Los dispositivos de Unified Access Gateway basados en DMZ requieren la configuración de ciertas reglas del firewall en los firewall del front-end y el back-end. Durante la instalación, se configuran los servicios de Unified Access Gateway para la escucha en determinados puertos de la red predeterminados.
La implementación de un dispositivo de Unified Access Gateway basado en DMZ incluye normalmente dos firewalls:
- Se necesita un firewall de front-end dirigido a la red externa, que protege tanto la DMZ como la red interna. Este firewall se configura para permitir que el tráfico de la red externa llegue a la DMZ.
- Se necesita un firewall de back-end entre la DMZ y la red interna, que proporciona un segundo nivel de seguridad. Este firewall se configura para aceptar solo el tráfico que se origina desde los servicios dentro de la DMZ.
La directiva del firewall controla estrictamente las comunicaciones entrantes desde el servicio de la DMZ, lo que reduce en gran medida los riesgos para la red interna.
En las siguientes tablas se indican los requisitos de puertos para los distintos servicios dentro de
Unified Access Gateway.
Nota: Todos los puertos UDP requieren que se permitan los datagramas de reenvío y de respuesta. Los servicios de
Unified Access Gateway usan DNS para resolver los nombres de host. Las direcciones IP del servidor DNS se pueden configurar. Las solicitudes de DNS se realizan en el puerto UDP 53 y, por lo tanto, es importante que un firewall externo no bloquee estas solicitudes o respuestas.
| Puerto | Protocolo | Origen | Objetivo o destino | Descripción |
|---|---|---|---|---|
| 443* o cualquier otro puerto mayor que 1024 | HTTPS | Dispositivos (de Internet y WiFi) | Unified Access Gateway Endpoint de Secure Email Gateway |
Secure Email Gateway escucha en el puerto 11443. Cuando se configura 443 o cualquier otro puerto, Unified Access Gateway enrutará internamente el tráfico de SEG a 11443. |
| 443* o cualquier otro puerto mayor que 1024 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Endpoint de Secure Email Gateway |
Secure Email Gateway escucha en el puerto 11443. Cuando se configura 443 o cualquier otro puerto, Unified Access Gateway enrutará internamente el tráfico de SEG a 11443. |
| 443* o cualquier otro puerto mayor que 1024 | HTTPS | Email Notification Service (cuando está habilitado) | Unified Access Gateway Endpoint de Secure Email Gateway |
Secure Email Gateway escucha en el puerto 11443. Cuando se configura 443 o cualquier otro puerto, Unified Access Gateway enrutará internamente el tráfico de SEG a 11443. |
| 5701 | TCP | Secure Email Gateway | Secure Email Gateway | Se utiliza para la memoria caché distribuida de Hazelcast. |
| 41232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | Se utiliza para la administración de clústeres de Vertx. |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | Se utiliza para las funcionalidades administrativas y de diagnóstico. |
| Cualquiera | HTTPS | Secure Email Gateway | Servidor de correo electrónico | SEG se conecta al puerto de escucha del servidor de correo electrónico, que suele ser 443, para atender el tráfico de correo electrónico |
| Cualquiera | HTTPS | Secure Email Gateway | Servidor de API de Workspace ONE UEM | SEG recupera los datos de configuración y directiva de Workspace ONE. El puerto suele ser 443. |
| 88 | TCP | Secure Email Gateway | Servidor KDC o servidor de AD | Se utiliza para recuperar tokens de autenticación Kerberos cuando la autenticación KCD está habilitada. |
Nota: Como el servicio de Secure Email Gateway (SEG) se ejecuta como un usuario no raíz en Unified Access Gateway, SEG no se puede ejecutar en los puertos del sistema. Por ello, los puertos personalizados deben ser mayores que el puerto 1024.
