Für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances müssen für die Front-End- und Back-End-Firewall bestimmte Firewall-Regeln aktiviert sein. Während der Installation werden Unified Access Gateway-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet.
Die Bereitstellung einer Umkreisnetzwerk-basierten Unified Access Gateway-Appliance beinhaltet in der Regel zwei Firewalls:
- Eine externe, dem Netzwerk vorgelagerte Front-End-Firewall ist erforderlich, um sowohl das Umkreisnetzwerk als auch das interne Netzwerk zu schützen. Diese Firewall wird so konfiguriert, dass externer Netzwerkdatenverkehr das Umkreisnetzwerk erreichen kann.
- Eine Back-End-Firewall zwischen dem Umkreisnetzwerk und dem internen Netzwerk dient zum Bereitstellen einer zweiten Sicherheitsebene. Diese Firewall wird so konfiguriert, dass nur Datenverkehr zugelassen wird, der von Diensten innerhalb des Umkreisnetzwerks stammt.
Mithilfe von Firewall-Richtlinien wird die von Diensten im Umkreisnetzwerk (in der demilitarisierten Netzwerkzone/DMZ) eingehende Kommunikation streng kontrolliert, wodurch das Risiko einer Gefährdung des internen Netzwerks stark vermindert wird.
Die folgenden Tabellen enthält die Portanforderungen für die verschiedenen Dienste innerhalb von
Unified Access Gateway.
Hinweis: Für alle UDP-Ports müssen Weiterleitungs- und Antwort-Datagramme erlaubt sein.
Unified Access Gateway-Dienste verwenden DNS, um Hostnamen aufzulösen. Die IP-Adressen des DNS-Servers sind konfigurierbar. DNS-Anforderungen werden an UDP-Port 53 durchgeführt. Daher ist es wichtig, dass eine externe Firewall diese Anforderungen oder Antworten nicht blockiert.
| Port | Protokoll | Quelle | Ziel | Beschreibung |
|---|---|---|---|---|
| 443* oder jeder beliebige Port größer als 1024 | HTTPS | Geräte (aus Internet und WLAN-Verbindung) | Unified Access Gateway Endpoint des Secure Email Gateway |
Secure Email Gateway überwacht Port 11443. Wenn 443 oder ein anderer Port konfiguriert ist, leitet Unified Access Gateway den SEG-Datenverkehr intern an 11443 weiter. |
| 443* oder jeder beliebige Port größer als 1024 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Endpoint des Secure Email Gateway |
Secure Email Gateway überwacht Port 11443. Wenn 443 oder ein anderer Port konfiguriert ist, leitet Unified Access Gateway den SEG-Datenverkehr intern an 11443 weiter. |
| 443* oder jeder beliebige Port größer als 1024 | HTTPS | Email Notification Service (wenn aktiviert) | Unified Access Gateway Endpoint des Secure Email Gateway |
Secure Email Gateway überwacht Port 11443. Wenn 443 oder ein anderer Port konfiguriert ist, leitet Unified Access Gateway den SEG-Datenverkehr intern an 11443 weiter. |
| 5701 | TCP | Secure Email Gateway | Secure Email Gateway | Verwendet für den verteilten Cache „Hazelcast“. |
| 41232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | Wird für die Verwaltung von Vertx-Clustern verwendet. |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | Wird für Diagnose- und Verwaltungsfunktionen verwendet. |
| Beliebig | HTTPS | Secure Email Gateway | E-Mail-Server | SEG stellt eine Verbindung zum Listener-Port des E-Mail-Servers her, normalerweise 443, um den E-Mail-Datenverkehr zu bedienen. |
| Beliebig | HTTPS | Secure Email Gateway | Workspace ONE UEM-API-Server | SEG ruft die Konfigurations- und Richtliniendaten von Workspace ONE ab. Standardmäßig lautet der Port 443. |
| 88 | TCP | Secure Email Gateway | KDC-Server/AD-Server | Wird zum Abrufen von Kerberos-Authentifizierungstoken verwendet, wenn die KCD-Authentifizierung aktiviert ist. |
Hinweis: Da der Dienst „Secure Mail Gateway“ (SEG) als Nicht-Root-Benutzer in Unified Access Gateway ausgeführt wird, kann die SEG nicht auf den Systemports ausgeführt werden. Daher müssen die benutzerdefinierten Ports größer als Port 1024 sein.
