Los dispositivos de Unified Access Gateway basados en DMZ requieren la configuración de ciertas reglas del firewall en los firewall del front-end y el back-end. Durante la instalación, se configuran los servicios de Unified Access Gateway para la escucha en determinados puertos de la red predeterminados.

La implementación de un dispositivo de Unified Access Gateway basado en DMZ incluye normalmente dos firewalls:

  • Se necesita un firewall de front-end dirigido a la red externa, que protege tanto la DMZ como la red interna. Este firewall se configura para permitir que el tráfico de la red externa llegue a la DMZ.

  • Se necesita un firewall de back-end entre la DMZ y la red interna, que proporciona un segundo nivel de seguridad. Este firewall se configura para aceptar solo el tráfico que se origina desde los servicios dentro de la DMZ.

La directiva del firewall controla estrictamente las comunicaciones entrantes desde el servicio de la DMZ, lo que reduce en gran medida los riesgos para la red interna.

En las siguientes tablas se indican los requisitos de puertos para los distintos servicios dentro de Unified Access Gateway.

Nota:

Todos los puertos UDP requieren que se permitan los datagramas de reenvío y de respuesta.

Tabla 1. Requisitos de puertos para el servidor de conexión de Horizon

Puerto

Protocolo

Origen

Destino

Descripción

443

TCP

Internet

Unified Access Gateway

Para tráfico web, Horizon Client XML - API, Horizon Tunnel y Blast Extreme

443

UDP

Internet

Unified Access Gateway

UDP 443 se reenvía internamente a UDP 9443 en el servicio del servidor de túnel de UDP de Unified Access Gateway.

8443

UDP

Internet

Unified Access Gateway

Blast Extreme (opcional)

8443

TCP

Internet

Unified Access Gateway

Blast Extreme (opcional)

4172

TCP y UDP

Internet

Unified Access Gateway

PCoIP (opcional)

443

TCP

Unified Access Gateway

Servidor de conexión de Horizon

Horizon Client XML-API, Blast extreme HTML Access, Horizon Air Console Access (HACA)

22443

TCP y UDP

Unified Access Gateway

Escritorios y hosts RDS

Blast Extreme

4172

TCP y UDP

Unified Access Gateway

Escritorios y hosts RDS

PCoIP (opcional)

32111

TCP

Unified Access Gateway

Escritorios y hosts RDS

Canal del marco de trabajo para el redireccionamiento USB

9427

TCP

Unified Access Gateway

Escritorios y hosts RDS

MMR y CDR

Nota:

Para permitir que los dispositivos de clientes externos se conecten a un dispositivo Unified Access Gateway dentro de la DMZ, el firewall de front-end debe permitir el tráfico en determinados puertos. De forma predeterminada, los dispositivos cliente externos y los clientes web externos (HTML Access) se conectan a un dispositivo Unified Access Gateway dentro de la DMZ en el puerto TCP 443. Si usa el protocolo Blast, el puerto 8443 debe estar abierto en el firewall, aunque también puede configurar Blast para el puerto 443.

Tabla 2. Requisitos de puertos para el proxy inverso de web

Puerto

Protocolo

Origen

Destino

Descripción

443

TCP

Internet

Unified Access Gateway

Para el tráfico web

Cualquiera

TCP

Unified Access Gateway

Sitio de intranet

Cualquier puerto personalizado configurado en el que la intranet esté escuchando. Por ejemplo, 80, 443, 8080 etc.

88

TCP

Unified Access Gateway

Servidor KDC o servidor de AD

Se requiere para que el puente de identidades acceda a AD si está configurado SAML a Kerberos o certificado a Kerberos.

88

UDP

Unified Access Gateway

Servidor KDC o servidor de AD

Se requiere para que el puente de identidades acceda a AD si está configurado SAML a Kerberos o certificado a Kerberos.

Tabla 3. Requisitos de puertos para la IU del administrador

Puerto

Protocolo

Origen

Destino

Descripción

9443

TCP

IU del administrador

Unified Access Gateway

Interfaz de administración

Tabla 4. Requisitos de puertos para la configuración básica de endpointContent Gateway

Puerto

Protocolo

Origen

Destino

Descripción

443* o cualquier puerto > 1024

tráfico

Dispositivos (de Internet y WiFi)

Endpoint de Unified Access Gateway Content Gateway

Si se utiliza el 443, Content Gateway escuchará en el puerto 10443.

443* o cualquier puerto > 1024

tráfico

Servicios de dispositivos VMware AirWatch

Endpoint de Unified Access Gateway Content Gateway

443* o cualquier puerto > 1024

tráfico

Workspace ONE UEM Console

Endpoint de Unified Access Gateway Content Gateway

Si se utiliza el 443, Content Gateway escuchará en el puerto 10443.

Cualquier puerto en el que escuche el repositorio.