| Puerto | Protocolo | Origen | Destino | Descripción |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Para tráfico web, Horizon Client XML - API, Horizon Tunnel y Blast Extreme |
| 443 | UDP | Internet | Unified Access Gateway | UDP 443 se reenvía internamente a UDP 9443 en el servicio del servidor de túnel de UDP de Unified Access Gateway. |
| 8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
| 8443 | TCP | Internet | Unified Access Gateway | Blast Extreme (opcional) |
| 4172 | TCP y UDP | Internet | Unified Access Gateway | PCoIP (opcional) |
| 443 | TCP | Unified Access Gateway | Servidor de conexión de Horizon | Horizon Client XML-API, Blast extreme HTML Access, Horizon Air Console Access (HACA) |
| 22443 | TCP y UDP | Unified Access Gateway | Escritorios y hosts RDS | Blast Extreme |
| 4172 | TCP y UDP | Unified Access Gateway | Escritorios y hosts RDS | PCoIP (opcional) |
| 32111 | TCP | Unified Access Gateway | Escritorios y hosts RDS | Canal del marco de trabajo para el redireccionamiento USB |
| 3389 | TCP | Unified Access Gateway | Escritorios y hosts RDS | Solo es necesario si Horizon Client usa el protocolo RDP. |
| 9427 | TCP | Unified Access Gateway | Escritorios y hosts RDS | Funciones de MMR, CDR y HTML5; por ejemplo, optimización de Microsoft Teams, redireccionamiento de navegador, etc. |
Nota: Para permitir que los dispositivos de clientes externos se conecten a un dispositivo
Unified Access Gateway dentro de la DMZ, el firewall de front-end debe permitir el tráfico en determinados puertos. De forma predeterminada, los dispositivos cliente externos y los clientes web externos (HTML Access) se conectan a un dispositivo
Unified Access Gateway dentro de la DMZ en el puerto TCP 443. Si utiliza el protocolo Blast, el puerto 8443 debe estar abierto en el firewall. Si utiliza Blast a través del puerto TCP 443, no es necesario abrir TCP 8443 en el firewall.
| Puerto | Protocolo | Origen | Destino | Descripción |
|---|---|---|---|---|
| 443 | HTTPS | Unified Access Gateway | Servidor de Workspace ONE Intelligence | curl -ILvv https://<api_server_hostname>/v1/device/risk_score curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials La respuesta esperada es HTTP 401 no autorizado. |
| Puerto | Protocolo | Origen | Destino | Descripción |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Para el tráfico web |
| Cualquiera | TCP | Unified Access Gateway | Sitio de intranet | Cualquier puerto personalizado configurado en el que la intranet esté escuchando. Por ejemplo, 80, 443, 8080 etc. |
| 88 | TCP | Unified Access Gateway | Servidor KDC o servidor de AD | Se requiere para que el puente de identidades acceda a AD si está configurado SAML a Kerberos o certificado a Kerberos. |
| 88 | UDP | Unified Access Gateway | Servidor KDC o servidor de AD | Se requiere para que el puente de identidades acceda a AD si está configurado SAML a Kerberos o certificado a Kerberos. |
| Puerto | Protocolo | Origen | Destino | Descripción |
|---|---|---|---|---|
| 9443 | TCP | IU del administrador | Unified Access Gateway | Interfaz de administración |
| Puerto | Protocolo | Origen | Destino | Descripción |
|---|---|---|---|---|
| Cualquier puerto > 1024 o 443* | HTTPS | Dispositivos (de Internet y WiFi) | Endpoint de Unified Access Gateway Content Gateway | Si se utiliza el 443, Content Gateway escuchará en el puerto 10443. |
| Cualquier puerto > 1024 o 443* | HTTPS | Servicios de dispositivos Workspace ONE UEM | Endpoint de Unified Access Gateway Content Gateway | |
| Cualquier puerto > 1024 o 443* | HTTPS | Workspace ONE UEM Console | Endpoint de Unified Access Gateway Content Gateway | Si se utiliza el 443, Content Gateway escuchará en el puerto 10443. |
| Cualquier puerto > 1024 o 443* | HTTPS | Endpoint de Unified Access Gateway Content Gateway | Servidor de API de Workspace ONE UEM | |
