Les dispositifs Unified Access Gateway basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu frontaux et principaux. Lors de l'installation, les services Unified Access Gateway sont configurés pour écouter sur certains ports réseau par défaut.
En général, un déploiement de dispositif Unified Access Gateway basé sur une zone DMZ inclut deux pare-feu :
- Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne. Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
- Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des services dans la zone DMZ.
La règle de pare-feu contrôle exclusivement les communications entrantes provenant du service de la zone DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.
Les tableaux suivants répertorient la configuration requise des ports pour les différents services dans
Unified Access Gateway.
Note : Tous les ports UDP requièrent que les datagrammes de transfert et les datagrammes de réponse soient autorisés. Les services
Unified Access Gateway utilisent DNS pour résoudre les noms d'hôte. Les adresses IP du serveur DNS sont configurables. Les demandes DNS s'effectuent sur le port UDP 53. Il est donc important qu'un pare-feu externe ne bloque pas ces demandes ou réponses.
| Port | Protocole | Source | Cible/Destination | Description |
|---|---|---|---|---|
| 443* ou tout port supérieur à 1 024 | HTTPS | Périphériques (depuis Internet et Wi-Fi) | Unified Access Gateway Point de terminaison de Secure Email Gateway |
Secure Email Gateway écoute le port 11 443. Lorsque le port 443 ou tout autre port est configuré, Unified Access Gateway achemine en interne le trafic SEG vers le port 11 443. |
| 443* ou tout port supérieur à 1 024 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Point de terminaison de Secure Email Gateway |
Secure Email Gateway écoute le port 11 443. Lorsque le port 443 ou tout autre port est configuré, Unified Access Gateway achemine en interne le trafic SEG vers le port 11 443. |
| 443* ou tout port supérieur à 1 024 | HTTPS | Service de notification par e-mail (en cas d'activation) | Unified Access Gateway Point de terminaison de Secure Email Gateway |
Secure Email Gateway écoute le port 11 443. Lorsque le port 443 ou tout autre port est configuré, Unified Access Gateway achemine en interne le trafic SEG vers le port 11 443. |
| 5 701 | TCP | Secure Email Gateway | Secure Email Gateway | Utilisé pour le cache distribué Hazelcast. |
| 41 232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | Utilisé pour la gestion du cluster Vertx. |
| 44 444 | HTTPS | Secure Email Gateway | Secure Email Gateway | Utilisé pour les fonctionnalités de diagnostic et d'administration. |
| quelconque | HTTPS | Secure Email Gateway | Serveur de messagerie | SEG se connecte au port d'écoute du serveur de messagerie, généralement 443, pour servir le trafic de messagerie |
| quelconque | HTTPS | Secure Email Gateway | Serveur API de Workspace ONE UEM | SEG extrait les données de configuration et de stratégie de Workspace ONE. Le port est généralement 443. |
| 88 | TCP | Secure Email Gateway | Serveur KDC/Serveur AD | Utilisé pour l'extraction des jetons d'authentification Kerberos lorsque l'authentification KCD est activée. |
Note : Comme le service Secure Email Gateway (SEG) s'exécute en tant qu'utilisateur non racine dans Unified Access Gateway, SEG ne peut pas s'exécuter sur les ports système. Par conséquent, les ports personnalisés doivent être supérieurs au port 1 024.
| Port | Protocole | Source | Cible | Description |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Pour le trafic Web, Horizon Client XML - API, Horizon Tunnel et Blast Extreme |
| 443 | UDP | Internet | Unified Access Gateway | UDP 443 est transféré en interne vers UDP 9 443 sur le service UDP du serveur Tunnel sur Unified Access Gateway. |
| 8443 | UDP | Internet | Unified Access Gateway | Blast Extreme (facultatif) |
| 8443 | TCP | Internet | Unified Access Gateway | Blast Extreme (facultatif) |
| 4172 | TCP et UDP | Internet | Unified Access Gateway | PCoIP (facultatif) |
| 443 | TCP | Unified Access Gateway | Serveur de connexion Horizon | Horizon Client XML-API, Blast Extreme HTML Access, Horizon Air Console Access (HACA) |
| 22443 | TCP et UDP | Unified Access Gateway | Postes de travail et hôtes RDS | Blast Extreme |
| 4172 | TCP et UDP | Unified Access Gateway | Postes de travail et hôtes RDS | PCoIP (facultatif) |
| 32111 | TCP | Unified Access Gateway | Postes de travail et hôtes RDS | Canal d'infrastructure pour la redirection USB |
| 3389 | TCP | Unified Access Gateway | Postes de travail et hôtes RDS | Uniquement requis si les instances d'Horizon Client utilisent RDP. |
| 9427 | TCP | Unified Access Gateway | Postes de travail et hôtes RDS | Fonctionnalités MMR, CDR et HTML5. Par exemple, optimisation de Microsoft Teams, redirection de navigateur, etc. |
Note : Pour autoriser des périphériques clients externes à se connecter à un dispositif
Unified Access Gateway dans la zone DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports. Par défaut, les périphériques clients externes et les clients Web externes (HTML Access) se connectent à un dispositif
Unified Access Gateway dans la zone DMZ sur le port TCP 443. Si vous utilisez le protocole Blast, le port 8443 doit être ouvert sur le pare-feu. Si vous utilisez Blast via le port TCP 443, il n'est pas nécessaire d'ouvrir TCP 8443 sur le pare-feu.
