Les dispositifs Unified Access Gateway basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu frontaux et principaux. Lors de l'installation, les services Unified Access Gateway sont configurés pour écouter sur certains ports réseau par défaut.

En général, un déploiement de dispositif Unified Access Gateway basé sur une zone DMZ inclut deux pare-feu :

  • Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne. Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
  • Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des services dans la zone DMZ.

La règle de pare-feu contrôle exclusivement les communications entrantes provenant du service de la zone DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.

Les tableaux suivants répertorient la configuration requise des ports pour les différents services dans Unified Access Gateway.
Note : Tous les ports UDP requièrent que les datagrammes de transfert et les datagrammes de réponse soient autorisés.
Tableau 1. Configuration requise des ports pour Secure Email Gateway
Port Protocole Source Cible/Destination Description
443* ou tout port supérieur à 1 024 HTTPS Périphériques (depuis Internet et Wi-Fi)

Unified Access Gateway

Point de terminaison de Secure Email Gateway

Secure Email Gateway écoute le port 11 443
443* ou tout port supérieur à 1 024 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Point de terminaison de Secure Email Gateway

Secure Email Gateway écoute le port 11 443
443* ou tout port supérieur à 1 024 HTTPS Service de notification par e-mail (en cas d'activation)

Unified Access Gateway

Point de terminaison de Secure Email Gateway

Secure Email Gateway écoute le port 11 443
5 701 HTTP Secure Email Gateway Secure Email Gateway Utilisé pour le cache distribué Hazelcast
41 232 HTTPS Secure Email Gateway Secure Email Gateway Utilisé pour la gestion des clusters Vertx
44 444 HTTPS Secure Email Gateway Secure Email Gateway Utilisé pour les fonctionnalités de diagnostic et d'administration
Note : Comme le service Secure Email Gateway (SEG) s'exécute en tant qu'utilisateur non racine dans Unified Access Gateway, SEG ne peut pas s'exécuter sur les ports système. Par conséquent, les ports personnalisés doivent être supérieurs au port 1 024.
Tableau 2. Configuration requise des ports pour Horizon
Port Protocole Source Cible Description
443 TCP Internet Unified Access Gateway Pour le trafic Web, Horizon Client XML - API, Horizon Tunnel et Blast Extreme
443 UDP Internet Unified Access Gateway UDP 443 est transféré en interne vers UDP 9 443 sur le service UDP du serveur Tunnel sur Unified Access Gateway.
8443 UDP Internet Unified Access Gateway Blast Extreme (facultatif)
8443 TCP Internet Unified Access Gateway Blast Extreme (facultatif)
4172 TCP et UDP Internet Unified Access Gateway PCoIP (facultatif)
443 TCP Unified Access Gateway Serveur de connexion Horizon Horizon Client XML-API, Blast Extreme HTML Access, Horizon Air Console Access (HACA)
22443 TCP et UDP Unified Access Gateway Postes de travail et hôtes RDS Blast Extreme
4172 TCP et UDP Unified Access Gateway Postes de travail et hôtes RDS PCoIP (facultatif)
32111 TCP Unified Access Gateway Postes de travail et hôtes RDS Canal d'infrastructure pour la redirection USB
3389 TCP Unified Access Gateway Postes de travail et hôtes RDS Uniquement requis si les instances d'Horizon Client utilisent RDP.
9427 TCP Unified Access Gateway Postes de travail et hôtes RDS MMR et CDR
Note : Pour autoriser des périphériques clients externes à se connecter à un dispositif Unified Access Gateway dans la zone DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports. Par défaut, les terminaux clients externes et les clients Web externes (HTML Access) se connectent à un dispositif Unified Access Gateway dans la zone DMZ sur le port TCP 443. Si vous utilisez le protocole Blast, le port 8443 doit être ouvert sur le pare-feu, mais vous pouvez également configurer Blast pour le port 443.
Tableau 3. Configuration requise des ports pour le proxy inverse Web
Port Protocole Source Cible Description
443 TCP Internet Unified Access Gateway Pour le trafic Web
quelconque TCP Unified Access Gateway Site intranet N'importe quel port personnalisé configuré sur lequel l'intranet écoute. Par exemple, 80, 443, 8 080, etc.
88 TCP Unified Access Gateway Serveur KDC/Serveur AD Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré.
88 UDP Unified Access Gateway Serveur KDC/Serveur AD Requis pour le pontage d'identité afin d'accéder à AD si SAML sur Kerberos/Certificat sur Kerberos est configuré.
Tableau 4. Configuration requise des ports pour l'interface utilisateur d'administration