| Cualquier puerto en el que escuche el repositorio. | HTTP o HTTPS | Endpoint de Unified Access Gateway Content Gateway | Repositorios de contenido en línea como (SharePoint, WebDAV, CMIS, etc.) | Cualquier puerto personalizado configurado en el que el sitio de la intranet esté escuchando. |
| 137 a 139 y 445 | CIFS o SMB | Endpoint de Unified Access Gateway Content Gateway | Repositorios basados en recursos compartidos de la red (archivos compartidos de Windows) | Repositorios basados en SMB (sistemas de archivos distribuidos, NFS, NetApp OnTap, Nutanix Shares, IBM Share Drives) |
| Puerto | Protocolo | Origen | Objetivo o destino | Descripción |
|---|---|---|---|---|
| Cualquier puerto > 1024 o 443* | HTTP/HTTPS | Servidor de retransmisión Unified Access Gateway (retransmisor de Content Gateway) | Endpoint de Unified Access Gateway Content Gateway | *Si se utiliza el 443, Content Gateway escuchará en el puerto 10443. |
| Cualquier puerto > 1024 o 443* | HTTPS | Dispositivos (de Internet y WiFi) | Servidor de retransmisión Unified Access Gateway (retransmisor de Content Gateway) | *Si se utiliza el 443, Content Gateway escuchará en el puerto 10443. |
| Cualquier puerto > 1024 o 443* | TCP | Servicios de dispositivos Workspace ONE UEM | Servidor de retransmisión Unified Access Gateway (retransmisor de Content Gateway) | *Si se utiliza el 443, Content Gateway escuchará en el puerto 10443. |
| Cualquier puerto > 1024 o 443* | HTTPS | Workspace ONE UEM Console | Servidor de retransmisión Unified Access Gateway (retransmisor de Content Gateway) | *Si se utiliza el 443, Content Gateway escuchará en el puerto 10443. |
| Cualquier puerto > 1024 o 443* | HTTPS | Retransmisor de Content Gateway Unified Access Gateway | Servidor de API de Workspace ONE UEM | *Si se utiliza el 443, Content Gateway escuchará en el puerto 10443. |
| Cualquier puerto > 1024 o 443* | HTTPS | Endpoint de Unified Access Gateway Content Gateway | Servidor de API de Workspace ONE UEM | *Si se utiliza el 443, Content Gateway escuchará en el puerto 10443. |
| Cualquier puerto en el que escuche el repositorio. | HTTP o HTTPS | Endpoint de Unified Access Gateway Content Gateway | Repositorios de contenido en línea como (SharePoint, WebDAV, CMIS, etc.) | Cualquier puerto personalizado configurado en el que el sitio de la intranet esté escuchando. |
| Cualquier puerto > 1024 o 443* | HTTPS | Unified Access Gateway (retransmisor de Content Gateway ) | Endpoint de Unified Access Gateway Content Gateway | *Si se utiliza el 443, Content Gateway escuchará en el puerto 10443. |
| 137 a 139 y 445 | CIFS o SMB | Endpoint de Unified Access Gateway Content Gateway | Repositorios basados en recursos compartidos de la red (archivos compartidos de Windows) | Repositorios basados en SMB (sistemas de archivos distribuidos, NFS, NetApp OnTap, Nutanix Shares, IBM Share Drives) |
Nota: Debido a que el servicio de
Content Gateway se ejecuta como un usuario que no es raíz en
Unified Access Gateway,
Content Gateway no puede ejecutarse en los puertos del sistema y, por lo tanto, los puertos personalizados deben ser mayores a 1024.
| Puerto | Protocolo | Origen | Objetivo o destino | Verificación | Aviso (consulte la sección de notas en la parte inferior de la página) |
|---|---|---|---|---|---|
| 8443 * | TCP, UDP | Dispositivos (de Internet y WiFi) | Túnel de VMware Tunnel Per-App | Ejecute el siguiente comando después de la instalación: netstat -tlpn | grep [Port] | 1 |
| Puerto | Protocolo | Origen | Objetivo o destino | Verificación | Aviso (consulte la sección de notas en la parte inferior de la página) |
|---|---|---|---|---|---|
| SaaS: 443 : 2001 * |
HTTPS | VMware Tunnel | Servidor de AirWatch Cloud Messaging | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
La respuesta esperada es
HTTP 200 OK. |
2 |
| SaaS: 443 Local: 80 o 443 |
HTTP o HTTPS | VMware Tunnel | Workspace ONE UEM Endpoint de REST API
|
curl -Ivv https://<API URL>/api/mdm/ping La respuesta esperada es HTTP 401 no autorizado. |
5 |