| Port | Protocole | Source | Cible | Description |
|---|---|---|---|---|
| 443 | TCP | Internet | Unified Access Gateway | Pour le trafic Web |
| quelconque | TCP | Unified Access Gateway | Site intranet | N'importe quel port personnalisé configuré sur lequel l'intranet écoute. Par exemple, 80, 443, 8 080, etc. |
| 88 | TCP | Unified Access Gateway | Serveur KDC/Serveur AD | Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré. |
| 88 | UDP | Unified Access Gateway | Serveur KDC/Serveur AD | Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré. |
| Port | Protocole | Source | Cible | Description |
|---|---|---|---|---|
| 9443 | TCP | Interface utilisateur d'administration | Unified Access Gateway | Interface de gestion |
| Port | Protocole | Source | Cible | Description |
|---|---|---|---|---|
| Tout port > 1024 ou 443 | HTTPS | Périphériques (depuis Internet et Wi-Fi) | Point de terminaison de Unified Access Gateway Content Gateway | Si 443 est utilisé, Content Gateway écoutera sur le port 10443. |
| Tout port > 1024 ou 443 | HTTPS | Services de terminaux Workspace ONE UEM | Point de terminaison de Unified Access Gateway Content Gateway | |
| Tout port > 1024 ou 443 | HTTPS | Console Workspace ONE UEM | Point de terminaison de Unified Access Gateway Content Gateway | Si 443 est utilisé, Content Gateway écoutera sur le port 10443. |
| Tout port > 1024 ou 443 | HTTPS | Point de terminaison de Unified Access Gateway Content Gateway | Serveur API Workspace ONE UEM | |
| N'importe quel port sur lequel le référentiel écoute. | HTTP ou HTTPS | Point de terminaison de Unified Access Gateway Content Gateway | Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc. | N'importe quel port personnalisé configuré sur lequel le site intranet écoute. |
| 137–139 et 445 | Protocole CIFS ou SMB | Point de terminaison de Unified Access Gateway Content Gateway | Référentiels basés sur un partage réseau (partages de fichiers Windows) | Partages d'intranet |
| Port | Protocole | Source | Cible/Destination | Description |
|---|---|---|---|---|
| Tout port > 1024 ou 443 | HTTP/HTTPS | Serveur relais Unified Access Gateway (relais Content Gateway) | Point de terminaison de Unified Access Gateway Content Gateway | *Si 443 est utilisé, Content Gateway écoutera sur le port 10443. |
| Tout port > 1024 ou 443 | HTTPS | Périphériques (depuis Internet et Wi-Fi) | Serveur relais Unified Access Gateway (relais Content Gateway) | *Si 443 est utilisé, Content Gateway écoutera sur le port 10443. |
| Tout port > 1024 ou 443 | TCP | Services de terminaux Workspace ONE UEM | Serveur relais Unified Access Gateway (relais Content Gateway) | *Si 443 est utilisé, Content Gateway écoutera sur le port 10443. |
| Tout port > 1024 ou 443 | HTTPS | Console Workspace ONE UEM | Serveur relais Unified Access Gateway (relais Content Gateway) | *Si 443 est utilisé, Content Gateway écoutera sur le port 10443. |
| Tout port > 1024 ou 443 | HTTPS | Relais Unified Access Gateway Content Gateway | Serveur API Workspace ONE UEM | *Si 443 est utilisé, Content Gateway écoutera sur le port 10443. |
| Tout port > 1024 ou 443 | HTTPS | Point de terminaison de Unified Access Gateway Content Gateway | Serveur API Workspace ONE UEM | *Si 443 est utilisé, Content Gateway écoutera sur le port 10443. |
| N'importe quel port sur lequel le référentiel écoute. | HTTP ou HTTPS | Point de terminaison de Unified Access Gateway Content Gateway | Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc. | N'importe quel port personnalisé configuré sur lequel le site intranet écoute. |
| Tout port > 1024 ou 443 | HTTPS | Unified Access Gateway (relais Content Gateway) | Point de terminaison de Unified Access Gateway Content Gateway | *Si 443 est utilisé, Content Gateway écoutera sur le port 10443. |
| 137–139 et 445 | Protocole CIFS ou SMB | Point de terminaison de Unified Access Gateway Content Gateway | Référentiels basés sur un partage réseau (partages de fichiers Windows) | Partages d'intranet |
Note : Étant donné que le service
Content Gateway est exécuté en tant qu'utilisateur non racine dans
Unified Access Gateway,
Content Gateway ne peut pas s'exécuter sur les ports système et, par conséquent, les ports personnalisés doivent être > 1 024.
