Für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances müssen für die Front-End- und Back-End-Firewall bestimmte Firewall-Regeln aktiviert sein. Während der Installation werden Unified Access Gateway-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet.

Die Bereitstellung einer Umkreisnetzwerk-basierten Unified Access Gateway-Appliance beinhaltet in der Regel zwei Firewalls:

  • Eine externe, dem Netzwerk vorgelagerte Front-End-Firewall ist erforderlich, um sowohl das Umkreisnetzwerk als auch das interne Netzwerk zu schützen. Diese Firewall wird so konfiguriert, dass externer Netzwerkdatenverkehr das Umkreisnetzwerk erreichen kann.
  • Eine Back-End-Firewall zwischen dem Umkreisnetzwerk und dem internen Netzwerk dient zum Bereitstellen einer zweiten Sicherheitsschicht. Diese Firewall wird so konfiguriert, dass nur Datenverkehr zugelassen wird, der von Diensten innerhalb des Umkreisnetzwerks stammt.

Mithilfe von Firewall-Richtlinien wird die von Diensten im Umkreisnetzwerk (in der demilitarisierten Netzwerkzone/DMZ) eingehende Kommunikation streng kontrolliert, wodurch das Risiko einer Gefährdung des internen Netzwerks stark vermindert wird.

Die folgenden Tabellen enthält die Portanforderungen für die verschiedenen Dienste innerhalb von Unified Access Gateway.
Hinweis: Für alle UDP-Ports müssen Weiterleitungs- und Antwort-Datagramme erlaubt sein.
Tabelle 1. Portanforderungen für Horizon View
Port Protokoll Quelle Ziel Beschreibung
443 TCP Internet Unified Access Gateway Datenverkehr aus dem Internet, Horizon Client XML-API, Horizon Tunnel und Blast Extreme
443 UDP Internet Unified Access Gateway UDP 443 wird intern an UDP 9443 auf UDP-Tunnelserver-Dienst auf Unified Access Gatewayweitergeleitet.
8443 UDP Internet Unified Access Gateway Blast Extreme (optional)
8443 TCP Internet Unified Access Gateway Blast Extreme (optional)
4172 TCP und UDP Internet Unified Access Gateway PCoIP (optional)
443 TCP Unified Access Gateway Horizon Broker Horizon Client XML-API, Blast Extreme HTML Access, Horizon Air-Konsolenzugriff
22443 TCP und UDP Unified Access Gateway Desktops und RDS-Hosts Blast Extreme
4172 TCP und UDP Unified Access Gateway Desktops und RDS-Hosts PCoIP (optional)
32111 TCP Unified Access Gateway Desktops und RDS-Hosts Framework-Kanal für USB-Umleitung
9427 TCP Unified Access Gateway Desktops und RDS-Hosts MMR und CDR
Hinweis:

Damit sich externe Client-Geräte in der DMZ mit einer Unified Access Gateway-Appliance verbinden können, muss die Front-End-Firewall Datenverkehr an bestimmten Ports zulassen. Standardmäßig werden die externen Clientgeräte und externen Webclients (HTML Access) mit einer Unified Access Gateway-Appliance in der DMZ an TCP-Port 443 verbunden. Wenn Sie das Blast-Protokoll verwenden, muss Port 8443 in der Firewall geöffnet sein, Sie können Blast jedoch auch für Port 443 konfigurieren.