| Port | Protokoll | Quelle | Ziel | Beschreibung |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Datenverkehr aus dem Internet, Horizon Client XML-API, Horizon Tunnel und Blast Extreme |
| 443 | UDP | Internet | Unified Access Gateway | UDP 443 wird intern an UDP 9443 auf UDP-Tunnelserver-Dienst auf Unified Access Gatewayweitergeleitet. |
| 8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (optional) |
| 8443 | TCP | Internet | Unified Access Gateway | Blast Extreme (optional) |
| 4172 | TCP und UDP | Internet | Unified Access Gateway | PCoIP (optional) |
| 443 | TCP | Unified Access Gateway | Horizon-Verbindungsserver | Horizon Client XML-API, Blast Extreme HTML Access |
| 22443 | TCP und UDP | Unified Access Gateway | Desktops und RDS-Hosts | Blast Extreme |
| 4172 | TCP und UDP | Unified Access Gateway | Desktops und RDS-Hosts | PCoIP (optional) |
| 32111 | TCP | Unified Access Gateway | Desktops und RDS-Hosts | Framework-Kanal für USB-Umleitung |
| 3389 | TCP | Unified Access Gateway | Desktops und RDS-Hosts | Nur erforderlich, wenn Horizon Clients das RDP-Protokoll verwenden. |
| 9427 | TCP | Unified Access Gateway | Desktops und RDS-Hosts | MMR-, CDR- und HTML5-Funktionen, z. B. Microsoft Teams-Optimierung, Browserumleitung und andere. |
Hinweis: Damit sich externe Client-Geräte in der DMZ mit einer
Unified Access Gateway-Appliance verbinden können, muss die Front-End-Firewall Datenverkehr an bestimmten Ports zulassen. Standardmäßig werden die externen Clientgeräte und externen Webclients (HTML Access) mit einer
Unified Access Gateway-Appliance in der DMZ an TCP-Port 443 verbunden. Wenn Sie das Blast-Protokoll verwenden, muss Port 8443 in der Firewall geöffnet sein. Wenn Sie Blast über TCP-Port 443 verwenden, ist es nicht erforderlich, TCP 8443 in der Firewall zu öffnen.
| Port | Protokoll | Quelle | Ziel | Beschreibung |
|---|---|---|---|---|
| 443 | HTTPS | Unified Access Gateway | Workspace ONE Intelligence Server | curl -ILvv https://<api_server_hostname>/v1/device/risk_score curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials Als Antwort wird HTTP 401 unauthorized erwartet. |
| Port | Protokoll | Quelle | Ziel | Beschreibung |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Für Web-Datenverkehr |
| Beliebig | TCP | Unified Access Gateway | Intranet-Site | Alle konfigurierten benutzerdefinierten Ports, auf denen das Intranet überwacht wird. Beispiel: 80, 443, 8080 usw. |
| 88 | TCP | Unified Access Gateway | KDC-Server/AD-Server | Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist. |
| 88 | UDP | Unified Access Gateway | KDC-Server/AD-Server | Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist. |
| Port | Protokoll | Quelle | Ziel | Beschreibung |
|---|---|---|---|---|
| 9443 | TCP | Admin-Benutzeroberfläche | Unified Access Gateway | Schnittstelle zur Verwaltung |
| Port | Protokoll | Quelle | Ziel | Beschreibung |
|---|---|---|---|---|
| Beliebiger Port > 1024 oder 443* | HTTPS | Geräte (aus Internet und WLAN-Verbindung) | Unified Access Gateway Content Gateway-Endpoint | Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
