Les dispositifs Unified Access Gateway basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu frontaux et principaux. Lors de l'installation, les services Unified Access Gateway sont configurés pour écouter sur certains ports réseau par défaut.

En général, un déploiement de dispositif Unified Access Gateway basé sur une zone DMZ inclut deux pare-feu :

  • Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne. Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.

  • Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des services dans la zone DMZ.

La règle de pare-feu contrôle exclusivement les communications entrantes provenant du service de la zone DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.

Les tableaux suivants répertorient la configuration requise des ports pour les différents services dans Unified Access Gateway.

Note:

Tous les ports UDP requièrent que les datagrammes de transfert et les datagrammes de réponse soient autorisés.

Tableau 1. Configuration requise des ports pour le serveur de connexion Horizon

Port

Protocole

Source

Cible

Description

443

TCP

Internet

Unified Access Gateway

Pour le trafic Web, Horizon Client XML - API, Horizon Tunnel et Blast Extreme

443

UDP

Internet

Unified Access Gateway

UDP 443 est transféré en interne vers UDP 9 443 sur le service du serveur de tunnel UDP sur Unified Access Gateway.

8443

UDP

Internet

Unified Access Gateway

Blast Extreme (facultatif)

8443

TCP

Internet

Unified Access Gateway

Blast Extreme (facultatif)

4172

TCP et UDP

Internet

Unified Access Gateway

PCoIP (facultatif)

443

TCP

Unified Access Gateway

Serveur de connexion Horizon

Horizon Client XML-API, Blast Extreme HTML Access, Horizon Air Console Access (HACA)

22443

TCP et UDP

Unified Access Gateway

Postes de travail et hôtes RDS

Blast Extreme

4172

TCP et UDP

Unified Access Gateway

Postes de travail et hôtes RDS

PCoIP (facultatif)

32111

TCP

Unified Access Gateway

Postes de travail et hôtes RDS

Canal d'infrastructure pour la redirection USB

9427

TCP

Unified Access Gateway

Postes de travail et hôtes RDS

MMR et CDR

Note:

Pour autoriser des périphériques clients externes à se connecter à un dispositif Unified Access Gateway dans la zone DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports. Par défaut, les terminaux clients externes et les clients Web externes (HTML Access) se connectent à un dispositif Unified Access Gateway dans la zone DMZ sur le port TCP 443. Si vous utilisez le protocole Blast, le port 8443 doit être ouvert sur le pare-feu, mais vous pouvez également configurer Blast pour le port 443.

Tableau 2. Configuration requise des ports pour le proxy inverse Web

Port

Protocole

Source

Cible

Description

443

TCP

Internet

Unified Access Gateway

Pour le trafic Web

quelconque

TCP

Unified Access Gateway

Site intranet

N'importe quel port personnalisé configuré sur lequel l'intranet écoute. Par exemple, 80, 443, 8 080, etc.

88

TCP

Unified Access Gateway

Serveur KDC/Serveur AD

Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré.

88

UDP

Unified Access Gateway

Serveur KDC/Serveur AD

Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré.

Tableau 3. Configuration requise des ports pour l'interface utilisateur d'administration

Port

Protocole

Source

Cible

Description

9443

TCP

Interface utilisateur d'administration

Unified Access Gateway

Interface de gestion

Tableau 4. Configuration requise des ports pour la configuration du point de terminaison de base de Content Gateway

Port

Protocole

Source

Cible

Description

443* ou n'importe quel port > 1 024

HTTPS

Terminaux (depuis Internet et Wi-Fi)

Point de terminaison de Unified Access Gateway Content Gateway

Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.

443* ou n'importe quel port > 1 024

HTTPS

Services de terminaux VMware AirWatch

Point de terminaison de Unified Access Gateway Content Gateway

443* ou n'importe quel port > 1 024

HTTPS

Console Workspace ONE UEM

Point de terminaison de Unified Access Gateway Content Gateway

Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.

N'importe quel port sur lequel le référentiel écoute.

HTTP ou HTTPS

Point de terminaison de Unified Access Gateway Content Gateway

Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc.

N'importe quel port personnalisé configuré sur lequel le site intranet écoute.

