hazelcast“.
41232 TLS/TCP Secure Email Gateway Secure Email Gateway Wird für die Verwaltung von Vertx-Clustern verwendet.
44444 HTTPS Secure Email Gateway Secure Email Gateway Wird für Diagnose- und Verwaltungsfunktionen verwendet.
Beliebig HTTPS Secure Email Gateway E-Mail-Server SEG stellt eine Verbindung zum Listener-Port des E-Mail-Servers her, normalerweise 443, um den E-Mail-Datenverkehr zu bedienen.
Beliebig HTTPS Secure Email Gateway Workspace ONE UEM-API-Server SEG ruft die Konfigurations- und Richtliniendaten von Workspace ONE ab. Standardmäßig lautet der Port 443.
88 TCP Secure Email Gateway KDC-Server/AD-Server Wird zum Abrufen von Kerberos-Authentifizierungstoken verwendet, wenn die KCD-Authentifizierung aktiviert ist.
Hinweis: Da der Dienst „Secure Mail Gateway“ (SEG) als Nicht-Root-Benutzer in Unified Access Gateway ausgeführt wird, kann die SEG nicht auf den Systemports ausgeführt werden. Daher müssen die benutzerdefinierten Ports größer als Port 1024 sein.
Tabelle 2. Portanforderungen für Horizon
Port Protokoll Quelle Ziel Beschreibung
443 TCP Internet Unified Access Gateway Datenverkehr aus dem Internet, Horizon Client XML-API, Horizon Tunnel und Blast Extreme
443 UDP Internet Unified Access Gateway UDP 443 wird intern an UDP 9443 auf UDP-Tunnelserver-Dienst auf Unified Access Gatewayweitergeleitet.
8443 UDP Internet Unified Access Gateway Blast Extreme (optional)
8443 TCP Internet Unified Access Gateway Blast Extreme (optional)
4172 TCP und UDP Internet Unified Access Gateway PCoIP (optional)
443 TCP Unified Access Gateway Horizon-Verbindungsserver Horizon Client XML-API, Blast Extreme HTML Access, Horizon Air-Konsolenzugriff (HACA)
22443 TCP und UDP Unified Access Gateway Desktops und RDS-Hosts Blast Extreme
4172 TCP und UDP Unified Access Gateway Desktops und RDS-Hosts PCoIP (optional)
32111 TCP Unified Access Gateway Desktops und RDS-Hosts Framework-Kanal für USB-Umleitung
3389 TCP Unified Access Gateway Desktops und RDS-Hosts Nur erforderlich, wenn Horizon Clients das RDP-Protokoll verwenden.
9427 TCP Unified Access Gateway Desktops und RDS-Hosts MMR-, CDR- und HTML5-Funktionen, z. B. Microsoft Teams-Optimierung, Browserumleitung und andere.
Hinweis: Damit sich externe Client-Geräte in der DMZ mit einer Unified Access Gateway-Appliance verbinden können, muss die Front-End-Firewall Datenverkehr an bestimmten Ports zulassen. Standardmäßig werden die externen Clientgeräte und externen Webclients (HTML Access) mit einer Unified Access Gateway-Appliance in der DMZ an TCP-Port 443 verbunden. Wenn Sie das Blast-Protokoll verwenden, muss Port 8443 in der Firewall geöffnet sein. Wenn Sie Blast über TCP-Port 443 verwenden, ist es nicht erforderlich, TCP 8443 in der Firewall zu öffnen.
Tabelle 3. Portanforderungen für Web-Reverse-Proxy
Port Protokoll Quelle Ziel Beschreibung
443 TCP Internet Unified Access Gateway Für Web-Datenverkehr
Beliebig TCP Unified Access Gateway Intranet-Site Alle konfigurierten benutzerdefinierten Ports, auf denen das Intranet überwacht wird. Beispiel: 80, 443, 8080 usw.
88 TCP Unified Access Gateway KDC-Server/AD-Server Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist.
88 UDP Unified Access Gateway KDC-Server/AD-Server Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist.
Tabelle 4. Portanforderungen für Admin-Benutzeroberfläche
Port Protokoll Quelle Ziel Beschreibung
9443 TCP Admin-Benutzeroberfläche Unified Access Gateway Schnittstelle zur Verwaltung
Tabelle 5. Portanforderungen für einfache Content Gateway-Endpoint-Konfiguration
