Règles de pare-feu pour les dispositifs Unified Access Gateway basés sur une zone DMZ

Les dispositifs Unified Access Gateway basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu frontaux et principaux. Lors de l'installation, les services Unified Access Gateway sont configurés pour écouter sur certains ports réseau par défaut.

En général, un déploiement de dispositif Unified Access Gateway basé sur une zone DMZ inclut deux pare-feu :

Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne. Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des services dans la zone DMZ.

La règle de pare-feu contrôle exclusivement les communications entrantes provenant du service de la zone DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.

Les tableaux suivants répertorient la configuration requise des ports pour les différents services dans Unified Access Gateway.

Note:

Tous les ports UDP requièrent que les datagrammes de transfert et les datagrammes de réponse soient autorisés.

Tableau 1. Configuration requise des ports pour le serveur de connexion Horizon
Port	Protocole	Source	Cible	Description
443	TCP	Internet	Unified Access Gateway	Pour le trafic Web, Horizon Client XML - API, Horizon Tunnel et Blast Extreme
443	UDP	Internet	Unified Access Gateway	UDP 443 est transféré en interne vers UDP 9 443 sur le service du serveur de tunnel UDP sur Unified Access Gateway.
8443	UDP	Internet	Unified Access Gateway	Blast Extreme (facultatif)
8443	TCP	Internet	Unified Access Gateway	Blast Extreme (facultatif)
4172	TCP et UDP	Internet	Unified Access Gateway	PCoIP (facultatif)
443	TCP	Unified Access Gateway	Serveur de connexion Horizon	Horizon Client XML-API, Blast Extreme HTML Access, Horizon Air Console Access (HACA)
22443	TCP et UDP	Unified Access Gateway	Postes de travail et hôtes RDS	Blast Extreme
4172	TCP et UDP	Unified Access Gateway	Postes de travail et hôtes RDS	PCoIP (facultatif)
32111	TCP	Unified Access Gateway	Postes de travail et hôtes RDS	Canal d'infrastructure pour la redirection USB
9427	TCP	Unified Access Gateway	Postes de travail et hôtes RDS	MMR et CDR

Note:

Pour autoriser des périphériques clients externes à se connecter à un dispositif Unified Access Gateway dans la zone DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports. Par défaut, les terminaux clients externes et les clients Web externes (HTML Access) se connectent à un dispositif Unified Access Gateway dans la zone DMZ sur le port TCP 443. Si vous utilisez le protocole Blast, le port 8443 doit être ouvert sur le pare-feu, mais vous pouvez également configurer Blast pour le port 443.

Tableau 2. Configuration requise des ports pour le proxy inverse Web
Port	Protocole	Source	Cible	Description
443	TCP	Internet	Unified Access Gateway	Pour le trafic Web
quelconque	TCP	Unified Access Gateway	Site intranet	N'importe quel port personnalisé configuré sur lequel l'intranet écoute. Par exemple, 80, 443, 8 080, etc.
88	TCP	Unified Access Gateway	Serveur KDC/Serveur AD	Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré.
88	UDP	Unified Access Gateway	Serveur KDC/Serveur AD	Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré.

Tableau 3. Configuration requise des ports pour l'interface utilisateur d'administration
Port	Protocole	Source	Cible	Description
9443	TCP	Interface utilisateur d'administration	Unified Access Gateway	Interface de gestion

Tableau 4. Configuration requise des ports pour la configuration du point de terminaison de base de Content Gateway
Port	Protocole	Source	Cible	Description
443* ou n'importe quel port > 1 024	HTTPS	Terminaux (depuis Internet et Wi-Fi)	Point de terminaison de Unified Access Gateway Content Gateway	Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
443* ou n'importe quel port > 1 024	HTTPS	Services de terminaux VMware AirWatch	Point de terminaison de Unified Access Gateway Content Gateway
443* ou n'importe quel port > 1 024	HTTPS	Console Workspace ONE UEM	Point de terminaison de Unified Access Gateway Content Gateway	Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
N'importe quel port sur lequel le référentiel écoute.	HTTP ou HTTPS	Point de terminaison de Unified Access Gateway Content Gateway	Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc.	N'importe quel port personnalisé configuré sur lequel le site intranet écoute.
137–139 et 445	Protocole CIFS ou SMB	Point de terminaison de Unified Access Gateway Content Gateway	Référentiels basés sur un partage réseau (partages de fichiers Windows)	Partages d'intranet

