Für Umkreisnetzwerk-basierte Unified Access Gateway-Appliances müssen für die Front-End- und Back-End-Firewall bestimmte Firewall-Regeln aktiviert sein. Während der Installation werden Unified Access Gateway-Dienste standardmäßig für die Überwachung an bestimmten Netzwerkports eingerichtet.

Die Bereitstellung einer Umkreisnetzwerk-basierten Unified Access Gateway-Appliance beinhaltet in der Regel zwei Firewalls:

  • Eine externe, dem Netzwerk vorgelagerte Front-End-Firewall ist erforderlich, um sowohl das Umkreisnetzwerk als auch das interne Netzwerk zu schützen. Diese Firewall wird so konfiguriert, dass externer Netzwerkdatenverkehr das Umkreisnetzwerk erreichen kann.

  • Eine Back-End-Firewall zwischen dem Umkreisnetzwerk und dem internen Netzwerk dient zum Bereitstellen einer zweiten Sicherheitsebene. Diese Firewall wird so konfiguriert, dass nur Datenverkehr zugelassen wird, der von Diensten innerhalb des Umkreisnetzwerks stammt.

Mithilfe von Firewall-Richtlinien wird die von Diensten im Umkreisnetzwerk (in der demilitarisierten Netzwerkzone/DMZ) eingehende Kommunikation streng kontrolliert, wodurch das Risiko einer Gefährdung des internen Netzwerks stark vermindert wird.

Die folgenden Tabellen enthält die Portanforderungen für die verschiedenen Dienste innerhalb von Unified Access Gateway.

Hinweis:

Für alle UDP-Ports müssen Weiterleitungs- und Antwort-Datagramme erlaubt sein.

Tabelle 1. Portanforderungen für Horizon-Verbindungsserver

Port

Protokoll

Quelle

Ziel

Beschreibung

443

TCP

Internet

Unified Access Gateway

Datenverkehr aus dem Internet, Horizon Client XML-API, Horizon Tunnel und Blast Extreme

443

UDP

Internet

Unified Access Gateway

UDP 443 wird intern an UDP 9443 auf UDP-Tunnelserver-Dienst auf Unified Access Gatewayweitergeleitet.

8443

UDP

Internet

Unified Access Gateway

Blast Extreme (optional)

8443

TCP

Internet

Unified Access Gateway

Blast Extreme (optional)

4172

TCP und UDP

Internet

Unified Access Gateway

PCoIP (optional)

443

TCP

Unified Access Gateway

Horizon-Verbindungsserver

Horizon Client XML-API, Blast Extreme HTML Access, Horizon Air-Konsolenzugriff (HACA)

22443

TCP und UDP

Unified Access Gateway

Desktops und RDS-Hosts

Blast Extreme

4172

TCP und UDP

Unified Access Gateway

Desktops und RDS-Hosts

PCoIP (optional)

32111

TCP

Unified Access Gateway

Desktops und RDS-Hosts

Framework-Kanal für USB-Umleitung

9427

TCP

Unified Access Gateway

Desktops und RDS-Hosts

MMR und CDR

Hinweis:

Damit sich externe Client-Geräte in der DMZ mit einer Unified Access Gateway-Appliance verbinden können, muss die Front-End-Firewall Datenverkehr an bestimmten Ports zulassen. Standardmäßig werden die externen Clientgeräte und externen Webclients (HTML Access) mit einer Unified Access Gateway-Appliance in der DMZ an TCP-Port 443 verbunden. Wenn Sie das Blast-Protokoll verwenden, muss Port 8443 in der Firewall geöffnet sein, Sie können Blast jedoch auch für Port 443 konfigurieren.

Tabelle 2. Portanforderungen für Web-Reverse-Proxy

Port

Protokoll

Quelle

Ziel

Beschreibung

443

TCP

Internet

Unified Access Gateway

Für Web-Datenverkehr

Beliebig

TCP

Unified Access Gateway

Intranet-Site

Alle konfigurierten benutzerdefinierten Ports, auf denen das Intranet überwacht wird. Beispiel: 80, 443, 8080 usw.

88

TCP

Unified Access Gateway

KDC-Server/AD-Server

Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist.

88

UDP

Unified Access Gateway

KDC-Server/AD-Server

Erforderlich für Identity Bridging zum Zugriff auf AD, wenn SAML-to-Kerberos/Certificate-to-Kerberos konfiguriert ist.

Tabelle 3. Portanforderungen für Admin-Benutzeroberfläche

Port

Protokoll

Quelle

Ziel

Beschreibung

9443

TCP

Admin-Benutzeroberfläche

Unified Access Gateway

Schnittstelle zur Verwaltung

Tabelle 4. Portanforderungen für einfache Content Gateway-Endpoint-Konfiguration

Port

Protokoll

Quelle

Ziel

Beschreibung

443* oder jeder beliebige Port > 1024

HTTPS

Geräte (aus Internet und WLAN-Verbindung)

Unified Access Gateway Content Gateway-Endpoint

Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.

