Les dispositifs Unified Access Gateway basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu frontaux et principaux. Lors de l'installation, les services Unified Access Gateway sont configurés pour écouter sur certains ports réseau par défaut.
En général, un déploiement de dispositif Unified Access Gateway basé sur une zone DMZ inclut deux pare-feu :
Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne. Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des services dans la zone DMZ.
La règle de pare-feu contrôle exclusivement les communications entrantes provenant du service de la zone DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.
Les tableaux suivants répertorient la configuration requise des ports pour les différents services dans Unified Access Gateway.
Tous les ports UDP requièrent que les datagrammes de transfert et les datagrammes de réponse soient autorisés.
Port |
Protocole |
Source |
Cible |
Description |
---|---|---|---|---|
443 |
TCP |
Internet |
Unified Access Gateway |
Pour le trafic Web, Horizon Client XML - API, Horizon Tunnel et Blast Extreme |
443 |
UDP |
Internet |
Unified Access Gateway |
UDP 443 est transféré en interne vers UDP 9 443 sur le service du serveur de tunnel UDP sur Unified Access Gateway. |
8443 |
UDP |
Internet |
Unified Access Gateway |
Blast Extreme (facultatif) |
8443 |
TCP |
Internet |
Unified Access Gateway |
Blast Extreme (facultatif) |
4172 |
TCP et UDP |
Internet |
Unified Access Gateway |
PCoIP (facultatif) |
443 |
TCP |
Unified Access Gateway |
Serveur de connexion Horizon |
Horizon Client XML-API, Blast Extreme HTML Access, Horizon Air Console Access (HACA) |
22443 |
TCP et UDP |
Unified Access Gateway |
Postes de travail et hôtes RDS |
Blast Extreme |
4172 |
TCP et UDP |
Unified Access Gateway |
Postes de travail et hôtes RDS |
PCoIP (facultatif) |
32111 |
TCP |
Unified Access Gateway |
Postes de travail et hôtes RDS |
Canal d'infrastructure pour la redirection USB |
9427 |
TCP |
Unified Access Gateway |
Postes de travail et hôtes RDS |
MMR et CDR |
Pour autoriser des périphériques clients externes à se connecter à un dispositif Unified Access Gateway dans la zone DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports. Par défaut, les terminaux clients externes et les clients Web externes (HTML Access) se connectent à un dispositif Unified Access Gateway dans la zone DMZ sur le port TCP 443. Si vous utilisez le protocole Blast, le port 8443 doit être ouvert sur le pare-feu, mais vous pouvez également configurer Blast pour le port 443.
Port |
Protocole |
Source |
Cible |
Description |
---|---|---|---|---|
443 |
TCP |
Internet |
Unified Access Gateway |
Pour le trafic Web |
quelconque |
TCP |
Unified Access Gateway |
Site intranet |
N'importe quel port personnalisé configuré sur lequel l'intranet écoute. Par exemple, 80, 443, 8 080, etc. |
88 |
TCP |
Unified Access Gateway |
Serveur KDC/Serveur AD |
Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré. |
88 |
UDP |
Unified Access Gateway |
Serveur KDC/Serveur AD |
Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré. |
Port |
Protocole |
Source |
Cible |
Description |
---|---|---|---|---|
9443 |
TCP |
Interface utilisateur d'administration |
Unified Access Gateway |
Interface de gestion |
Port |
Protocole |
Source |
Cible |
Description |
---|---|---|---|---|
443* ou n'importe quel port > 1 024 |
HTTPS |
Terminaux (depuis Internet et Wi-Fi) |
Point de terminaison de Unified Access Gateway Content Gateway |
Si 443 est utilisé, Content Gateway écoutera sur le port 10 443. |
443* ou n'importe quel port > 1 024 |
HTTPS |
Services de terminaux VMware AirWatch |
Point de terminaison de Unified Access Gateway Content Gateway |
|
443* ou n'importe quel port > 1 024 |
HTTPS |
Console Workspace ONE UEM |
Point de terminaison de Unified Access Gateway Content Gateway |
Si 443 est utilisé, Content Gateway écoutera sur le port 10 443. |
N'importe quel port sur lequel le référentiel écoute. |