Tableau 5. Configuration requise des ports pour la configuration du point de terminaison relais de Content Gateway
Port	Protocole	Source	Cible/Destination	Description
443* ou n'importe quel port > 1 024	HTTP/HTTPS	Serveur relais Unified Access Gateway (relais Content Gateway)	Point de terminaison de Unified Access Gateway Content Gateway	Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
443* ou n'importe quel port > 1 024	HTTPS	Terminaux (depuis Internet et Wi-Fi)	Serveur relais Unified Access Gateway (relais Content Gateway)	Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
443* ou n'importe quel port > 1 024	TCP	Services de terminaux AirWatch	Serveur relais Unified Access Gateway (relais Content Gateway)	Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
443* ou n'importe quel port > 1 024	HTTPS	Console Workspace ONE UEM
N'importe quel port sur lequel le référentiel écoute.	HTTP ou HTTPS	Point de terminaison de Unified Access Gateway Content Gateway	Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc.	N'importe quel port personnalisé configuré sur lequel le site intranet écoute.
443* ou n'importe quel port > 1 024	HTTPS	Unified Access Gateway (relais Content Gateway)	Point de terminaison de Unified Access Gateway Content Gateway	Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
137–139 et 445	Protocole CIFS ou SMB	Point de terminaison de Unified Access Gateway Content Gateway	Référentiels basés sur un partage réseau (partages de fichiers Windows)	Partages d'intranet

Note:

Étant donné que le service Content Gateway est exécuté en tant qu'utilisateur non racine dans Unified Access Gateway, Content Gateway ne peut pas s'exécuter sur les ports système et, par conséquent, les ports personnalisés doivent être > 1 024.

Tableau 6. Configuration requise des ports pour VMware Tunnel
Port	Protocole	Source	Cible/Destination	Vérification	Remarque (voir la section Remarque au bas de la page)
2 020 *	HTTPS	Terminaux (depuis Internet et Wi-Fi)	Proxy de VMware Tunnel	Exécutez la commande suivante après l'installation : netstat -tlpn \| grep [Port]
8443 *	TCP	Terminaux (depuis Internet et Wi-Fi)	Tunnel par application de VMware Tunnel	Exécutez la commande suivante après l'installation : netstat -tlpn \| grep [Port]	1

Tableau 7. Configuration de point de terminaison de base de VMware Tunnel
Port	Protocole	Source	Cible/Destination	Vérification	Remarque (voir la section Remarque au bas de la page)
SaaS : 443 : 2 001 *	HTTPS	VMware Tunnel	Serveur AirWatch Cloud Messaging	curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping La réponse attendue est HTTP 200 OK.	2
SaaS : 443 Sur site : 80 ou 443	HTTP ou HTTPS	VMware Tunnel	Point de terminaison REST API de Workspace ONE UEM SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com Sur site : plus couramment votre serveur DS ou de console	curl -Ivv https://<API URL>/api/mdm/ping La réponse attendue est HTTP 401 non autorisé.	5
80 443, n'importe quel port TCP	HTTP, HTTPS ou TCP	VMware Tunnel	Ressources internes	Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis.	4
514 *	UDP	VMware Tunnel	Serveur Syslog
Sur site : 2 020	HTTPS	Console Workspace ONE UEM	Proxy de VMware Tunnel	Les utilisateurs sur site peuvent tester la connexion à l'aide de la commande telnet : telnet <Tunnel Proxy URL> <port>	6