Port Protocole Source Cible Description
9443 TCP Interface utilisateur d'administration Unified Access Gateway Interface de gestion
Tableau 5. Configuration requise des ports pour la configuration du point de terminaison de base de Content Gateway
Port Protocole Source Cible Description
443* ou n'importe quel port > 1 024 HTTPS Périphériques (depuis Internet et Wi-Fi) Point de terminaison de Unified Access Gateway Content Gateway Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
443* ou n'importe quel port > 1 024 HTTPS Services de terminaux Workspace ONE UEM Point de terminaison de Unified Access Gateway Content Gateway
443* ou n'importe quel port > 1 024 HTTPS Console Workspace ONE UEM Point de terminaison de Unified Access Gateway Content Gateway Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
443* ou n'importe quel port > 1 024 HTTPS Point de terminaison de Unified Access Gateway Content Gateway Workspace ONE UEM API Server
N'importe quel port sur lequel le référentiel écoute. HTTP ou HTTPS Point de terminaison de Unified Access Gateway Content Gateway Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc. N'importe quel port personnalisé configuré sur lequel le site intranet écoute.
137–139 et 445 Protocole CIFS ou SMB Point de terminaison de Unified Access Gateway Content Gateway Référentiels basés sur un partage réseau (partages de fichiers Windows) Partages d'intranet
Tableau 6. Configuration requise des ports pour la configuration du point de terminaison relais de Content Gateway
Port Protocole Source Cible/Destination Description
443* ou n'importe quel port > 1 024 HTTP/HTTPS Serveur relais Unified Access Gateway (relais Content Gateway) Point de terminaison de Unified Access Gateway Content Gateway Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
443* ou n'importe quel port > 1 024 HTTPS Périphériques (depuis Internet et Wi-Fi) Serveur relais Unified Access Gateway (relais Content Gateway) Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
443* ou n'importe quel port > 1 024 TCP Services de terminaux Workspace ONE UEM Serveur relais Unified Access Gateway (relais Content Gateway) Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
443* ou n'importe quel port > 1 024 HTTPS Workspace ONE UEM Console
443* ou n'importe quel port > 1 024 HTTPS Relais Unified Access Gateway Content Gateway Serveur API Workspace ONE UEM
443* ou n'importe quel port > 1 024 HTTPS Point de terminaison de Unified Access Gateway Content Gateway Serveur API Workspace ONE UEM
N'importe quel port sur lequel le référentiel écoute. HTTP ou HTTPS Point de terminaison de Unified Access Gateway Content Gateway Référentiels de contenu Web tels que (SharePoint/WebDAV/CMIS, etc. N'importe quel port personnalisé configuré sur lequel le site intranet écoute.
443* ou n'importe quel port > 1 024 HTTPS Unified Access Gateway (relais Content Gateway) Point de terminaison de Unified Access Gateway Content Gateway Si 443 est utilisé, Content Gateway écoutera sur le port 10 443.
137–139 et 445 Protocole CIFS ou SMB Point de terminaison de Unified Access Gateway Content Gateway Référentiels basés sur un partage réseau (partages de fichiers Windows) Partages d'intranet
Note : Étant donné que le service Content Gateway est exécuté en tant qu'utilisateur non racine dans Unified Access Gateway, Content Gateway ne peut pas s'exécuter sur les ports système et, par conséquent, les ports personnalisés doivent être > 1 024.
Tableau 7. Configuration requise des ports pour VMware Tunnel
Port Protocole Source Cible/Destination Vérification Remarque (voir la section Remarque au bas de la page)
2 020 * HTTPS Périphériques (depuis Internet et Wi-Fi) VMware Tunnel Proxy Exécutez la commande suivante après l'installation : netstat -tlpn | grep [Port]
8443 * TCP, UDP Périphériques (depuis Internet et Wi-Fi) Tunnel par application de VMware Tunnel Exécutez la commande suivante après l'installation : netstat -tlpn | grep [Port] 1
Tableau 8. Configuration de point de terminaison de base de VMware Tunnel
Port Protocole Source Cible/Destination Vérification Remarque (voir la section Remarque au bas de la page)
SaaS : 443

 : 2 001 *

HTTPS VMware Tunnel Serveur Workspace ONE UEM Cloud Messaging curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

La réponse attendue est HTTP 200 OK.

2
SaaS : 443

Sur site : 80 ou 443

HTTP ou HTTPS VMware Tunnel Point de terminaison REST API de Workspace ONE UEM
  • SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • Sur site : plus couramment votre serveur DS ou de console
curl -Ivv https://<API URL>/api/mdm/ping

La réponse attendue est HTTP 401 non autorisé.