HTTP ou HTTPS |
Point de terminaison de Unified Access Gateway Content Gateway |
Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc. |
N'importe quel port personnalisé configuré sur lequel le site intranet écoute. |
137–139 et 445 |
Protocole CIFS ou SMB |
Point de terminaison de Unified Access Gateway Content Gateway |
Référentiels basés sur un partage réseau (partages de fichiers Windows) |
Partages d'intranet |
Port |
Protocole |
Source |
Cible/Destination |
Description |
---|---|---|---|---|
443* ou n'importe quel port > 1 024 |
HTTP/HTTPS |
Serveur relais Unified Access Gateway (relais Content Gateway) |
Point de terminaison de Unified Access Gateway Content Gateway |
Si 443 est utilisé, Content Gateway écoutera sur le port 10 443. |
443* ou n'importe quel port > 1 024 |
HTTPS |
Terminaux (depuis Internet et Wi-Fi) |
Serveur relais Unified Access Gateway (relais Content Gateway) |
Si 443 est utilisé, Content Gateway écoutera sur le port 10 443. |
443* ou n'importe quel port > 1 024 |
TCP |
Services de terminaux AirWatch |
Serveur relais Unified Access Gateway (relais Content Gateway) |
Si 443 est utilisé, Content Gateway écoutera sur le port 10 443. |
443* ou n'importe quel port > 1 024 |
HTTPS |
Console Workspace ONE UEM |
||
N'importe quel port sur lequel le référentiel écoute. |
HTTP ou HTTPS |
Point de terminaison de Unified Access Gateway Content Gateway |
Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc. |
N'importe quel port personnalisé configuré sur lequel le site intranet écoute. |
443* ou n'importe quel port > 1 024 |
HTTPS |
Unified Access Gateway (relais Content Gateway) |
Point de terminaison de Unified Access Gateway Content Gateway |
Si 443 est utilisé, Content Gateway écoutera sur le port 10 443. |
137–139 et 445 |
Protocole CIFS ou SMB |
Point de terminaison de Unified Access Gateway Content Gateway |
Référentiels basés sur un partage réseau (partages de fichiers Windows) |
Partages d'intranet |
Étant donné que le service Content Gateway est exécuté en tant qu'utilisateur non racine dans Unified Access Gateway, Content Gateway ne peut pas s'exécuter sur les ports système et, par conséquent, les ports personnalisés doivent être > 1 024.
Port |
Protocole |
Source |
Cible/Destination |
Vérification |
Remarque (voir la section Remarque au bas de la page) |
---|---|---|---|---|---|
2 020 * |
HTTPS |
Terminaux (depuis Internet et Wi-Fi) |
Proxy de VMware Tunnel |
Exécutez la commande suivante après l'installation : netstat -tlpn | grep [Port] |
|
8443 * |
TCP |
Terminaux (depuis Internet et Wi-Fi) |
Tunnel par application de VMware Tunnel |
Exécutez la commande suivante après l'installation : netstat -tlpn | grep [Port] |
1 |
Port |
Protocole |
Source |
Cible/Destination |
Vérification |
Remarque (voir la section Remarque au bas de la page) |
---|---|---|---|---|---|
SaaS : 443 : 2 001 * |
HTTPS |
VMware Tunnel |
Serveur AirWatch Cloud Messaging |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping La réponse attendue est HTTP 200 OK. |
2 |
SaaS : 443 Sur site : 80 ou 443 |
HTTP ou HTTPS |
VMware Tunnel |
Point de terminaison REST API de Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping La réponse attendue est HTTP 401 non autorisé. |
5 |
80 443, n'importe quel port TCP |
HTTP, HTTPS ou TCP |
VMware Tunnel |
Ressources internes |
Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis. |
4 |
514 * |
UDP |
VMware Tunnel |
Serveur Syslog |
||
Sur site : 2 020 |
HTTPS |
Console Workspace ONE UEM |
Proxy de VMware Tunnel |
Les utilisateurs sur site peuvent tester la connexion à l'aide de la commande telnet : telnet <Tunnel Proxy URL> <port> |
6 |
Port |
Protocole |
Source |
Cible/Destination |
Vérification |
Remarque (voir la section Remarque au bas de la page) |
---|---|---|---|---|---|
SaaS : 443 Sur site : 2 001 * |
TLS v1.2 |
Serveur frontal VMware Tunnel |
Serveur AirWatch Cloud Messaging |
Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200. |