Tableau 8. Configuration en cascade de VMware Tunnel
Port	Protocole	Source	Cible/Destination	Vérification	Remarque (voir la section Remarque au bas de la page)
SaaS : 443 Sur site : 2 001 *	TLS v1.2	Serveur frontal VMware Tunnel	Serveur AirWatch Cloud Messaging	Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200.	2
8443	TLS v1.2	Serveur frontal VMware Tunnel	Serveur principal VMware Tunnel	Connectez-vous du serveur frontal VMware Tunnel au serveur principal VMware Tunnel sur le port	3
SaaS : 443 Sur site : 2001	TLS v1.2	Serveur principal VMware Tunnel	Serveur AirWatch Cloud Messaging	Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200.	2
80 ou 443	TCP	Serveur principal VMware Tunnel	Applications Web/sites Web internes		4
80 443, n'importe quel port TCP	TCP	Serveur principal VMware Tunnel	Ressources internes		4
80 ou 443	HTTPS	Serveur frontal et principal VMware Tunnel	Point de terminaison REST API de Workspace ONE UEM SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com Sur site : plus couramment votre serveur DS ou de console	curl -Ivv https://<API URL>/api/mdm/ping La réponse attendue est HTTP 401 non autorisé.	5

Tableau 9. Configuration de point de terminaison relais de VMware Tunnel
Port	Protocole	Source	Cible/Destination	Vérification	Remarque (voir la section Remarque au bas de la page)
SaaS : 443 Sur site : 2001	HTTP ou HTTPS	Relais de VMware Tunnel	Serveur AirWatch Cloud Messaging	curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping La réponse attendue est HTTP 200 OK.	2
80 ou 443	HTTPS ou HTTPS	Point de terminaison et relais de VMware Tunnel	Point de terminaison REST API de Workspace ONE UEM SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com Sur site : plus couramment votre serveur DS ou de console	curl -Ivv https://<API URL>/api/mdm/ping La réponse attendue est HTTP 401 non autorisé. Le point de terminaison de VMware Tunnel requiert l'accès au point de terminaison REST API uniquement lors du déploiement initial.	5
2 010 *	HTTPS	Relais de VMware Tunnel	Point de terminaison de VMware Tunnel	Connectez-vous par Telnet du relais VMware Tunnel au serveur de point de terminaison VMware Tunnel sur le port	3
80 443, n'importe quel port TCP	HTTP, HTTPS ou TCP	Point de terminaison de VMware Tunnel	Ressources internes	Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis.	4
514 *	UDP	VMware Tunnel	Serveur Syslog
Sur site : 2 020	HTTPS	Workspace ONE UEM	Proxy de VMware Tunnel	Les utilisateurs sur site peuvent tester la connexion à l'aide de la commande telnet : telnet <Tunnel Proxy URL> <port>	6

Note:

Les points suivants sont valides pour la configuration requise de VMware Tunnel.

* : vous pouvez modifier ce port si nécessaire en fonction des restrictions de votre environnement.

Si le port 443 est utilisé, Tunnel par application écoutera sur le port 8 443.

Note:
Lorsque les services VMware Tunnel et Content Gateway sont activés sur le même dispositif, et que le partage de port TLS est activé, les noms DNS doivent être uniques pour chaque service. Lorsque TLS n'est pas activé, seul un nom DNS peut être utilisé pour les deux services, car le port différenciera le trafic entrant. (Pour Content Gateway,si le port 443 est utilisé, Content Gateway écoutera sur le port 10 443.)
Pour que VMware Tunnel interroge la console Workspace ONE UEM à des fins de conformité et de suivi.
Pour que les topologies relais de VMware Tunnel transmettent les demandes de terminaux vers le point de terminaison VMware Tunnel interne uniquement.
Pour que les applications utilisant VMware Tunnel accèdent aux ressources internes.
VMware Tunnel doit communiquer avec l'API pour l'initialisation. Assurez-vous qu'il existe une connectivité entre REST API et le serveur VMware Tunnel. Accédez à Groupes et paramètres > Tous les paramètres > Système > Avancé > URL de sites pour définir l'URL de serveur REST API. Cette page n'est pas disponible pour les clients SaaS. L'URL de REST API pour les clients SaaS est plus couramment l'URL du serveur de console ou de services de terminaux.
Cela est requis pour une « Connexion de test » réussie au proxy de VMware Tunnel depuis la console Workspace ONE UEM. La configuration requise est facultative et peut être omise sans perte de fonctionnalité aux terminaux. Pour les clients SaaS, il est possible que la console Workspace ONE UEM ait déjà établi une connectivité entrante au proxy de VMware Tunnel sur le port 2 020 en raison de la configuration requise du trafic Internet entrant sur le port 2 020.