5
80, 443, n'importe quel port TCP HTTP, HTTPS ou TCP VMware Tunnel Ressources internes Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis. 4
514 * UDP VMware Tunnel Serveur Syslog
Sur site : 2 020 HTTPS Console Workspace ONE UEM VMware Tunnel Proxy Les utilisateurs sur site peuvent tester la connexion à l'aide de la commande telnet : telnet <Tunnel Proxy URL> <port> 6
Tableau 9. Configuration en cascade de VMware Tunnel
Port Protocole Source Cible/Destination Vérification Remarque (voir la section Remarque au bas de la page)
SaaS : 443

Sur site : 2 001 *

TLS v1.2 Serveur frontal VMware Tunnel Serveur Workspace ONE UEM Cloud Messaging Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200. 2
8443 TLS v1.2 Serveur frontal VMware Tunnel Serveur principal VMware Tunnel Connectez-vous par Telnet du serveur frontal VMware Tunnel au serveur principal VMware Tunnel sur le port. 3
SaaS : 443

Sur site : 2001

TLS v1.2 Serveur principal VMware Tunnel Serveur Workspace ONE UEM Cloud Messaging Vérifiez en utilisant wget vers https://<AWCM URL>:<port>/awcm/status et en veillant à recevoir une réponse HTTP 200. 2
80 ou 443 TCP Serveur principal VMware Tunnel Applications Web/sites Web internes 4
80, 443, n'importe quel port TCP TCP Serveur principal VMware Tunnel Ressources internes 4
80 ou 443 HTTPS Serveur frontal et principal VMware Tunnel Point de terminaison REST API de Workspace ONE UEM
  • SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • Sur site : plus couramment votre serveur DS ou de console
curl -Ivv https://<API URL>/api/mdm/ping

La réponse attendue est HTTP 401 non autorisé.

5
Tableau 10. Configuration de serveur frontal et de serveur principal VMware Tunnel
Port Protocole Source Cible/Destination Vérification Remarque (voir la section Remarque au bas de la page)
SaaS : 443

Sur site : 2001

HTTP ou HTTPS Serveur frontal VMware Tunnel Serveur Workspace ONE UEM Cloud Messaging curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

La réponse attendue est HTTP 200 OK.

2
80 ou 443 HTTPS ou HTTPS Serveur principal et serveur frontal VMware Tunnel Point de terminaison REST API de Workspace ONE UEM
  • SaaS :https://asXXX.awmdm. com ou https://asXXX. airwatchportals.com
  • Sur site : plus couramment votre serveur DS ou de console
curl -Ivv https://<API URL>/api/mdm/ping

La réponse attendue est HTTP 401 non autorisé.

Le point de terminaison de VMware Tunnel requiert l'accès au point de terminaison REST API uniquement lors du déploiement initial.

5
2 010 * HTTPS Serveur frontal VMware Tunnel Serveur principal VMware Tunnel Connectez-vous par Telnet du serveur frontal VMware Tunnel au serveur principal VMware Tunnel sur le port. 3
80, 443, n'importe quel port TCP HTTP, HTTPS ou TCP Serveur principal VMware Tunnel Ressources internes Confirmez que VMware Tunnel peut accéder aux ressources internes sur le port requis. 4
514 * UDP VMware Tunnel Serveur Syslog
Sur site : 2 020 HTTPS Workspace ONE UEM VMware Tunnel Proxy Les utilisateurs sur site peuvent tester la connexion à l'aide de la commande telnet : telnet <Tunnel Proxy URL> <port> 6

Les points suivants sont valides pour la configuration requise de VMware Tunnel.

Note : * : vous pouvez modifier ce port si nécessaire en fonction des restrictions de votre environnement.
  1. Si le port 443 est utilisé, Tunnel par application écoutera sur le port 8 443.
    Note : Lorsque les services VMware Tunnel et Content Gateway sont activés sur le même dispositif, et que le partage de port TLS est activé, les noms DNS doivent être uniques pour chaque service. Lorsque TLS n'est pas activé, seul un nom DNS peut être utilisé pour les deux services, car le port différenciera le trafic entrant. (Pour Content Gateway,si le port 443 est utilisé, Content Gateway écoutera sur le port 10 443.)
  2. Pour que VMware Tunnel interroge la console Workspace ONE UEM à des fins de conformité et de suivi.
  3. Pour que les topologies de serveur frontal VMware Tunnel transmettent les demandes de terminaux vers le point de terminaison VMware Tunnel interne uniquement.
  4. Pour que les applications utilisant VMware Tunnel accèdent aux ressources internes.
  5. VMware Tunnel doit communiquer avec l'API pour l'initialisation. Assurez-vous qu'il existe une connectivité entre REST API et le serveur VMware Tunnel. Accédez à Groupes et paramètres > Tous les paramètres > Système > Avancé > URL de sites pour définir l'URL de serveur REST API. Cette page n'est pas disponible pour les clients SaaS. L'URL de REST API pour les clients SaaS est plus couramment l'URL du serveur de console ou de services de terminaux.
  6. Cela est requis pour une « Connexion de test » réussie à VMware Tunnel Proxy depuis la console Workspace ONE UEM. La configuration requise est facultative et peut être omise sans perte de fonctionnalité aux terminaux. Pour les clients SaaS, il est possible que la console Workspace ONE UEM ait déjà établi une connectivité entrante à VMware Tunnel Proxy sur le port 2020 en raison de la configuration requise du trafic Internet entrant sur le port 2020.