137–139 et 445

Protocole CIFS ou SMB

Point de terminaison de Unified Access Gateway Content Gateway

Référentiels basés sur un partage réseau (partages de fichiers Windows)

Partages d'intranet

Tableau 5. Configuration requise des ports pour la configuration du point de terminaison relais de Content Gateway

Port

Protocole

Source

Cible/Destination

Description

443* ou n'importe quel port > 1 024

HTTP/HTTPS

Serveur relais Unified Access Gateway (relais Content Gateway)

Point de terminaison de Unified Access Gateway Content Gateway

Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.

443* ou n'importe quel port > 1 024

HTTPS

Terminaux (depuis Internet et Wi-Fi)

Serveur relais Unified Access Gateway (relais Content Gateway)

Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.

443* ou n'importe quel port > 1 024

TCP

Services de terminaux AirWatch

Serveur relais Unified Access Gateway (relais Content Gateway)

Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.

443* ou n'importe quel port > 1 024

HTTPS

Console Workspace ONE UEM

N'importe quel port sur lequel le référentiel écoute.

HTTP ou HTTPS

Point de terminaison de Unified Access Gateway Content Gateway

Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc.

N'importe quel port personnalisé configuré sur lequel le site intranet écoute.

443* ou n'importe quel port > 1 024

HTTPS

Unified Access Gateway (relais Content Gateway)

Point de terminaison de Unified Access Gateway Content Gateway

Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.

137–139 et 445

Protocole CIFS ou SMB

Point de terminaison de Unified Access Gateway Content Gateway

Référentiels basés sur un partage réseau (partages de fichiers Windows)

Partages d'intranet

Note:

Étant donné que le service Content Gateway est exécuté en tant qu'utilisateur non racine dans Unified Access Gateway, Content Gateway ne peut pas s'exécuter sur les ports système et, par conséquent, les ports personnalisés doivent être > 1 024.

Tableau 6. Configuration requise des ports pour VMware Tunnel

Port

Protocole

Source

Cible/Destination

Vérification

Remarque (voir la section Remarque au bas de la page)

2 020 *

HTTPS

Terminaux (depuis Internet et Wi-Fi)

Proxy de VMware Tunnel

Exécutez la commande suivante après l'installation : netstat -tlpn | grep [Port]

8443 *

TCP

Terminaux (depuis Internet et Wi-Fi)

Tunnel par application de VMware Tunnel

Exécutez la commande suivante après l'installation : netstat -tlpn | grep [Port]

1

Tableau 7. Configuration de point de terminaison de base de VMware Tunnel

Port

Protocole

Source

Cible/Destination

Vérification

Remarque (voir la section Remarque au bas de la page)

SaaS : 443

 : 2 001 *

HTTPS

VMware Tunnel

Serveur AirWatch Cloud Messaging

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

La réponse attendue est HTTP 200 OK.

2

SaaS : 443

Sur site : 80 ou 443

HTTP ou HTTPS

VMware Tunnel

Point de terminaison REST API de Workspace ONE UEM

  • SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com

  • Sur site : plus couramment votre serveur DS ou de console

curl -Ivv https://<API URL>/api/mdm/ping

La réponse attendue est HTTP 401 non autorisé.

5

80 443, n'importe quel port TCP

HTTP, HTTPS ou TCP

VMware Tunnel

Ressources internes

Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis.

4

514 *

UDP

VMware Tunnel

Serveur Syslog

Sur site : 2 020

HTTPS

Console Workspace ONE UEM

Proxy de VMware Tunnel

Les utilisateurs sur site peuvent tester la connexion à l'aide de la commande telnet : telnet <Tunnel Proxy URL> <port>

6

Tableau 8. Configuration en cascade de VMware Tunnel

Port

Protocole

Source

Cible/Destination

Vérification

Remarque (voir la section Remarque au bas de la page)

SaaS : 443

Sur site : 2 001 *

TLS v1.2

Serveur frontal VMware Tunnel

Serveur AirWatch Cloud Messaging

Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200.

2

8443

TLS v1.2

Serveur frontal VMware Tunnel

Serveur principal VMware Tunnel

Connectez-vous du serveur frontal VMware Tunnel au serveur principal VMware Tunnel sur le port

3

SaaS : 443

Sur site : 2001

TLS v1.2

Serveur principal VMware Tunnel

Serveur AirWatch Cloud Messaging

Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200.