| Beliebiger Port > 1024 oder 443* | HTTPS | Workspace ONE UEM-Gerätedienste | Unified Access Gateway Content Gateway-Endpoint | |
| Beliebiger Port > 1024 oder 443* | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Content Gateway-Endpoint | Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
| Beliebiger Port > 1024 oder 443* | HTTPS | Unified Access Gateway Content Gateway-Endpoint | Workspace ONE UEM-API-Server | |
| Jeder Port, der vom Repository überwacht wird. | HTTP oder HTTPS | Unified Access Gateway Content Gateway-Endpoint | Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw. | Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird. |
| 137–139 und 445 | CIFS oder SMB | Unified Access Gateway Content Gateway-Endpoint | Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben) | "SMB-basierte Repositorys (verteilte Dateisysteme, NFS, NetApp OnTap, Nutanx Shares, IBM Share Drives)" |
| Port | Protokoll | Quelle | Ziel | Beschreibung |
|---|---|---|---|---|
| Beliebiger Port > 1024 oder 443* | HTTP/HTTPS | Unified Access Gateway-Relay-Server (Content Gateway-Relay) | Unified Access Gateway Content Gateway-Endpoint | *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
| Beliebiger Port > 1024 oder 443* | HTTPS | Geräte (aus Internet und WLAN-Verbindung) | Unified Access Gateway-Relay-Server (Content Gateway-Relay) | *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
| Beliebiger Port > 1024 oder 443* | TCP | Workspace ONE UEM-Gerätedienste | Unified Access Gateway-Relay-Server (Content Gateway-Relay) | *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
| Beliebiger Port > 1024 oder 443* | HTTPS | Workspace ONE UEM Console | Unified Access Gateway-Relay-Server (Content Gateway-Relay) | *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
| Beliebiger Port > 1024 oder 443* | HTTPS | Unified Access Gateway Content Gateway-Relay | Workspace ONE UEM-API-Server | *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
| Beliebiger Port > 1024 oder 443* | HTTPS | Unified Access Gateway Content Gateway-Endpoint | Workspace ONE UEM-API-Server | *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
| Jeder Port, der vom Repository überwacht wird. | HTTP oder HTTPS | Unified Access Gateway Content Gateway-Endpoint | Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw. | Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird. |
| Beliebiger Port > 1024 oder 443* | HTTPS | Unified Access Gateway (Content Gateway-Relay) | Unified Access Gateway Content Gateway-Endpoint | *Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
| 137–139 und 445 | CIFS oder SMB | Unified Access Gateway Content Gateway-Endpoint | Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben) | "SMB-basierte Repositorys (verteilte Dateisysteme, NFS, NetApp OnTap, Nutanx Shares, IBM Share Drives)" |
Hinweis: Da der
Content Gateway-Dienst als Nicht-Root-Benutzer in
Unified Access Gateway ausgeführt wird, kann
Content Gateway nicht auf Systemports ausgeführt werden. Daher sollten benutzerdefinierte Ports > 1024 sein.