HTTP o HTTPS

Endpoint de Unified Access Gateway Content Gateway

Repositorios de contenido en línea como (SharePoint, WebDAV, CMIS, etc.)

Cualquier puerto personalizado configurado en el que el sitio de la intranet esté escuchando.

137 a 139 y 445

CIFS o SMB

Endpoint de Unified Access Gateway Content Gateway

Repositorios basados en recursos compartidos de la red (archivos compartidos de Windows)

Recursos compartidos de la intranet

Tabla 5. Requisitos de puertos para la configuración de retransmisores-endpoints de Content Gateway

Puerto

Protocolo

Origen

Objetivo o destino

Descripción

443* o cualquier puerto > 1024

HTTP/HTTPS

Servidor de retransmisión Unified Access Gateway (retransmisor de Content Gateway)

Endpoint de Unified Access Gateway Content Gateway

Si se utiliza el 443, Content Gateway escuchará en el puerto 10443.

443* o cualquier puerto > 1024

tráfico

Dispositivos (de Internet y WiFi)

Servidor de retransmisión Unified Access Gateway (retransmisor de Content Gateway)

Si se utiliza el 443, Content Gateway escuchará en el puerto 10443.

443* o cualquier puerto > 1024

TCP

Servicios de dispositivos de AirWatch

Servidor de retransmisión Unified Access Gateway (retransmisor de Content Gateway)

Si se utiliza el 443, Content Gateway escuchará en el puerto 10443.

443* o cualquier puerto > 1024

tráfico

Workspace ONE UEM Console

Cualquier puerto en el que escuche el repositorio.

HTTP o HTTPS

Endpoint de Unified Access Gateway Content Gateway

Repositorios de contenido en línea como (SharePoint, WebDAV, CMIS, etc.)

Cualquier puerto personalizado configurado en el que el sitio de la intranet esté escuchando.

443* o cualquier puerto > 1024

tráfico

Unified Access Gateway (retransmisor de Content Gateway )

Endpoint de Unified Access Gateway Content Gateway

Si se utiliza el 443, Content Gateway escuchará en el puerto 10443.

137 a 139 y 445

CIFS o SMB

Endpoint de Unified Access Gateway Content Gateway

Repositorios basados en recursos compartidos de la red (archivos compartidos de Windows)

Recursos compartidos de la intranet

Nota:

Debido a que el servicio de Content Gateway se ejecuta como un usuario que no es raíz en Unified Access Gateway, Content Gateway no puede ejecutarse en los puertos del sistema y, por lo tanto, los puertos personalizados deben ser mayores a 1024.

Tabla 6. Requisitos de puertos para VMware Tunnel

Puerto

Protocolo

Origen

Objetivo o destino

Verificación

Aviso (consulte la sección de notas en la parte inferior de la página)

2020 *

tráfico

Dispositivos (de Internet y WiFi)

Proxy de VMware Tunnel

Ejecute el siguiente comando después de la instalación: netstat -tlpn | grep [Port]

8443 *

TCP

Dispositivos (de Internet y WiFi)

Túnel por aplicación de VMware Tunnel

Ejecute el siguiente comando después de la instalación: netstat -tlpn | grep [Port]

1

Tabla 7. VMware Tunnel Configuración básica de endpoints

Puerto

Protocolo

Origen

Objetivo o destino

Verificación

Aviso (consulte la sección de notas en la parte inferior de la página)

SaaS: 443

: 2001 *

tráfico

VMware Tunnel

Servidor de AirWatch Cloud Messaging

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

La respuesta esperada es HTTP 200 OK.

2

SaaS: 443

Local: 80 o 443

HTTP o HTTPS

VMware Tunnel

Workspace ONE UEM Endpoint de REST API

  • SaaS: https://asXXX.awmdm. com o https://asXXX. airwatchportals.com

  • Local: por lo general, su servidor de la consola o DS

curl -Ivv https://<API URL>/api/mdm/ping

La respuesta esperada es HTTP 401 no autorizado.

5

80, 443, cualquier TCP

HTTP, HTTPS o TCP

VMware Tunnel

Recursos internos

Confirme que VMware Tunnel puede acceder a los recursos internos a través del puerto requerido.

4

514 *

UDP

VMware Tunnel

Servidor syslog

Local: 2020

tráfico

Workspace ONE UEM Console

Proxy de VMware Tunnel

Los usuarios locales pueden probar la conexión con el comando telnet: telnet <Tunnel Proxy URL> <port>

6

Tabla 8. Configuración en cascada de VMware Tunnel

Puerto

Protocolo

Origen

Objetivo o destino

Verificación

Aviso (consulte la sección de notas en la parte inferior de la página)

SaaS: 443

Local: 2001 *

TLS v1.2

VMware Tunnel Front-End

Servidor de AirWatch Cloud Messaging

Verifique mediante wget a https://<AWCM URL>:<port>/awcm/status y asegúrese de recibir una respuesta de HTTP 200.