2

80 ou 443

TCP

Serveur principal VMware Tunnel

Applications Web/sites Web internes

4

80 443, n'importe quel port TCP

TCP

Serveur principal VMware Tunnel

Ressources internes

4

80 ou 443

HTTPS

Serveur frontal et principal VMware Tunnel

Point de terminaison REST API de Workspace ONE UEM

  • SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com

  • Sur site : plus couramment votre serveur DS ou de console

curl -Ivv https://<API URL>/api/mdm/ping

La réponse attendue est HTTP 401 non autorisé.

5

Tableau 9. Configuration de point de terminaison relais de VMware Tunnel

Port

Protocole

Source

Cible/Destination

Vérification

Remarque (voir la section Remarque au bas de la page)

SaaS : 443

Sur site : 2001

HTTP ou HTTPS

Relais de VMware Tunnel

Serveur AirWatch Cloud Messaging

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

La réponse attendue est HTTP 200 OK.

2

80 ou 443

HTTPS ou HTTPS

Point de terminaison et relais de VMware Tunnel

Point de terminaison REST API de Workspace ONE UEM

  • SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com

  • Sur site : plus couramment votre serveur DS ou de console

curl -Ivv https://<API URL>/api/mdm/ping

La réponse attendue est HTTP 401 non autorisé.

Le point de terminaison de VMware Tunnel requiert l'accès au point de terminaison REST API uniquement lors du déploiement initial.

5

2 010 *

HTTPS

Relais de VMware Tunnel

Point de terminaison de VMware Tunnel

Connectez-vous par Telnet du relais VMware Tunnel au serveur de point de terminaison VMware Tunnel sur le port

3

80 443, n'importe quel port TCP

HTTP, HTTPS ou TCP

Point de terminaison de VMware Tunnel

Ressources internes

Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis.

4

514 *

UDP

VMware Tunnel

Serveur Syslog

Sur site : 2 020

HTTPS

Workspace ONE UEM

Proxy de VMware Tunnel

Les utilisateurs sur site peuvent tester la connexion à l'aide de la commande telnet : telnet <Tunnel Proxy URL> <port>

6

Note:

Les points suivants sont valides pour la configuration requise de VMware Tunnel.

* : vous pouvez modifier ce port si nécessaire en fonction des restrictions de votre environnement.

  1. Si le port 443 est utilisé, Tunnel par application écoutera sur le port 8 443.

    Note:

    Lorsque les services VMware Tunnel et Content Gateway sont activés sur le même dispositif, et que le partage de port TLS est activé, les noms DNS doivent être uniques pour chaque service. Lorsque TLS n'est pas activé, seul un nom DNS peut être utilisé pour les deux services, car le port différenciera le trafic entrant. (Pour Content Gateway,si le port 443 est utilisé, Content Gateway écoutera sur le port 10 443.)

  2. Pour que VMware Tunnel interroge la console Workspace ONE UEM à des fins de conformité et de suivi.

  3. Pour que les topologies relais de VMware Tunnel transmettent les demandes de terminaux vers le point de terminaison VMware Tunnel interne uniquement.

  4. Pour que les applications utilisant VMware Tunnel accèdent aux ressources internes.

  5. VMware Tunnel doit communiquer avec l'API pour l'initialisation. Assurez-vous qu'il existe une connectivité entre REST API et le serveur VMware Tunnel. Accédez à Groupes et paramètres > Tous les paramètres > Système > Avancé > URL de sites pour définir l'URL de serveur REST API. Cette page n'est pas disponible pour les clients SaaS. L'URL de REST API pour les clients SaaS est plus couramment l'URL du serveur de console ou de services de terminaux.

  6. Cela est requis pour une « Connexion de test » réussie au proxy de VMware Tunnel depuis la console Workspace ONE UEM. La configuration requise est facultative et peut être omise sans perte de fonctionnalité aux terminaux. Pour les clients SaaS, il est possible que la console Workspace ONE UEM ait déjà établi une connectivité entrante au proxy de VMware Tunnel sur le port 2 020 en raison de la configuration requise du trafic Internet entrant sur le port 2 020.