DMZ ベースの Unified Access Gateway アプライアンスには、フロントエンド ファイアウォールとバックエンド ファイアウォールに関する特定のファイアウォール ルールが必要です。インストール中、Unified Access Gateway サービスは、デフォルトで特定のネットワーク ポートをリッスンするように設定されます。
通常、DMZ ベースの Unified Access Gateway アプライアンスのデプロイには、2 つのファイアウォールが含まれます。
- DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロント エンド ファイアウォールが必要です。外部からのネットワーク トラフィックが DMZ に到達できるように、このファイアウォールを構成します。
- 2 つ目のセキュリティの層を提供するために、DMZ と内部ネットワークの間のバック エンド ファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。
ファイアウォール ポリシーによって DMZ サービスからのインバウンド通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。
ポート | プロトコル | Source | ターゲット/宛先 | 説明 |
---|---|---|---|---|
443*、または 1024 より大きい任意のポート | HTTPS | デバイス(インターネットおよび Wi-Fi から) | Unified Access Gateway Secure Email Gateway のエンドポイント |
Secure Email Gateway はポート 11443 で待機します。443 またはその他のポートが構成されている場合、Unified Access Gateway は内部で SEG トラフィックを 11443 にルーティングします。 |
443*、または 1024 より大きい任意のポート | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Secure Email Gateway のエンドポイント |
Secure Email Gateway はポート 11443 で待機します。443 またはその他のポートが構成されている場合、Unified Access Gateway は内部で SEG トラフィックを 11443 にルーティングします。 |
443*、または 1024 より大きい任意のポート | HTTPS | Email Notification Service(有効な場合) | Unified Access Gateway Secure Email Gateway のエンドポイント |
Secure Email Gateway はポート 11443 で待機します。443 またはその他のポートが構成されている場合、Unified Access Gateway は内部で SEG トラフィックを 11443 にルーティングします。 |
5701 | TCP | Secure Email Gateway | Secure Email Gateway | Hazelcast 分散キャッシュに使用されます。 |
41232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | Vertx クラスタ管理に使用されます。 |
44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | 診断および管理機能に使用されます。 |
任意 | HTTPS | Secure Email Gateway | メール サーバ | SEG はメール サーバのリスナー ポート(通常は 443)に接続し、E メール トラフィックを処理します。 |
任意 | HTTPS | Secure Email Gateway | Workspace ONE UEM API サーバ | SEG は Workspace ONE から構成とポリシー データを取得します。ポートは通常 443 です。 |
88 | TCP | Secure Email Gateway | KDC サーバ/Active Directory サーバ | KCD 認証が有効な場合に Kerberos 認証トークンを取得するために使用されます。 |
ポート | プロトコル | Source | 送信先 | 説明 |
---|---|---|---|---|
443 | TCP | インターネット | Unified Access Gateway | Web トラフィック、Horizon Client XML - API、Horizon Tunnel、および Blast Extreme の場合 |
443 | UDP | インターネット | Unified Access Gateway | UDP 443 は、Unified Access Gateway の UDP トンネル サーバ サービスの UDP 9443 に内部転送されます。 |
8443 | UDP | インターネット | Unified Access Gateway | Blast Extreme(オプション) |
8443 | TCP | インターネット | Unified Access Gateway | Blast Extreme(オプション) |
4172 | TCP と UDP | インターネット | Unified Access Gateway | PCoIP(オプション) |
443 | TCP | Unified Access Gateway | Horizon 接続サーバ | Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air Console Access (HACA) |
22443 | TCP と UDP | Unified Access Gateway | デスクトップと RDS ホスト | Blast Extreme |
4172 | TCP と UDP | Unified Access Gateway | デスクトップと RDS ホスト | PCoIP(オプション) |
32111 | TCP | Unified Access Gateway | デスクトップと RDS ホスト | USB リダイレクトのフレームワーク チャンネルの場合 |
3389 | TCP | Unified Access Gateway | デスクトップと RDS ホスト | Horizon Client で RDP プロトコルを使用する場合にのみ必要です。 |
9427 | TCP | Unified Access Gateway | デスクトップと RDS ホスト | MMR、CDR、および HTML5 機能(Microsoft Teams の最適化、ブラウザのリダイレクトなど)。 |
ポート | プロトコル | Source | 送信先 | 説明 |