443* oder jeder beliebige Port > 1024

HTTPS

VMware AirWatch-Gerätedienste

Unified Access Gateway Content Gateway-Endpoint

443* oder jeder beliebige Port > 1024

HTTPS

Workspace ONE UEM Console

Unified Access Gateway Content Gateway-Endpoint

Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.

Jeder Port, der vom Repository überwacht wird.

HTTP oder HTTPS

Unified Access Gateway Content Gateway-Endpoint

Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw.

Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird.

137–139 und 445

CIFS oder SMB

Unified Access Gateway Content Gateway-Endpoint

Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben)

Intranet-Freigaben

Tabelle 5. Portanforderungen für Content Gateway-Relay-Endpoint-Konfiguration

Port

Protokoll

Quelle

Ziel

Beschreibung

443* oder jeder beliebige Port > 1024

HTTP/HTTPS

Unified Access Gateway-Relay-Server (Content Gateway-Relay)

Unified Access Gateway Content Gateway-Endpoint

Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.

443* oder jeder beliebige Port > 1024

HTTPS

Geräte (aus Internet und WLAN-Verbindung)

Unified Access Gateway-Relay-Server (Content Gateway-Relay)

Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.

443* oder jeder beliebige Port > 1024

TCP

AirWatch Gerätedienste

Unified Access Gateway-Relay-Server (Content Gateway-Relay)

Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.

443* oder jeder beliebige Port > 1024

HTTPS

Workspace ONE UEM Console

Jeder Port, der vom Repository überwacht wird.

HTTP oder HTTPS

Unified Access Gateway Content Gateway-Endpoint

Webbasierte Inhalts-Repositorys wie z. B. SharePoint/WebDAV/CMIS usw.

Alle konfigurierten benutzerdefinierten Ports, auf denen die Intranet-Site überwacht wird.

443* oder jeder beliebige Port > 1024

HTTPS

Unified Access Gateway (Content Gateway-Relay)

Unified Access Gateway Content Gateway-Endpoint

Wenn 443 verwendet wird, wird Port 10443 von Content Gateway überwacht.

137–139 und 445

CIFS oder SMB

Unified Access Gateway Content Gateway-Endpoint

Netzwerkfreigabe-basierte Repositorys (Windows-Dateifreigaben)

Intranet-Freigaben

Hinweis:

Da der Content Gateway-Dienst als Nicht-Root-Benutzer in Unified Access Gateway ausgeführt wird, kann Content Gateway nicht auf Systemports ausgeführt werden. Daher sollten benutzerdefinierte Ports > 1024 sein.

Tabelle 6. Portanforderungen für VMware Tunnel

Port

Protokoll

Quelle

Ziel

Verifizierung

Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)

2020*

HTTPS

Geräte (aus Internet und WLAN-Verbindung)

VMware Tunnel-Proxy

Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port]

8443 *

TCP

Geräte (aus Internet und WLAN-Verbindung)

App-spezifischer VMware Tunnel-Tunnel

Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port]

1

Tabelle 7. Einfache VMware Tunnel-Endpoint-Konfiguration

Port

Protokoll

Quelle

Ziel

Verifizierung

Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)

SaaS: 443

: 2001*

HTTPS

VMware Tunnel

AirWatch Cloud Messaging Server

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

Als Antwort wird HTTP 200 OK erwartet.

2

SaaS: 443

Lokal: 80 oder 443

HTTP oder HTTPS

VMware Tunnel

Workspace ONE UEM-REST-API-Endpoint

  • SaaS: https://asXXX.awmdm. com oder https://asXXX. airwatchportals.com

  • Lokal: In der Regel Ihr DS- oder Konsolenserver

curl -Ivv https://<API URL>/api/mdm/ping

Als Antwort wird HTTP 401 unauthorized erwartet.

5

80, 443, alle TCP-Ports

HTTP, HTTPS oder TCP

VMware Tunnel

Interne Ressourcen

Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann.

4

514*

UDP

VMware Tunnel

Syslog-Server

Lokal: 2020

HTTPS

Workspace ONE UEM Console

VMware Tunnel-Proxy

Lokale Benutzer können die Verbindung mit dem telnet-Befehl testen: telnet <Tunnel Proxy URL> <port>

6

Tabelle 8. VMware Tunnel-Konfiguration für mehrstufigen Modus

Port

Protokoll

Quelle

Ziel

Verifizierung

Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)

SaaS: 443

Lokal: 2001*

TLS v1.2

VMware Tunnel-Front-End

AirWatch Cloud Messaging Server

Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten.

