Für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances müssen für die Front-End- und Back-End-Firewall bestimmte Firewall-Regeln aktiviert sein. Während der Installation werden Unified Access Gateway-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet.
Die Bereitstellung einer Umkreisnetzwerk-basierten Unified Access Gateway-Appliance beinhaltet in der Regel zwei Firewalls:
Eine externe, dem Netzwerk vorgelagerte Front-End-Firewall ist erforderlich, um sowohl das Umkreisnetzwerk als auch das interne Netzwerk zu schützen. Diese Firewall wird so konfiguriert, dass externer Netzwerkdatenverkehr das Umkreisnetzwerk erreichen kann.
Eine Back-End-Firewall zwischen dem Umkreisnetzwerk und dem internen Netzwerk dient zum Bereitstellen einer zweiten Sicherheitsebene. Diese Firewall wird so konfiguriert, dass nur Datenverkehr zugelassen wird, der von Diensten innerhalb des Umkreisnetzwerks stammt.
Mithilfe von Firewall-Richtlinien wird die von Diensten im Umkreisnetzwerk (in der demilitarisierten Netzwerkzone/DMZ) eingehende Kommunikation streng kontrolliert, wodurch das Risiko einer Gefährdung des internen Netzwerks stark vermindert wird.
Die folgenden Tabellen enthält die Portanforderungen für die verschiedenen Dienste innerhalb von Unified Access Gateway.
Für alle UDP-Ports müssen Weiterleitungs- und Antwort-Datagramme erlaubt sein.
Port |
Protokoll |
Quelle |
Ziel |
Beschreibung |
|---|---|---|---|---|
443 |
TCP |
Internet |
Unified Access Gateway |
Datenverkehr aus dem Internet, Horizon Client XML-API, Horizon Tunnel und Blast Extreme |
443 |
UDP |
Internet |
Unified Access Gateway |
UDP 443 wird intern an UDP 9443 auf UDP-Tunnelserver-Dienst auf Unified Access Gatewayweitergeleitet. |
8443 |
UDP |
Internet |
Unified Access Gateway |
Blast Extreme (optional) |
8443 |
TCP |
Internet |
Unified Access Gateway |
Blast Extreme (optional) |
4172 |
TCP und UDP |
Internet |
Unified Access Gateway |
PCoIP (optional) |
443 |
TCP |
Unified Access Gateway |
Horizon-Verbindungsserver |
Horizon Client XML-API, Blast Extreme HTML Access, Horizon Air-Konsolenzugriff (HACA) |
22443 |
TCP und UDP |
Unified Access Gateway |
Desktops und RDS-Hosts |
Blast Extreme |
4172 |
TCP und UDP |
Unified Access Gateway |
Desktops und RDS-Hosts |
PCoIP (optional) |
32111 |
TCP |
Unified Access Gateway |
Desktops und RDS-Hosts |
Framework-Kanal für USB-Umleitung |
9427 |
TCP |
Unified Access Gateway |
Desktops und RDS-Hosts |
MMR und CDR |
Damit sich externe Client-Geräte in der DMZ mit einer Unified Access Gateway-Appliance verbinden können, muss die Front-End-Firewall Datenverkehr an bestimmten Ports zulassen. Standardmäßig werden die externen Clientgeräte und externen Webclients (HTML Access) mit einer Unified Access Gateway-Appliance in der DMZ an TCP-Port 443 verbunden. Wenn Sie das Blast-Protokoll verwenden, muss Port 8443 in der Firewall geöffnet sein, Sie können Blast jedoch auch für Port 443 konfigurieren.