2 |
8443 |
TLS v1.2 |
Serveur frontal VMware Tunnel |
Serveur principal VMware Tunnel |
Connectez-vous du serveur frontal VMware Tunnel au serveur principal VMware Tunnel sur le port |
3 |
SaaS : 443 Sur site : 2001 |
TLS v1.2 |
Serveur principal VMware Tunnel |
Serveur AirWatch Cloud Messaging |
Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200. |
2 |
80 ou 443 |
TCP |
Serveur principal VMware Tunnel |
Applications Web/sites Web internes |
4 |
|
80 443, n'importe quel port TCP |
TCP |
Serveur principal VMware Tunnel |
Ressources internes |
4 |
|
80 ou 443 |
HTTPS |
Serveur frontal et principal VMware Tunnel |
Point de terminaison REST API de Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping La réponse attendue est HTTP 401 non autorisé. |
5 |
Port |
Protocole |
Source |
Cible/Destination |
Vérification |
Remarque (voir la section Remarque au bas de la page) |
---|---|---|---|---|---|
SaaS : 443 Sur site : 2001 |
HTTP ou HTTPS |
Relais de VMware Tunnel |
Serveur AirWatch Cloud Messaging |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping La réponse attendue est HTTP 200 OK. |
2 |
80 ou 443 |
HTTPS ou HTTPS |
Point de terminaison et relais de VMware Tunnel |
Point de terminaison REST API de Workspace ONE UEM
|
curl -Ivv https://<API URL>/api/mdm/ping La réponse attendue est HTTP 401 non autorisé. Le point de terminaison de VMware Tunnel requiert l'accès au point de terminaison REST API uniquement lors du déploiement initial. |
5 |
2 010 * |
HTTPS |
Relais de VMware Tunnel |
Point de terminaison de VMware Tunnel |
Connectez-vous par Telnet du relais VMware Tunnel au serveur de point de terminaison VMware Tunnel sur le port |
3 |
80 443, n'importe quel port TCP |
HTTP, HTTPS ou TCP |
Point de terminaison de VMware Tunnel |
Ressources internes |
Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis. |
4 |
514 * |
UDP |
VMware Tunnel |
Serveur Syslog |
||
Sur site : 2 020 |
HTTPS |
Workspace ONE UEM |
Proxy de VMware Tunnel |
Les utilisateurs sur site peuvent tester la connexion à l'aide de la commande telnet : telnet <Tunnel Proxy URL> <port> |
6 |
Les points suivants sont valides pour la configuration requise de VMware Tunnel.
* : vous pouvez modifier ce port si nécessaire en fonction des restrictions de votre environnement.
Si le port 443 est utilisé, Tunnel par application écoutera sur le port 8 443.
Note:Lorsque les services VMware Tunnel et Content Gateway sont activés sur le même dispositif, et que le partage de port TLS est activé, les noms DNS doivent être uniques pour chaque service. Lorsque TLS n'est pas activé, seul un nom DNS peut être utilisé pour les deux services, car le port différenciera le trafic entrant. (Pour Content Gateway,si le port 443 est utilisé, Content Gateway écoutera sur le port 10 443.)
Pour que VMware Tunnel interroge la console Workspace ONE UEM à des fins de conformité et de suivi.
Pour que les topologies relais de VMware Tunnel transmettent les demandes de terminaux vers le point de terminaison VMware Tunnel interne uniquement.
Pour que les applications utilisant VMware Tunnel accèdent aux ressources internes.
VMware Tunnel doit communiquer avec l'API pour l'initialisation. Assurez-vous qu'il existe une connectivité entre REST API et le serveur VMware Tunnel. Accédez à pour définir l'URL de serveur REST API. Cette page n'est pas disponible pour les clients SaaS. L'URL de REST API pour les clients SaaS est plus couramment l'URL du serveur de console ou de services de terminaux.
Cela est requis pour une « Connexion de test » réussie au proxy de VMware Tunnel depuis la console Workspace ONE UEM. La configuration requise est facultative et peut être omise sans perte de fonctionnalité aux terminaux. Pour les clients SaaS, il est possible que la console Workspace ONE UEM ait déjà établi une connectivité entrante au proxy de VMware Tunnel sur le port 2 020 en raison de la configuration requise du trafic Internet entrant sur le port 2 020.