2

8443

TLS v1.2

VMware Tunnel Front-End

VMware Tunnel Back-End

Telnet desde VMware Tunnel Front-End hasta el servidor de VMware Tunnel Back-End en el puerto

3

SaaS: 443

Local: 2001

TLS v1.2

VMware Tunnel Back-End

Servidor de AirWatch Cloud Messaging

Verifique mediante wget a https://<AWCM URL>:<port>/awcm/status y asegúrese de recibir una respuesta de HTTP 200.

2

80 o 443

TCP

VMware Tunnel Back-End

Aplicaciones web y sitios web internos

4

80, 443, cualquier TCP

TCP

VMware Tunnel Back-End

Recursos internos

4

80 o 443

tráfico

VMware Tunnel Front-end y Back-End

Workspace ONE UEM Endpoint de REST API

  • SaaS: https://asXXX.awmdm. com o https://asXXX. airwatchportals.com

  • Local: por lo general, su servidor de la consola o DS

curl -Ivv https://<API URL>/api/mdm/ping

La respuesta esperada es HTTP 401 no autorizado.

5

Tabla 9. Configuración de retransmisores-endpoints de VMware Tunnel

Puerto

Protocolo

Origen

Objetivo o destino

Verificación

Aviso (consulte la sección de notas en la parte inferior de la página)

SaaS: 443

Local: 2001

HTTP o HTTPS

Retransmisor de VMware Tunnel

Servidor de AirWatch Cloud Messaging

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

La respuesta esperada es HTTP 200 OK.

2

80 o 443

HTTPS o HTTPS

Endpoint y retransmisor de VMware Tunnel

Workspace ONE UEM Endpoint de REST API

  • SaaS: https://asXXX.awmdm. com o https://asXXX. airwatchportals.com

  • Local: por lo general, su servidor de la consola o DS

curl -Ivv https://<API URL>/api/mdm/ping

La respuesta esperada es HTTP 401 no autorizado.

El endpoint de VMware Tunnel requiere acceso al endpoint de REST API solo durante la implementación inicial.

5

2010 *

tráfico

Retransmisor de VMware Tunnel

Endpoint de VMware Tunnel

Telnet desde el retransmisor de VMware Tunnel hasta el servidor del endpoint de VMware Tunnel en el puerto

3

80, 443, cualquier TCP

HTTP, HTTPS o TCP

Endpoint de VMware Tunnel

Recursos internos

Confirme que VMware Tunnel puede acceder a los recursos internos a través del puerto requerido.

4

514 *

UDP

VMware Tunnel

Servidor syslog

Local: 2020

tráfico

Workspace ONE UEM

Proxy de VMware Tunnel

Los usuarios locales pueden probar la conexión con el comando telnet: telnet <Tunnel Proxy URL> <port>

6

Nota:

Los siguientes puntos son válidos para los requisitos de VMware Tunnel.

*: este puerto puede modificarse si es necesario en función de las restricciones de su entorno.

  1. Si se utiliza el puerto 443, el túnel por aplicación escuchará en el puerto 8443.

    Nota:

    Cuando los servicios de VMware Tunnel y Content Gateway están habilitados en el mismo dispositivo y el uso compartido de puertos TLS está habilitado, los nombres DNS deben ser únicos para cada servicio. Cuando no se habilita TLS, solo puede usarse un nombre DNS para ambos servicios, ya que el puerto diferenciará el tráfico entrante. (Para Content Gateway, si se utiliza el puerto 443, Content Gateway escuchará en el puerto 10443).

  2. Para que VMware Tunnel consulte Workspace ONE UEM Console a los fines del seguimiento y el cumplimiento.

  3. Para que las topologías de retransmisor de VMware Tunnel reenvíen las solicitudes del dispositivo solo al endpoint interno de VMware Tunnel.

  4. Para las aplicaciones que utilizan VMware Tunnel para acceder a los recursos internos.

  5. VMware Tunnel debe comunicarse con la API para la inicialización. Asegúrese de que haya conectividad entre REST API y el servidor de VMware Tunnel. Vaya a Grupos y configuración > Toda la configuración > Sistema > Avanzado > Direcciones URL de sitio para establecer la dirección URL del servidor de REST API. Esta página no está disponible para los clientes de SaaS. Por lo general, la dirección URL de REST API para los clientes de SaaS es la dirección URL del servidor de servicios de los dispositivos o la consola.

  6. Esto es necesario para una correcta "Prueba de conexión" para el proxy de VMware Tunnel desde Workspace ONE UEM Console. El requisito es opcional y se puede omitir sin pérdida de funcionalidad en los dispositivos. Para los clientes de SaaS, es posible que Workspace ONE UEM Console ya tenga conectividad entrante con el proxy de VMware Tunnel en el puerto 2020 debido al requisito de Internet entrante en el puerto 2020.