2

8443

TLS v1.2

VMware Tunnel-Front-End

VMware Tunnel-Back-End

Telnet von VMware Tunnel-Front-End zum VMware Tunnel-Back-End-Server auf Port

3

SaaS: 443

Lokal: 2001

TLS v1.2

VMware Tunnel-Back-End

AirWatch Cloud Messaging Server

Senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie eine HTTP 200-Antwort erhalten.

2

80 oder 443

TCP

VMware Tunnel-Back-End

Interne Websites/Webanwendungen

4

80, 443, alle TCP-Ports

TCP

VMware Tunnel-Back-End

Interne Ressourcen

4

80 oder 443

HTTPS

VMware Tunnel-Front-End und -Back-End

Workspace ONE UEM-REST-API-Endpoint

  • SaaS: https://asXXX.awmdm. com oder https://asXXX. airwatchportals.com

  • Lokal: In der Regel Ihr DS- oder Konsolenserver

curl -Ivv https://<API URL>/api/mdm/ping

Als Antwort wird HTTP 401 unauthorized erwartet.

5

Tabelle 9. VMware Tunnel-Relay-Endpoint-Konfiguration

Port

Protokoll

Quelle

Ziel

Verifizierung

Hinweis (siehe Abschnitt „Hinweis“ am Ende der Seite)

SaaS: 443

Lokal: 2001

HTTP oder HTTPS

VMware Tunnel-Relay

AirWatch Cloud Messaging Server

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

Als Antwort wird HTTP 200 OK erwartet.

2

80 oder 443

HTTPS oder HTTPS

VMware Tunnel-Endpoint und -Relay

Workspace ONE UEM-REST-API-Endpoint

  • SaaS: https://asXXX.awmdm. com oder https://asXXX. airwatchportals.com

  • Lokal: In der Regel Ihr DS- oder Konsolenserver

curl -Ivv https://<API URL>/api/mdm/ping

Als Antwort wird HTTP 401 unauthorized erwartet.

Der VMware Tunnel-Endpoint erfordert den Zugriff auf den REST-API-Endpoint nur bei der ersten Bereitstellung.

5

2010*

HTTPS

VMware Tunnel-Relay

VMware Tunnel-Endpoint

Telnet von VMware Tunnel-Relay zum VMware Tunnel-Endpoint-Server auf Port

3

80, 443, alle TCP-Ports

HTTP, HTTPS oder TCP

VMware Tunnel-Endpoint

Interne Ressourcen

Stellen Sie sicher, dass der VMware Tunnel auf interne Ressourcen über den erforderlichen Port zugreifen kann.

4

514*

UDP

VMware Tunnel

Syslog-Server

Lokal: 2020

HTTPS

Workspace ONE UEM

VMware Tunnel-Proxy

Lokale Benutzer können die Verbindung mit dem telnet-Befehl testen: telnet <Tunnel Proxy URL> <port>

6

Hinweis:

Die folgenden Punkte gelten für die VMware Tunnel-Anforderungen.

* – Dieser Port kann je nach den Einschränkungen Ihrer Umgebung bei Bedarf geändert werden.

  1. Wenn Port 443 verwendet wird, überwacht der App-spezifische Tunnel Port 8443.

    Hinweis:

    Wenn VMware Tunnel- und Content Gateway-Dienste auf derselben Appliance aktiviert sind und die TLS-Portfreigabe aktiviert ist, müssen die DNS-Namen für jeden Dienst eindeutig sein. Wenn TLS nicht aktiviert ist, kann nur ein DNS-Name für beide Dienste verwendet werden, da der Port den eingehenden Datenverkehr einteilt. (Bei Content Gateway gilt: Wenn Port 443 verwendet wird, überwacht Content Gateway den Port 10443.)

  2. Damit der VMware Tunnel die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann.

  3. Damit VMware Tunnel-Relay-Topologien Geräteanforderungen nur an den internen VMware Tunnel-Endpoint weiterleiten.

  4. Damit Anwendungen, die VMware Tunnel verwenden, auf interne Ressourcen zugreifen können.

  5. Der VMware Tunnel muss mit der API zur Initialisierung kommunizieren. Stellen Sie sicher, dass Konnektivität zwischen der REST-API und dem VMware Tunnel-Server vorhanden ist. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, um die REST-API-Server-URL festzulegen. Diese Seite ist für SaaS-Kunden nicht verfügbar. Die REST-API-URL für SaaS-Kunden ist in der Regel Ihre Konsolen- oder Gerätedienst-Server-URL.

  6. Dies ist erforderlich für eine erfolgreiche Testverbindung zum VMware Tunnel-Proxy von der Workspace ONE UEM Console. Die Anforderung ist optional und kann ohne Verlust von Gerätefunktionalität ausgelassen werden. Bei SaaS-Kunden hat die Workspace ONE UEM Console möglicherweise bereits eine eingehende Verbindung zum VMware Tunnel-Proxy auf Port 2020 aufgrund der Anforderung zum eingehenden Internet an Port 2020.