Les dispositifs Unified Access Gateway basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu frontaux et principaux. Lors de l'installation, les services Unified Access Gateway sont configurés pour écouter sur certains ports réseau par défaut.

En général, un déploiement de dispositif Unified Access Gateway basé sur une zone DMZ inclut deux pare-feu :

  • Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne. Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
  • Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des services dans la zone DMZ.

La règle de pare-feu contrôle exclusivement les communications entrantes provenant du service de la zone DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.

Les tableaux suivants répertorient la configuration requise des ports pour les différents services dans Unified Access Gateway.
Note : Tous les ports UDP requièrent que les datagrammes de transfert et les datagrammes de réponse soient autorisés. Les services Unified Access Gateway utilisent DNS pour résoudre les noms d'hôte. Les adresses IP du serveur DNS sont configurables. Les demandes DNS s'effectuent sur le port UDP 53. Il est donc important qu'un pare-feu externe ne bloque pas ces demandes ou réponses.
Tableau 1. Configuration requise des ports pour Secure Email Gateway
Port Protocole Source Cible/Destination Description
443* ou tout port supérieur à 1 024 HTTPS Périphériques (depuis Internet et Wi-Fi)

Unified Access Gateway

Point de terminaison de Secure Email Gateway

Secure Email Gateway écoute le port 11 443. Lorsque le port 443 ou tout autre port est configuré, Unified Access Gateway achemine en interne le trafic SEG vers le port 11 443.
443* ou tout port supérieur à 1 024 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Point de terminaison de Secure Email Gateway

Secure Email Gateway écoute le port 11 443. Lorsque le port 443 ou tout autre port est configuré, Unified Access Gateway achemine en interne le trafic SEG vers le port 11 443.
443* ou tout port supérieur à 1 024 HTTPS Email Notification Service (en cas d'activation)

Unified Access Gateway

Point de terminaison de Secure Email Gateway

Secure Email Gateway écoute le port 11 443. Lorsque le port 443 ou tout autre port est configuré, Unified Access Gateway achemine en interne le trafic SEG vers le port 11 443.
5 701 TCP Secure Email Gateway Secure Email Gateway Utilisé pour le cache distribué Hazelcast.
41 232 TLS/TCP Secure Email Gateway Secure Email Gateway Utilisé pour la gestion du cluster Vertx.
44 444 HTTPS Secure Email Gateway Secure Email Gateway Utilisé pour les fonctionnalités de diagnostic et d'administration.
quelconque HTTPS Secure Email Gateway Serveur de messagerie SEG se connecte au port d'écoute du serveur de messagerie, généralement 443, pour servir le trafic de messagerie
quelconque HTTPS Secure Email Gateway Serveur API de Workspace ONE UEM SEG extrait les données de configuration et de stratégie de Workspace ONE. Le port est généralement 443.
88 TCP Secure Email Gateway Serveur KDC/Serveur AD Utilisé pour l'extraction des jetons d'authentification Kerberos lorsque l'authentification KCD est activée.
Note : Comme le service Secure Email Gateway (SEG) s'exécute en tant qu'utilisateur non racine dans Unified Access Gateway, SEG ne peut pas s'exécuter sur les ports système. Par conséquent, les ports personnalisés doivent être supérieurs au port 1 024.
Tableau 2. Configuration requise des ports pour Horizon
Port Protocole Source Cible Description
443 TCP Internet Unified Access Gateway Pour le trafic Web, Horizon Client XML - API, Horizon Tunnel et Blast Extreme
443 UDP Internet Unified Access Gateway UDP 443 est transféré en interne vers UDP 9 443 sur le service UDP du serveur Tunnel sur Unified Access Gateway.
8443 UDP Internet Unified Access Gateway Blast Extreme (facultatif)
8443 TCP Internet Unified Access Gateway Blast Extreme (facultatif)
4172 TCP et UDP Internet Unified Access Gateway PCoIP (facultatif)
443 TCP Unified Access Gateway Horizon Connection Server Horizon Client XML-API, Blast extreme HTML Access
22443 TCP et UDP Unified Access Gateway Postes de travail et hôtes RDS Blast Extreme
4172 TCP et UDP Unified Access Gateway Postes de travail et hôtes RDS PCoIP (facultatif)
32111 TCP Unified Access Gateway Postes de travail et hôtes RDS Canal d'infrastructure pour la redirection USB
3389 TCP Unified Access Gateway Postes de travail et hôtes RDS Uniquement requis si les instances d'Horizon Client utilisent RDP.
9427 TCP Unified Access Gateway Postes de travail et hôtes RDS Fonctionnalités MMR, CDR et HTML5. Par exemple, optimisation de Microsoft Teams, redirection de navigateur, etc.
Note : Pour autoriser des périphériques clients externes à se connecter à un dispositif Unified Access Gateway dans la zone DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports. Par défaut, les périphériques clients externes et les clients Web externes (HTML Access) se connectent à un dispositif Unified Access Gateway dans la zone DMZ sur le port TCP 443. Si vous utilisez le protocole Blast, le port 8443 doit être ouvert sur le pare-feu. Si vous utilisez Blast via le port TCP 443, il n'est pas nécessaire d'ouvrir TCP 8443 sur le pare-feu.
Tableau 3. Configuration requise des ports pour la configuration de Workspace ONE Intelligence
Port Protocole Source Cible Description
443 HTTPS Unified Access Gateway Serveur Workspace ONE Intelligence curl -ILvv https://<api_server_hostname>/v1/device/risk_score

curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag

curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials

La réponse attendue est HTTP 401 non autorisé.

Tableau 4. Configuration requise des ports pour le proxy inverse Web
Port Protocole Source Cible Description
443 TCP Internet Unified Access Gateway Pour le trafic Web
quelconque TCP Unified Access Gateway Site intranet N'importe quel port personnalisé configuré sur lequel l'intranet écoute. Par exemple, 80, 443, 8 080, etc.
88 TCP Unified Access Gateway Serveur KDC/Serveur AD Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré.
88 UDP Unified Access Gateway Serveur KDC/Serveur AD Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré.
Tableau 5. Configuration requise des ports pour l'interface utilisateur d'administration
Port Protocole Source Cible Description
9443 TCP Interface utilisateur d'administration Unified Access Gateway Interface de gestion
Tableau 6. Configuration requise des ports pour la configuration du point de terminaison de base de Content Gateway
Port Protocole Source Cible Description
Tout port > 1024 ou 443 HTTPS Périphériques (depuis Internet et Wi-Fi) Point de terminaison de Unified Access Gateway Content Gateway Si 443 est utilisé, Content Gateway écoutera sur le port 10443.
Tout port > 1024 ou 443 HTTPS Services de terminaux Workspace ONE UEM Point de terminaison de Unified Access Gateway Content Gateway
Tout port > 1024 ou 443 HTTPS Console Workspace ONE UEM Point de terminaison de Unified Access Gateway Content Gateway Si 443 est utilisé, Content Gateway écoutera sur le port 10443.
Tout port > 1024 ou 443 HTTPS Point de terminaison de Unified Access Gateway Content Gateway Serveur API Workspace ONE UEM
N'importe quel port sur lequel le référentiel écoute. HTTP ou HTTPS Point de terminaison de Unified Access Gateway Content Gateway Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc. N'importe quel port personnalisé configuré sur lequel le site intranet écoute.
137–139 et 445 Protocole CIFS ou SMB Point de terminaison de Unified Access Gateway Content Gateway Référentiels basés sur un partage réseau (partages de fichiers Windows) Référentiels basés sur SMB (Systèmes de fichiers distribués, NFS, NetApp OnTap, Partages Nutanx, Lecteurs de partage IBM)
Tableau 7. Configuration requise des ports pour la configuration du point de terminaison relais de Content Gateway
Port Protocole Source Cible/Destination Description
Tout port > 1024 ou 443 HTTP/HTTPS Serveur relais Unified Access Gateway (relais Content Gateway) Point de terminaison de Unified Access Gateway Content Gateway *Si 443 est utilisé, Content Gateway écoutera sur le port 10443.
Tout port > 1024 ou 443 HTTPS Périphériques (depuis Internet et Wi-Fi) Serveur relais Unified Access Gateway (relais Content Gateway) *Si 443 est utilisé, Content Gateway écoutera sur le port 10443.