Tabelle 2. Portanforderungen für Web-Reverse-Proxy
Port Protokoll Quelle Ziel Beschreibung
443 TCP Internet Unified Access Gateway Für Web-Datenverkehr
Beliebig TCP Unified Access Gateway Intranet-Site Alle konfigurierten benutzerdefinierten Ports, auf denen das Intranet überwacht wird. Beispiel: 80, 443, 8080 usw.
88 TCP Unified Access Gateway KDC-Server/AD-Server Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist.
88 UDP Unified Access Gateway KDC-Server/AD-Server Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist.
Tabelle 3. Portanforderungen für Admin-Benutzeroberfläche
Port Protokoll Quelle Ziel Beschreibung
9443 TCP Admin-Benutzeroberfläche Unified Access Gateway Schnittstelle zur Verwaltung
Tabelle 4. Portanforderungen für einfache Content Gateway-Endpoint-Konfiguration
Port Protokoll Quelle Ziel Beschreibung
443* oder jeder beliebige Port > 1024 HTTPS Geräte (aus Internet und WLAN-Verbindung) Unified Access Gateway Content Gateway-Endpoint Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
443* oder jeder beliebige Port > 1024 HTTPS VMware AirWatch-Gerätedienste Unified Access Gateway Content Gateway-Endpoint
443* oder jeder beliebige Port > 1024 HTTPS Workspace ONE UEM Console Unified Access Gateway Content Gateway-Endpoint Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
Jeder Port, der vom Repository überwacht wird. HTTP oder HTTPS Unified Access Gateway Content Gateway-Endpoint Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw. Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird.
137–139 und 445 CIFS oder SMB Unified Access Gateway Content Gateway-Endpoint Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben) Intranet-Freigaben
Tabelle 5. Portanforderungen für Content Gateway-Relay-Endpoint-Konfiguration
Port Protokoll Quelle Ziel Beschreibung
443* oder jeder beliebige Port > 1024 HTTP/HTTPS Unified Access Gateway-Relay-Server (Content Gateway-Relay) Unified Access Gateway Content Gateway-Endpoint Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
443* oder jeder beliebige Port > 1024 HTTPS Geräte (aus Internet und WLAN-Verbindung) Unified Access Gateway-Relay-Server (Content Gateway-Relay) Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
443* oder jeder beliebige Port > 1024 TCP AirWatch Gerätedienste Unified Access Gateway-Relay-Server (Content Gateway-Relay) Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
443* oder jeder beliebige Port > 1024 HTTPS Workspace ONE UEM Console
Jeder Port, der vom Repository überwacht wird. HTTP oder HTTPS Unified Access Gateway Content Gateway-Endpoint Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw. Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird.
443* oder jeder beliebige Port > 1024 HTTPS Unified Access Gateway (Content Gateway-Relay) Unified Access Gateway Content Gateway-Endpoint Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.
137–139 und 445 CIFS oder SMB Unified Access Gateway Content Gateway-Endpoint Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben) Intranet-Freigaben
Hinweis: Da der Content Gateway-Dienst als Nicht-Root-Benutzer in Unified Access Gateway ausgeführt wird, kann Content Gateway nicht auf Systemports ausgeführt werden. Daher sollten benutzerdefinierte Ports > 1024 sein.
Tabelle 6. Portanforderungen für VMware Tunnel
Port Protokoll Quelle Ziel Verifizierung Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)
2020* HTTPS Geräte (aus Internet und WLAN-Verbindung) VMware Tunnel-Proxy Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port]
8443* TCP Geräte (aus Internet und WLAN-Verbindung) App-spezifischer VMware Tunnel-Tunnel Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port] 1
Tabelle 7. Einfache VMware Tunnel-Endpoint-Konfiguration
Port Protokoll Quelle Ziel Verifizierung Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)
SaaS: 443

: 2001*

HTTPS VMware Tunnel AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

Als Antwort wird HTTP 200 OK erwartet.

2
SaaS: 443

Lokal: 80 oder 443

HTTP oder HTTPS VMware Tunnel Workspace ONE UEM-REST-API-Endpoint
  • SaaS: https://asXXX.awmdm. com oder https://asXXX. airwatchportals.com
  • Lokal: In der Regel Ihr DS- oder Konsolenserver
curl -Ivv https://<API URL>/api/mdm/ping

Als Antwort wird HTTP 401 unauthorized erwartet.

5
80, 443, alle TCP-Ports HTTP, HTTPS oder TCP VMware Tunnel Interne Ressourcen Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann. 4
514* UDP VMware Tunnel Syslog-Server
Lokal: 2020 HTTPS Workspace ONE UEM Console VMware Tunnel-Proxy Lokale Benutzer können die Verbindung mit dem telnet-Befehl testen: telnet <Tunnel Proxy URL> <port> 6
Tabelle 8. VMware Tunnel-Konfiguration für mehrstufigen Modus
Port Protokoll Quelle Ziel Verifizierung Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)
SaaS: 443

Lokal: 2001*

TLS v1. 2 VMware Tunnel-Front-End AirWatch Cloud Messaging Server Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten. 2
8443 TLS v1. 2 VMware Tunnel-Front-End VMware Tunnel-Back-End Telnet von VMware Tunnel-Front-End zum VMware Tunnel-Back-End-Server auf Port 3
SaaS: 443