Port Protokoll Quelle Ziel Beschreibung
Beliebiger Port > 1024 oder 443* HTTPS Geräte (aus Internet und WLAN-Verbindung) Unified Access Gateway Content Gateway-Endpoint Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
Beliebiger Port > 1024 oder 443* HTTPS Workspace ONE UEM-Gerätedienste Unified Access Gateway Content Gateway-Endpoint
Beliebiger Port > 1024 oder 443* HTTPS Workspace ONE UEM Console Unified Access Gateway Content Gateway-Endpoint Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
Beliebiger Port > 1024 oder 443* HTTPS Unified Access Gateway Content Gateway-Endpoint Workspace ONE UEM-API-Server
Jeder Port, der vom Repository überwacht wird. HTTP oder HTTPS Unified Access Gateway Content Gateway-Endpoint Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw. Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird.
137–139 und 445 CIFS oder SMB Unified Access Gateway Content Gateway-Endpoint Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben) Intranet-Freigaben
Tabelle 6. Portanforderungen für Content Gateway-Relay-Endpoint-Konfiguration
Port Protokoll Quelle Ziel Beschreibung
Beliebiger Port > 1024 oder 443* HTTP/HTTPS Unified Access Gateway-Relay-Server (Content Gateway-Relay) Unified Access Gateway Content Gateway-Endpoint *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
Beliebiger Port > 1024 oder 443* HTTPS Geräte (aus Internet und WLAN-Verbindung) Unified Access Gateway-Relay-Server (Content Gateway-Relay) *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
Beliebiger Port > 1024 oder 443* TCP Workspace ONE UEM-Gerätedienste Unified Access Gateway-Relay-Server (Content Gateway-Relay) *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
Beliebiger Port > 1024 oder 443* HTTPS Workspace ONE UEM Console Unified Access Gateway-Relay-Server (Content Gateway-Relay) *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
Beliebiger Port > 1024 oder 443* HTTPS Unified Access Gateway Content Gateway-Relay Workspace ONE UEM-API-Server *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
Beliebiger Port > 1024 oder 443* HTTPS Unified Access Gateway Content Gateway-Endpoint Workspace ONE UEM-API-Server *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
Jeder Port, der vom Repository überwacht wird. HTTP oder HTTPS Unified Access Gateway Content Gateway-Endpoint Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw. Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird.
Beliebiger Port > 1024 oder 443* HTTPS Unified Access Gateway (Content Gateway-Relay) Unified Access Gateway Content Gateway-Endpoint *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
137–139 und 445 CIFS oder SMB Unified Access Gateway Content Gateway-Endpoint Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben) Intranet-Freigaben
Hinweis: Da der Content Gateway-Dienst als Nicht-Root-Benutzer in Unified Access Gateway ausgeführt wird, kann Content Gateway nicht auf Systemports ausgeführt werden. Daher sollten benutzerdefinierte Ports > 1024 sein.
Tabelle 7. Portanforderungen für VMware Tunnel
Port Protokoll Quelle Ziel Verifizierung Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)
8443 * TCP, UDP Geräte (aus Internet und WLAN-Verbindung) App-spezifischer VMware Tunnel-Tunnel Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port] 1
Tabelle 8. Einfache VMware Tunnel-Endpoint-Konfiguration
Port Protokoll Quelle Ziel Verifizierung Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)
SaaS: 443