Tout port > 1024 ou 443 TCP Services de terminaux Workspace ONE UEM Serveur relais Unified Access Gateway (relais Content Gateway) *Si 443 est utilisé, Content Gateway écoutera sur le port 10443.
Tout port > 1024 ou 443 HTTPS Console Workspace ONE UEM Serveur relais Unified Access Gateway (relais Content Gateway) *Si 443 est utilisé, Content Gateway écoutera sur le port 10443.
Tout port > 1024 ou 443 HTTPS Relais Unified Access Gateway Content Gateway Serveur API Workspace ONE UEM *Si 443 est utilisé, Content Gateway écoutera sur le port 10443.
Tout port > 1024 ou 443 HTTPS Point de terminaison de Unified Access Gateway Content Gateway Serveur API Workspace ONE UEM *Si 443 est utilisé, Content Gateway écoutera sur le port 10443.
N'importe quel port sur lequel le référentiel écoute. HTTP ou HTTPS Point de terminaison de Unified Access Gateway Content Gateway Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc. N'importe quel port personnalisé configuré sur lequel le site intranet écoute.
Tout port > 1024 ou 443 HTTPS Unified Access Gateway (relais Content Gateway) Point de terminaison de Unified Access Gateway Content Gateway *Si 443 est utilisé, Content Gateway écoutera sur le port 10443.
137–139 et 445 Protocole CIFS ou SMB Point de terminaison de Unified Access Gateway Content Gateway Référentiels basés sur un partage réseau (partages de fichiers Windows) Référentiels basés sur SMB (Systèmes de fichiers distribués, NFS, NetApp OnTap, Partages Nutanx, Lecteurs de partage IBM)
Note : Étant donné que le service Content Gateway est exécuté en tant qu'utilisateur non racine dans Unified Access Gateway, Content Gateway ne peut pas s'exécuter sur les ports système et, par conséquent, les ports personnalisés doivent être > 1 024.
Tableau 8. Configuration requise des ports pour VMware Tunnel
Port Protocole Source Cible/Destination Vérification Remarque (voir la section Remarque au bas de la page)
8443 * TCP, UDP Périphériques (depuis Internet et Wi-Fi) Tunnel par application de VMware Tunnel Exécutez la commande suivante après l'installation : netstat -tlpn | grep [Port] 1
Tableau 9. Configuration de point de terminaison de base de VMware Tunnel
Port Protocole Source Cible/Destination Vérification Remarque (voir la section Remarque au bas de la page)
SaaS : 443

 : 2 001 *

HTTPS VMware Tunnel Serveur AirWatch Cloud Messaging curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
La réponse attendue est
HTTP 200 OK
.
2
SaaS : 443

Sur site : 80 ou 443

HTTP ou HTTPS VMware Tunnel Point de terminaison REST API de Workspace ONE UEM
  • SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • Sur site : plus couramment votre serveur DS ou de console
curl -Ivv https://<API URL>/api/mdm/ping

La réponse attendue est HTTP 401 non autorisé.