| Port | Protokoll | Quelle | Ziel | Verifizierung | Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite) |
|---|---|---|---|---|---|
| 8443 * | TCP, UDP | Geräte (aus Internet und WLAN-Verbindung) | App-spezifischer VMware Tunnel-Tunnel | Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port] | 1 |
| Port | Protokoll | Quelle | Ziel | Verifizierung | Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite) |
|---|---|---|---|---|---|
| SaaS: 443 : 2001* |
HTTPS | VMware Tunnel | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
Die erwartete Antwort ist
HTTP 200 OK. |
2 |
| SaaS: 443 Lokal: 80 oder 443 |
HTTP oder HTTPS | VMware Tunnel | Workspace ONE UEM-REST-API-Endpoint
|
curl -Ivv https://<API URL>/api/mdm/ping Als Antwort wird HTTP 401 unauthorized erwartet. |
5 |
| 80, 443, alle TCP-Ports | HTTP, HTTPS oder TCP | VMware Tunnel | Interne Ressourcen | Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann. | 4 |
| 514* | UDP | VMware Tunnel | Syslog-Server |
| Port | Protokoll | Quelle | Ziel | Verifizierung | Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite) |
|---|---|---|---|---|---|
| SaaS: 443 Lokal: 2001* |
TLS v1.2 | VMware Tunnel-Front-End | AirWatch Cloud Messaging Server | Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten. | 2 |
| 8443 | TLS v1.2 | VMware Tunnel-Front-End | VMware Tunnel-Back-End | Telnet vom VMware Tunnel-Front-End zum VMware Tunnel-Back-End-Server auf Port | 3 |
| SaaS: 443 Lokal: 2001 |
TLS v1.2 | VMware Tunnel-Back-End | Workspace ONE UEM-Cloud Messaging Server | Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten. | 2 |
| 80 oder 443 | TCP | VMware Tunnel-Back-End | Interne Websites/Webanwendungen | 4 | |
| 80, 443, alle TCP-Ports | TCP | VMware Tunnel-Back-End | Interne Ressourcen | 4 | |
| 80 oder 443 | HTTPS | VMware Tunnel-Front-End und -Back-End | Workspace ONE UEM-REST-API-Endpoint
|
curl -Ivv https://<API URL>/api/mdm/ping Als Antwort wird HTTP 401 unauthorized erwartet. |
5 |
| Port | Protokoll | Quelle | Ziel | Verifizierung | Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite) |
|---|---|---|---|---|---|
| SaaS: 443 Lokal: 2001 |
HTTP oder HTTPS | VMware Tunnel-Front-End | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping Als Antwort wird HTTP 200 OK erwartet. |
2 |
| 80 oder 443 | HTTPS oder HTTPS | VMware Tunnel-Back-End und -Front-End | Workspace ONE UEM-REST-API-Endpoint
|
curl -Ivv https://<API URL>/api/mdm/ping Als Antwort wird HTTP 401 unauthorized erwartet. Der VMware Tunnel-Endpoint erfordert den Zugriff auf den REST API-Endpoint nur bei der ersten Bereitstellung. |
5 |
| 2010* | HTTPS | VMware Tunnel-Front-End | VMware Tunnel-Back-End | Telnet vom VMware Tunnel-Front-End zum VMware Tunnel-Back-End-Server auf Port | 3 |
| 80, 443, alle TCP-Ports | HTTP, HTTPS oder TCP | VMware Tunnel-Back-End | Interne Ressourcen | Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann. | 4 |
| 514* | UDP | VMware Tunnel | Syslog-Server |
Die folgenden Punkte gelten für die VMware Tunnel-Anforderungen.
Hinweis:
* – Dieser Port kann je nach den Einschränkungen Ihrer Umgebung bei Bedarf geändert werden.
- Wenn Port 443 verwendet wird, überwacht der App-spezifische Tunnel Port 8443.
Hinweis: Wenn VMware Tunnel- und Content Gateway-Dienste auf derselben Appliance aktiviert sind und die TLS-Portfreigabe aktiviert ist, müssen die DNS-Namen für jeden Dienst eindeutig sein. Wenn TLS nicht aktiviert ist, kann nur ein DNS-Name für beide Dienste verwendet werden, da der Port den eingehenden Datenverkehr einteilt. (Bei Content Gateway gilt: Wenn Port 443 verwendet wird, überwacht Content Gateway den Port 10443.)
- Damit der VMware Tunnel die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann.
- Damit VMware Tunnel-Front-End-Topologien Geräteanforderungen nur an den internen VMware Tunnel-Back-End weiterleiten.
- Damit Anwendungen, die VMware Tunnel verwenden, auf interne Ressourcen zugreifen können.
- Der VMware Tunnel muss mit der API zur Initialisierung kommunizieren. Stellen Sie sicher, dass Konnektivität zwischen der REST-API und dem VMware Tunnel-Server vorhanden ist. Navigieren Sie zu , um die REST API-Server-URL festzulegen. Diese Seite ist für SaaS-Kunden nicht verfügbar. Die REST-API-URL für SaaS-Kunden ist in der Regel Ihre Konsolen- oder Gerätedienst-Server-URL.