Port |
Protokoll |
Quelle |
Ziel |
Beschreibung |
|---|---|---|---|---|
443 |
TCP |
Internet |
Unified Access Gateway |
Für Web-Datenverkehr |
Beliebig |
TCP |
Unified Access Gateway |
Intranet-Site |
Alle konfigurierten benutzerdefinierten Ports, auf denen das Intranet überwacht wird. Beispiel: 80, 443, 8080 usw. |
88 |
TCP |
Unified Access Gateway |
KDC-Server/AD-Server |
Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist. |
88 |
UDP |
Unified Access Gateway |
KDC-Server/AD-Server |
Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist. |
Port |
Protokoll |
Quelle |
Ziel |
Beschreibung |
|---|---|---|---|---|
9443 |
TCP |
Admin-Benutzeroberfläche |
Unified Access Gateway |
Schnittstelle zur Verwaltung |
Port |
Protokoll |
Quelle |
Ziel |
Beschreibung |
|---|---|---|---|---|
443* oder jeder beliebige Port > 1024 |
HTTPS |
Geräte (aus Internet und WLAN-Verbindung) |
Unified Access Gateway Content Gateway-Endpoint |
Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
443* oder jeder beliebige Port > 1024 |
HTTPS |
VMware AirWatch-Gerätedienste |
Unified Access Gateway Content Gateway-Endpoint |
|
443* oder jeder beliebige Port > 1024 |
HTTPS |
Workspace ONE UEM Console |
Unified Access Gateway Content Gateway-Endpoint |
Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
Jeder Port, der vom Repository überwacht wird. |
HTTP oder HTTPS |
Unified Access Gateway Content Gateway-Endpoint |
Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw. |
Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird. |
137–139 und 445 |
CIFS oder SMB |
Unified Access Gateway Content Gateway-Endpoint |
Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben) |
Intranet-Freigaben |
Port |
Protokoll |
Quelle |
Ziel |
Beschreibung |
|---|---|---|---|---|
443* oder jeder beliebige Port > 1024 |
HTTP/HTTPS |
Unified Access Gateway-Relay-Server (Content Gateway-Relay) |
Unified Access Gateway Content Gateway-Endpoint |
Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
443* oder jeder beliebige Port > 1024 |
HTTPS |
Geräte (aus Internet und WLAN-Verbindung) |
Unified Access Gateway-Relay-Server (Content Gateway-Relay) |
Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
443* oder jeder beliebige Port > 1024 |
TCP |
AirWatch Gerätedienste |
Unified Access Gateway-Relay-Server (Content Gateway-Relay) |
Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
443* oder jeder beliebige Port > 1024 |
HTTPS |
Workspace ONE UEM Console |
||
Jeder Port, der vom Repository überwacht wird. |
HTTP oder HTTPS |
Unified Access Gateway Content Gateway-Endpoint |
Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw. |
Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird. |
443* oder jeder beliebige Port > 1024 |
HTTPS |
Unified Access Gateway (Content Gateway-Relay) |
Unified Access Gateway Content Gateway-Endpoint |
Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht. |
137–139 und 445 |
CIFS oder SMB |
Unified Access Gateway Content Gateway-Endpoint |
Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben) |
Intranet-Freigaben |
Da der Content Gateway-Dienst als Nicht-Root-Benutzer in Unified Access Gateway ausgeführt wird, kann Content Gateway nicht auf Systemports ausgeführt werden. Daher sollten benutzerdefinierte Ports > 1024 sein.
Port |
Protokoll |
Quelle |
Ziel |
Verifizierung |
Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite) |
|---|---|---|---|---|---|
2020* |
HTTPS |
Geräte (aus Internet und WLAN-Verbindung) |
VMware Tunnel-Proxy |
Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port] |
|
8443 * |
TCP |
Geräte (aus Internet und WLAN-Verbindung) |
App-spezifischer VMware Tunnel-Tunnel |
Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port] |
1 |
Port |
Protokoll |
Quelle |
Ziel |
Verifizierung |
Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite) |
|---|---|---|---|---|---|
SaaS: 443 : 2001* |
HTTPS |
VMware Tunnel |
AirWatch Cloud Messaging Server |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping Als Antwort wird HTTP 200 OK erwartet. |
2 |
SaaS: 443 Lokal: 80 oder 443 |
HTTP oder HTTPS |
VMware Tunnel |
Workspace ONE UEM-REST-API-Endpoint
|
curl -Ivv https://<API URL>/api/mdm/ping Als Antwort wird HTTP 401 unauthorized erwartet. |
5 |