| Port | Protocole | Source | Cible/Destination | Vérification | Remarque (voir la section Remarque au bas de la page) |
|---|---|---|---|---|---|
| 8443 * | TCP, UDP | Périphériques (depuis Internet et Wi-Fi) | Tunnel par application de VMware Tunnel | Exécutez la commande suivante après l'installation : netstat -tlpn | grep [Port] | 1 |
| Port | Protocole | Source | Cible/Destination | Vérification | Remarque (voir la section Remarque au bas de la page) |
|---|---|---|---|---|---|
| SaaS : 443 : 2 001 * |
HTTPS | VMware Tunnel | Serveur AirWatch Cloud Messaging | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
La réponse attendue est
HTTP 200 OK. |
2 |
| SaaS : 443 Sur site : 80 ou 443 |
HTTP ou HTTPS | VMware Tunnel | Point de terminaison REST API de Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping La réponse attendue est HTTP 401 non autorisé. |
5 |
| 80, 443, n'importe quel port TCP | HTTP, HTTPS ou TCP | VMware Tunnel | Ressources internes | Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis. | 4 |
| 514* | UDP | VMware Tunnel | Serveur Syslog |
| Port | Protocole | Source | Cible/Destination | Vérification | Remarque (voir la section Remarque au bas de la page) |
|---|---|---|---|---|---|
| SaaS : 443 Sur site : 2 001 * |
TLS v1.2 | Serveur frontal VMware Tunnel | AirWatch Cloud Messaging Server | Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200. | 2 |
| 8443 | TLS v1.2 | Serveur frontal VMware Tunnel | Serveur principal VMware Tunnel | Connectez-vous par Telnet du serveur frontal VMware Tunnel au serveur principal VMware Tunnel sur le port. | 3 |
| SaaS : 443 Sur site : 2001 |
TLS v1.2 | Serveur principal VMware Tunnel | Serveur Workspace ONE UEM Cloud Messaging | Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200. | 2 |
| 80 ou 443 | TCP | Serveur principal VMware Tunnel | Applications Web/sites Web internes | 4 | |
| 80, 443, n'importe quel port TCP | TCP | Serveur principal VMware Tunnel | Ressources internes | 4 | |
| 80 ou 443 | HTTPS | Serveur frontal et principal VMware Tunnel | Point de terminaison REST API de Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping La réponse attendue est HTTP 401 non autorisé. |
5 |
| Port | Protocole | Source | Cible/Destination | Vérification | Remarque (voir la section Remarque au bas de la page) |
|---|---|---|---|---|---|
| SaaS : 443 Sur site : 2001 |
HTTP ou HTTPS | Serveur frontal VMware Tunnel | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping La réponse attendue est HTTP 200 OK. |
2 |
| 80 ou 443 | HTTPS ou HTTPS | Serveur principal et serveur frontal VMware Tunnel | Point de terminaison REST API de Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping La réponse attendue est HTTP 401 non autorisé. Le point de terminaison de VMware Tunnel requiert l'accès au point de terminaison REST API uniquement lors du déploiement initial. |
5 |
| 2 010* | HTTPS | Serveur frontal VMware Tunnel | Serveur principal VMware Tunnel | Connectez-vous par Telnet du serveur frontal VMware Tunnel au serveur principal VMware Tunnel sur le port. | 3 |
| 80, 443, n'importe quel port TCP | HTTP, HTTPS ou TCP | Serveur principal VMware Tunnel | Ressources internes | Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis. | 4 |
| 514* | UDP | VMware Tunnel | Serveur Syslog |
Les points suivants sont valides pour la configuration requise de VMware Tunnel.
Note :
* : vous pouvez modifier ce port si nécessaire en fonction des restrictions de votre environnement.
- Si le port 443 est utilisé, Tunnel par application écoutera sur le port 8 443.
Note : Lorsque les services VMware Tunnel et Content Gateway sont activés sur le même dispositif, et que le partage de port TLS est activé, les noms DNS doivent être uniques pour chaque service. Lorsque TLS n'est pas activé, seul un nom DNS peut être utilisé pour les deux services, car le port différenciera le trafic entrant. (Pour Content Gateway,si le port 443 est utilisé, Content Gateway écoutera sur le port 10 443.)
- Pour que VMware Tunnel interroge la console Workspace ONE UEM à des fins de conformité et de suivi.
- Pour que les topologies de serveur frontal VMware Tunnel transmettent les demandes de terminaux vers le point de terminaison VMware Tunnel interne uniquement.
- Pour que les applications utilisant VMware Tunnel accèdent aux ressources internes.
- VMware Tunnel doit communiquer avec l'API pour l'initialisation. Assurez-vous qu'il existe une connectivité entre REST API et le serveur VMware Tunnel. Accédez à pour définir l'URL de serveur REST API. Cette page n'est pas disponible pour les clients SaaS. L'URL de REST API pour les clients SaaS est plus couramment l'URL du serveur de console ou de services de terminaux.