Lokal: 2001

TLS v1. 2 VMware Tunnel-Back-End AirWatch Cloud Messaging Server Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten. 2
80 oder 443 TCP VMware Tunnel-Back-End Interne Websites/Webanwendungen 4
80, 443, alle TCP-Ports TCP VMware Tunnel-Back-End Interne Ressourcen 4
80 oder 443 HTTPS VMware Tunnel-Front-End und -Back-End Workspace ONE UEM-REST-API-Endpoint
  • SaaS: https://asXXX.awmdm. com oder https://asXXX. airwatchportals.com
  • Lokal: In der Regel Ihr DS- oder Konsolenserver
curl -Ivv https://<API URL>/api/mdm/ping

Als Antwort wird HTTP 401 unauthorized erwartet.

5
Tabelle 9. VMware Tunnel-Relay-Endpoint-Konfiguration
Port Protokoll Quelle Ziel Verifizierung Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)
SaaS: 443

Lokal: 2001

HTTP oder HTTPS VMware Tunnel-Relay AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

Als Antwort wird HTTP 200 OK erwartet.

2
80 oder 443 HTTPS oder HTTPS VMware Tunnel-Endpoint und -Relay Workspace ONE UEM-REST-API-Endpoint
  • SaaS: https://asXXX.awmdm. com oder https://asXXX. airwatchportals.com
  • Lokal: In der Regel Ihr DS- oder Konsolenserver
curl -Ivv https://<API URL>/api/mdm/ping

Als Antwort wird HTTP 401 unauthorized erwartet.

Der VMware Tunnel-Endpoint erfordert den Zugriff auf den REST-API-Endpoint nur bei der ersten Bereitstellung.

5
2010* HTTPS VMware Tunnel-Relay VMware Tunnel-Endpoint Telnet von VMware Tunnel-Relay zum VMware Tunnel-Endpoint-Server auf Port 3
80, 443, alle TCP-Ports HTTP, HTTPS oder TCP VMware Tunnel-Endpoint Interne Ressourcen Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann. 4
514* UDP VMware Tunnel Syslog-Server
Lokal: 2020 HTTPS Workspace ONE UEM VMware Tunnel-Proxy Lokale Benutzer können die Verbindung mit dem telnet-Befehl testen: telnet <Tunnel Proxy URL> <port> 6
Hinweis: Die folgenden Punkte gelten für die VMware Tunnel-Anforderungen.

* – Dieser Port kann je nach den Einschränkungen Ihrer Umgebung bei Bedarf geändert werden.

  1. Wenn Port 443 verwendet wird, überwacht der App-spezifische Tunnel Port 8443.
    Hinweis: Wenn VMware Tunnel- und Content Gateway-Dienste auf derselben Appliance aktiviert sind und die TLS-Portfreigabe aktiviert ist, müssen die DNS-Namen für jeden Dienst eindeutig sein. Wenn TLS nicht aktiviert ist, kann nur ein DNS-Name für beide Dienste verwendet werden, da der Port den eingehenden Datenverkehr einteilt. (Bei Content Gateway gilt: Wenn Port 443 verwendet wird, überwacht Content Gateway den Port 10443.)
  2. Damit der VMware Tunnel die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann.
  3. Damit VMware Tunnel-Relay-Topologien Geräteanforderungen nur an den internen VMware Tunnel-Endpoint weiterleiten.
  4. Damit Anwendungen, die VMware Tunnel verwenden, auf interne Ressourcen zugreifen können.
  5. Der VMware Tunnel muss mit der API zur Initialisierung kommunizieren. Stellen Sie sicher, dass Konnektivität zwischen der REST-API und dem VMware Tunnel-Server vorhanden ist. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, um die REST-API-Server-URL festzulegen. Diese Seite ist für SaaS-Kunden nicht verfügbar. Die REST-API-URL für SaaS-Kunden ist in der Regel Ihre Konsolen- oder Gerätedienst-Server-URL.
  6. Dies ist erforderlich für eine erfolgreiche Testverbindung zum VMware Tunnel-Proxy von der Workspace ONE UEM Console. Die Anforderung ist optional und kann ohne Verlust von Gerätefunktionen ausgelassen werden. Bei SaaS-Kunden hat die Workspace ONE UEM Console möglicherweise bereits eine eingehende Verbindung zum VMware Tunnel-Proxy auf Port 2020 aufgrund der Anforderung zum eingehenden Internet an Port 2020.