5
80, 443, n'importe quel port TCP HTTP, HTTPS ou TCP VMware Tunnel Ressources internes Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis. 4
514* UDP VMware Tunnel Serveur Syslog
Tableau 10. Configuration en cascade de VMware Tunnel
Port Protocole Source Cible/Destination Vérification Remarque (voir la section Remarque au bas de la page)
SaaS : 443

Sur site : 2 001 *

TLS v1.2 Serveur frontal VMware Tunnel AirWatch Cloud Messaging Server Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200. 2
8443 TLS v1.2 Serveur frontal VMware Tunnel Serveur principal VMware Tunnel Connectez-vous par Telnet du serveur frontal VMware Tunnel au serveur principal VMware Tunnel sur le port. 3
SaaS : 443

Sur site : 2001

TLS v1.2 Serveur principal VMware Tunnel Serveur Workspace ONE UEM Cloud Messaging Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200. 2
80 ou 443 TCP Serveur principal VMware Tunnel Applications Web/sites Web internes 4
80, 443, n'importe quel port TCP TCP Serveur principal VMware Tunnel Ressources internes 4
80 ou 443 HTTPS Serveur frontal et principal VMware Tunnel Point de terminaison REST API de Workspace ONE UEM
  • SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • Sur site : plus couramment votre serveur DS ou de console
curl -Ivv https://<API URL>/api/mdm/ping

La réponse attendue est HTTP 401 non autorisé.

5
Tableau 11. Configuration de serveur frontal et de serveur principal VMware Tunnel
Port Protocole Source Cible/Destination Vérification Remarque (voir la section Remarque au bas de la page)
SaaS : 443

Sur site : 2001

HTTP ou HTTPS Serveur frontal VMware Tunnel AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

La réponse attendue est HTTP 200 OK.

2
80 ou 443 HTTPS ou HTTPS Serveur principal et serveur frontal VMware Tunnel Point de terminaison REST API de Workspace ONE UEM
  • SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • Sur site : plus couramment votre serveur DS ou de console
curl -Ivv https://<API URL>/api/mdm/ping

La réponse attendue est HTTP 401 non autorisé.

Le point de terminaison de VMware Tunnel requiert l'accès au point de terminaison REST API uniquement lors du déploiement initial.

5
2 010* HTTPS Serveur frontal VMware Tunnel Serveur principal VMware Tunnel Connectez-vous par Telnet du serveur frontal VMware Tunnel au serveur principal VMware Tunnel sur le port. 3
80, 443, n'importe quel port TCP HTTP, HTTPS ou TCP Serveur principal VMware Tunnel Ressources internes Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis. 4
514* UDP VMware Tunnel Serveur Syslog

Les points suivants sont valides pour la configuration requise de VMware Tunnel.

Note : * : vous pouvez modifier ce port si nécessaire en fonction des restrictions de votre environnement.
  1. Si le port 443 est utilisé, Tunnel par application écoutera sur le port 8 443.
    Note : Lorsque les services VMware Tunnel et Content Gateway sont activés sur le même dispositif, et que le partage de port TLS est activé, les noms DNS doivent être uniques pour chaque service. Lorsque TLS n'est pas activé, seul un nom DNS peut être utilisé pour les deux services, car le port différenciera le trafic entrant. (Pour Content Gateway,si le port 443 est utilisé, Content Gateway écoutera sur le port 10 443.)
  2. Pour que VMware Tunnel interroge la console Workspace ONE UEM à des fins de conformité et de suivi.
  3. Pour que les topologies de serveur frontal VMware Tunnel transmettent les demandes de terminaux vers le point de terminaison VMware Tunnel interne uniquement.
  4. Pour que les applications utilisant VMware Tunnel accèdent aux ressources internes.
  5. VMware Tunnel doit communiquer avec l'API pour l'initialisation. Assurez-vous qu'il existe une connectivité entre REST API et le serveur VMware Tunnel. Accédez à Groupes et paramètres > Tous les paramètres > Système > Avancé > URL de sites pour définir l'URL de serveur REST API. Cette page n'est pas disponible pour les clients SaaS. L'URL de REST API pour les clients SaaS est plus couramment l'URL du serveur de console ou de services de terminaux.