: 2001*

HTTPS VMware Tunnel AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
Die erwartete Antwort ist
HTTP 200 OK
.
2
SaaS: 443

Lokal: 80 oder 443

HTTP oder HTTPS VMware Tunnel Workspace ONE UEM-REST-API-Endpoint
  • SaaS: https://asXXX.awmdm. com oder https://asXXX. airwatchportals.com
  • Lokal: In der Regel Ihr DS- oder Konsolenserver
curl -Ivv https://<API URL>/api/mdm/ping

Als Antwort wird HTTP 401 unauthorized erwartet.

5
80, 443, alle TCP-Ports HTTP, HTTPS oder TCP VMware Tunnel Interne Ressourcen Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann. 4
514* UDP VMware Tunnel Syslog-Server
Tabelle 9. VMware Tunnel-Konfiguration für mehrstufigen Modus
Port Protokoll Quelle Ziel Verifizierung Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)
SaaS: 443

Lokal: 2001*

TLS v1.2 VMware Tunnel-Front-End AirWatch Cloud Messaging Server Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten. 2
8443 TLS v1.2 VMware Tunnel-Front-End VMware Tunnel-Back-End Telnet vom VMware Tunnel-Front-End zum VMware Tunnel-Back-End-Server auf Port 3
SaaS: 443

Lokal: 2001

TLS v1.2 VMware Tunnel-Back-End Workspace ONE UEM-Cloud Messaging Server Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten. 2
80 oder 443 TCP VMware Tunnel-Back-End Interne Websites/Webanwendungen 4
80, 443, alle TCP-Ports TCP VMware Tunnel-Back-End Interne Ressourcen 4
80 oder 443 HTTPS VMware Tunnel-Front-End und -Back-End Workspace ONE UEM-REST-API-Endpoint
  • SaaS: https://asXXX.awmdm. com oder https://asXXX. airwatchportals.com
  • Lokal: In der Regel Ihr DS- oder Konsolenserver
curl -Ivv https://<API URL>/api/mdm/ping

Als Antwort wird HTTP 401 unauthorized erwartet.

5
Tabelle 10. VMware Tunnel-Front-End- und -Back-End-Konfiguration
Port Protokoll Quelle Ziel Verifizierung Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)
SaaS: 443

Lokal: 2001

HTTP oder HTTPS VMware Tunnel-Front-End AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

Als Antwort wird HTTP 200 OK erwartet.

2
80 oder 443 HTTPS oder HTTPS VMware Tunnel-Back-End und -Front-End Workspace ONE UEM-REST-API-Endpoint
  • SaaS: https://asXXX.awmdm. com oder https://asXXX. airwatchportals.com
  • Lokal: In der Regel Ihr DS- oder Konsolenserver
curl -Ivv https://<API URL>/api/mdm/ping

Als Antwort wird HTTP 401 unauthorized erwartet.

Der VMware Tunnel-Endpoint erfordert den Zugriff auf den REST API-Endpoint nur bei der ersten Bereitstellung.

5
2010* HTTPS VMware Tunnel-Front-End VMware Tunnel-Back-End Telnet vom VMware Tunnel-Front-End zum VMware Tunnel-Back-End-Server auf Port 3
80, 443, alle TCP-Ports HTTP, HTTPS oder TCP VMware Tunnel-Back-End Interne Ressourcen Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann. 4
514* UDP VMware Tunnel Syslog-Server

Die folgenden Punkte gelten für die VMware Tunnel-Anforderungen.

Hinweis: * – Dieser Port kann je nach den Einschränkungen Ihrer Umgebung bei Bedarf geändert werden.
  1. Wenn Port 443 verwendet wird, überwacht der App-spezifische Tunnel Port 8443.
    Hinweis: Wenn VMware Tunnel- und Content Gateway-Dienste auf derselben Appliance aktiviert sind und die TLS-Portfreigabe aktiviert ist, müssen die DNS-Namen für jeden Dienst eindeutig sein. Wenn TLS nicht aktiviert ist, kann nur ein DNS-Name für beide Dienste verwendet werden, da der Port den eingehenden Datenverkehr einteilt. (Bei Content Gateway gilt: Wenn Port 443 verwendet wird, überwacht Content Gateway den Port 10443.)
  2. Damit der VMware Tunnel die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann.
  3. Damit VMware Tunnel-Front-End-Topologien Geräteanforderungen nur an den internen VMware Tunnel-Back-End weiterleiten.
  4. Damit Anwendungen, die VMware Tunnel verwenden, auf interne Ressourcen zugreifen können.
  5. Der VMware Tunnel muss mit der API zur Initialisierung kommunizieren. Stellen Sie sicher, dass Konnektivität zwischen der REST-API und dem VMware Tunnel-Server vorhanden ist. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, um die REST API-Server-URL festzulegen. Diese Seite ist für SaaS-Kunden nicht verfügbar. Die REST-API-URL für SaaS-Kunden ist in der Regel Ihre Konsolen- oder Gerätedienst-Server-URL.