80, 443, alle TCP-Ports |
HTTP, HTTPS oder TCP |
VMware Tunnel |
Interne Ressourcen |
Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann. |
4 |
514* |
UDP |
VMware Tunnel |
Syslog-Server |
||
Lokal: 2020 |
HTTPS |
Workspace ONE UEM Console |
VMware Tunnel-Proxy |
Lokale Benutzer können die Verbindung mit dem telnet-Befehl testen: telnet <Tunnel Proxy URL> <port> |
6 |
Port |
Protokoll |
Quelle |
Ziel |
Verifizierung |
Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite) |
|---|---|---|---|---|---|
SaaS: 443 Lokal: 2001* |
TLS v1.2 |
VMware Tunnel-Front-End |
AirWatch Cloud Messaging Server |
Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten. |
2 |
8443 |
TLS v1.2 |
VMware Tunnel-Front-End |
VMware Tunnel-Back-End |
Telnet von VMware Tunnel-Front-End zum VMware Tunnel-Back-End-Server auf Port |
3 |
SaaS: 443 Lokal: 2001 |
TLS v1.2 |
VMware Tunnel-Back-End |
AirWatch Cloud Messaging Server |
Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten. |
2 |
80 oder 443 |
TCP |
VMware Tunnel-Back-End |
Interne Websites/Webanwendungen |
4 |
|
80, 443, alle TCP-Ports |
TCP |
VMware Tunnel-Back-End |
Interne Ressourcen |
4 |
|
80 oder 443 |
HTTPS |
VMware Tunnel-Front-End und -Back-End |
Workspace ONE UEM-REST-API-Endpoint
|
curl -Ivv https://<API URL>/api/mdm/ping Als Antwort wird HTTP 401 unauthorized erwartet. |
5 |
Port |
Protokoll |
Quelle |
Ziel |
Verifizierung |
Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite) |
|---|---|---|---|---|---|
SaaS: 443 Lokal: 2001 |
HTTP oder HTTPS |
VMware Tunnel-Relay |
AirWatch Cloud Messaging Server |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping Als Antwort wird HTTP 200 OK erwartet. |
2 |
80 oder 443 |
HTTPS oder HTTPS |
VMware Tunnel-Endpoint und -Relay |
Workspace ONE UEM-REST-API-Endpoint
|
curl -Ivv https://<API URL>/api/mdm/ping Als Antwort wird HTTP 401 unauthorized erwartet. Der VMware Tunnel-Endpoint erfordert den Zugriff auf den REST-API-Endpoint nur bei der ersten Bereitstellung. |
5 |
2010* |
HTTPS |
VMware Tunnel-Relay |
VMware Tunnel-Endpoint |
Telnet von VMware Tunnel-Relay zum VMware Tunnel-Endpoint-Server auf Port |
3 |
80, 443, alle TCP-Ports |
HTTP, HTTPS oder TCP |
VMware Tunnel-Endpoint |
Interne Ressourcen |
Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann. |
4 |
514* |
UDP |
VMware Tunnel |
Syslog-Server |
||
Lokal: 2020 |
HTTPS |
Workspace ONE UEM |
VMware Tunnel-Proxy |
Lokale Benutzer können die Verbindung mit dem telnet-Befehl testen: telnet <Tunnel Proxy URL> <port> |
6 |
Die folgenden Punkte gelten für die VMware Tunnel-Anforderungen.
* – Dieser Port kann je nach den Einschränkungen Ihrer Umgebung bei Bedarf geändert werden.
Wenn Port 443 verwendet wird, überwacht der App-spezifische Tunnel Port 8443.
Hinweis:Wenn VMware Tunnel- und Content Gateway-Dienste auf derselben Appliance aktiviert sind und die TLS-Portfreigabe aktiviert ist, müssen die DNS-Namen für jeden Dienst eindeutig sein. Wenn TLS nicht aktiviert ist, kann nur ein DNS-Name für beide Dienste verwendet werden, da der Port den eingehenden Datenverkehr einteilt. (Bei Content Gateway gilt: Wenn Port 443 verwendet wird, überwacht Content Gateway den Port 10443.)
Damit der VMware Tunnel die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann.
Damit VMware Tunnel-Relay-Topologien Geräteanforderungen nur an den internen VMware Tunnel-Endpoint weiterleiten.
Damit Anwendungen, die VMware Tunnel verwenden, auf interne Ressourcen zugreifen können.
Der VMware Tunnel muss mit der API zur Initialisierung kommunizieren. Stellen Sie sicher, dass Konnektivität zwischen der REST-API und dem VMware Tunnel-Server vorhanden ist. Navigieren Sie zu , um die REST-API-Server-URL festzulegen. Diese Seite ist für SaaS-Kunden nicht verfügbar. Die REST-API-URL für SaaS-Kunden ist in der Regel Ihre Konsolen- oder Gerätedienst-Server-URL.
Dies ist erforderlich für eine erfolgreiche Testverbindung zum VMware Tunnel-Proxy von der Workspace ONE UEM Console. Die Anforderung ist optional und kann ohne Verlust von Gerätefunktionalität ausgelassen werden. Bei SaaS-Kunden hat die Workspace ONE UEM Console möglicherweise bereits eine eingehende Verbindung zum VMware Tunnel-Proxy auf Port 2020 aufgrund der Anforderung zum eingehenden Internet an Port 2020.