| 80, 443, cualquier TCP | HTTP, HTTPS o TCP | VMware Tunnel | Recursos internos | Confirme que VMware Tunnel puede acceder a los recursos internos a través del puerto requerido. | 4 |
| 514 * | UDP | VMware Tunnel | Servidor syslog |
| Puerto | Protocolo | Origen | Objetivo o destino | Verificación | Aviso (consulte la sección de notas en la parte inferior de la página) |
|---|---|---|---|---|---|
| SaaS: 443 Local: 2001 * |
TLS v1.2 | Front-end de VMware Tunnel | AirWatch Cloud Messaging Server | Verifique mediante wget a https://<AWCM URL>:<port>/awcm/status y asegúrese de recibir una respuesta de HTTP 200. | 2 |
| 8443 | TLS v1.2 | Front-end de VMware Tunnel | Back-end de VMware Tunnel | Telnet desde el front-end de VMware Tunnel hasta el servidor de back-end de VMware Tunnel en el puerto | 3 |
| SaaS: 443 Local: 2001 |
TLS v1.2 | Back-end de VMware Tunnel | Servidor de Workspace ONE UEM Cloud Messaging | Verifique mediante wget a https://<AWCM URL>:<port>/awcm/status y asegúrese de recibir una respuesta de HTTP 200. | 2 |
| 80 o 443 | TCP | Back-end de VMware Tunnel | Aplicaciones web y sitios web internos | 4 | |
| 80, 443, cualquier TCP | TCP | Back-end de VMware Tunnel | Recursos internos | 4 | |
| 80 o 443 | HTTPS | Front-end y back-end de VMware Tunnel | Workspace ONE UEM Endpoint de REST API
|
curl -Ivv https://<API URL>/api/mdm/ping La respuesta esperada es HTTP 401 no autorizado. |
5 |
| Puerto | Protocolo | Origen | Objetivo o destino | Verificación | Aviso (consulte la sección de notas en la parte inferior de la página) |
|---|---|---|---|---|---|
| SaaS: 443 Local: 2001 |
HTTP o HTTPS | Front-end de VMware Tunnel | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping La respuesta esperada es HTTP 200 OK. |
2 |
| 80 o 443 | HTTPS o HTTPS | Back-end y front-end de VMware Tunnel | Workspace ONE UEM Endpoint de REST API
|
curl -Ivv https://<API URL>/api/mdm/ping La respuesta esperada es HTTP 401 no autorizado. El endpoint de VMware Tunnel solo necesita acceder al endpoint de REST API durante la implementación inicial. |
5 |
| 2010 * | HTTPS | Front-end de VMware Tunnel | Back-end de VMware Tunnel | Telnet desde el front-end de VMware Tunnel hasta el servidor de back-end de VMware Tunnel en el puerto | 3 |
| 80, 443, cualquier TCP | HTTP, HTTPS o TCP | Back-end de VMware Tunnel | Recursos internos | Confirme que VMware Tunnel puede acceder a los recursos internos a través del puerto requerido. | 4 |
| 514 * | UDP | VMware Tunnel | Servidor syslog |
Los siguientes puntos son válidos para los requisitos de VMware Tunnel.
Nota:
*: este puerto puede modificarse si es necesario en función de las restricciones de su entorno.
- Si se utiliza el puerto 443, Per-App Tunnel escuchará en el puerto 8443.
Nota: Cuando los servicios de VMware Tunnel y Content Gateway están habilitados en el mismo dispositivo y el uso compartido de puertos TLS está habilitado, los nombres DNS deben ser únicos para cada servicio. Cuando no se habilita TLS, solo puede usarse un nombre DNS para ambos servicios, ya que el puerto diferenciará el tráfico entrante. (Para Content Gateway, si se utiliza el puerto 443, Content Gateway escuchará en el puerto 10443).
- Para que VMware Tunnel consulte Workspace ONE UEM Console a los fines del seguimiento y el cumplimiento.
- Para que las topologías de front-end de VMware Tunnel reenvíen las solicitudes del dispositivo solo al back-end interno de VMware Tunnel.
- Para las aplicaciones que utilizan VMware Tunnel para acceder a los recursos internos.
- VMware Tunnel debe comunicarse con la API para la inicialización. Asegúrese de que haya conectividad entre REST API y el servidor de VMware Tunnel. Vaya a para establecer la dirección URL del servidor de REST API. Esta página no está disponible para los clientes de SaaS. Por lo general, la dirección URL de REST API para los clientes de SaaS es la dirección URL del servidor de servicios de los dispositivos o la consola.