---|---|---|---|---|
443 | TCP | インターネット | Unified Access Gateway | Web トラフィック向け |
任意 | TCP | Unified Access Gateway | イントラネット サイト | イントラネットが待機している設定済みのカスタム ポート。たとえば、80、443、8080 のようになります。 |
88 | TCP | Unified Access Gateway | KDC サーバ/Active Directory サーバ | Kerberos に対する SAML/Kerberos に対する証明書が構成されている場合、ID ブリッジが Active Directory にアクセスするために必要です。 |
88 | UDP | Unified Access Gateway | KDC サーバ/Active Directory サーバ | Kerberos に対する SAML/Kerberos に対する証明書が構成されている場合、ID ブリッジが Active Directory にアクセスするために必要です。 |
ポート | プロトコル | Source | 送信先 | 説明 |
---|---|---|---|---|
9443 | TCP | 管理ユーザー インターフェイス | Unified Access Gateway | 管理インターフェイス |
ポート | プロトコル | Source | 送信先 | 説明 |
---|---|---|---|---|
任意のポート > 1024 または 443* | HTTPS | デバイス(インターネットおよび Wi-Fi から) | Unified Access Gateway Content Gateway エンドポイント | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
任意のポート > 1024 または 443* | HTTPS | Workspace ONE UEM デバイス サービス | Unified Access Gateway Content Gateway エンドポイント | |
任意のポート > 1024 または 443* | HTTPS | Workspace ONE UEM コンソール | Unified Access Gateway Content Gateway エンドポイント | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
任意のポート > 1024 または 443* | HTTPS | Unified Access Gateway Content Gateway エンドポイント | Workspace ONE UEM API サーバ | |
リポジトリが待機しているポート。 | HTTP または HTTPS | Unified Access Gateway Content Gateway エンドポイント | SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ | イントラネット サイトが待機している設定済みのカスタム ポート。 |
137 – 139 および 445 | CIFS または SMB | Unified Access Gateway Content Gateway エンドポイント | ネットワーク共有ベースのリポジトリ(Windows ファイル共有) | イントラネット共有 |
ポート | プロトコル | Source | ターゲット/宛先 | 説明 |
---|---|---|---|---|
任意のポート > 1024 または 443* | HTTP/HTTPS | Unified Access Gateway リレー サーバ(Content Gateway リレー) | Unified Access Gateway Content Gateway エンドポイント | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
任意のポート > 1024 または 443* | HTTPS | デバイス(インターネットおよび Wi-Fi から) | Unified Access Gateway リレー サーバ(Content Gateway リレー) | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
任意のポート > 1024 または 443* | TCP | Workspace ONE UEM デバイス サービス | Unified Access Gateway リレー サーバ(Content Gateway リレー) | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
任意のポート > 1024 または 443* | HTTPS | Workspace ONE UEM コンソール | Unified Access Gateway リレー サーバ(Content Gateway リレー) | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
任意のポート > 1024 または 443* | HTTPS | Unified Access Gateway Content Gateway リレー | Workspace ONE UEM API サーバ | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
任意のポート > 1024 または 443* | HTTPS | Unified Access Gateway Content Gateway エンドポイント | Workspace ONE UEM API サーバ | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
リポジトリが待機しているポート。 | HTTP または HTTPS | Unified Access Gateway Content Gateway エンドポイント | SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ | イントラネット サイトが待機している設定済みのカスタム ポート。 |
任意のポート > 1024 または 443* | HTTPS | Unified Access Gateway(Content Gateway リレー) | Unified Access Gateway Content Gateway エンドポイント | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
137 – 139 および 445 | CIFS または SMB | Unified Access Gateway Content Gateway エンドポイント | ネットワーク共有ベースのリポジトリ(Windows ファイル共有) | イントラネット共有 |
ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
---|---|---|---|---|---|
8443 * | TCP、UDP | デバイス(インターネットおよび Wi-Fi から) | VMware Tunnel アプリケーション単位のトンネル | インストール後に、次のコマンドを実行します:netstat -tlpn | grep [Port] | 1 |
ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
---|---|---|---|---|---|
SaaS:443 : 2001 * |
HTTPS | VMware Tunnel | AirWatch Cloud Messaging サーバ | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
予想される応答は
HTTP 200 OKです。 |
2 |
SaaS:443 オンプレミス:80 または 443 |
HTTP または HTTPS | VMware Tunnel | Workspace ONE UEM の REST API エンドポイント
|
curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 |
5 |
80、443、任意の TCP | HTTP、HTTPS、または TCP | VMware Tunnel | 内部リソース | VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 | 4 |
514 * | UDP | VMware Tunnel | Syslog サーバ |
ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
---|---|---|---|---|---|
SaaS:443 オンプレミス:2001 * |
TLS v1.2 | VMware Tunnel フロントエンド | AirWatch Cloud Messaging Server | https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 | 2 |
8443 | TLS v1.2 | VMware Tunnel フロントエンド | VMware Tunnel バック エンド | ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンド サーバへの Telnet | 3 |
SaaS:443 オンプレミス:2001 |
TLS v1.2 | VMware Tunnel バック エンド | Workspace ONE UEM Cloud Messaging サーバ | https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 | 2 |
80 または 443 | TCP | VMware Tunnel バック エンド | 内部 Web サイト/Web アプリケーション | 4 | |
80、443、任意の TCP | TCP | VMware Tunnel バック エンド | 内部リソース | 4 | |
80 または 443 | HTTPS | VMware Tunnel フロントエンドおよびバックエンド | Workspace ONE UEM の REST API エンドポイント
|
curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 |
5 |
ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
---|---|---|---|---|---|
SaaS:443 オンプレミス:2001 |
HTTP または HTTPS | VMware Tunnel フロントエンド | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 予想される応答は HTTP 200 OK です。 |
2 |
80 または 443 | HTTPS または HTTPS | VMware Tunnel バックエンドおよびフロントエンド | Workspace ONE UEM の REST API エンドポイント
|
curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 VMware Tunnel エンドポイントでは、初期導入時にのみ REST API エンドポイントへのアクセスが必要です。 |
5 |
2010 * | HTTPS | VMware Tunnel フロントエンド | VMware Tunnel バック エンド | ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンド サーバへの Telnet | 3 |
80、443、任意の TCP | HTTP、HTTPS、または TCP | VMware Tunnel バック エンド | 内部リソース | VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 | 4 |
514 * | UDP | VMware Tunnel | Syslog サーバ |
以下の点は、VMware Tunnel 要件に対して有効です。
- ポート 443 を使用すると、アプリケーション単位のトンネルはポート 8443 で待機します。
注: 同じアプライアンスで VMware Tunnel および Content Gateway サービスが有効になっていて、TLS ポート共有が有効になっている場合、DNS 名は各サービスごとに一意である必要があります。TLS が有効でない場合、ポートが受信トラフィックを区別するため、両方のサービスに対して 1 つの DNS 名のみを使用できます。( Content Gateway の場合、ポート 443 を使用すると、 Content Gateway は ポート 10443 で待機します。)
- VMware Tunnel がコンプライアンスと追跡の目的で Workspace ONE UEM コンソールをクエリする場合。
- VMware Tunnel のフロントエンド トポロジがデバイス要求を内部の VMware Tunnel バックエンドにのみ転送する場合。
- VMware Tunnel を使用するアプリケーションが内部リソースにアクセスする場合。
- VMware Tunnel は、初期化のために API と通信する必要があります。REST API と VMware Tunnel サーバが接続状態であることを確認します。 に移動して REST API サーバの URL を設定します。このページは SaaS ユーザーには使用できません。ほとんどの場合、SaaS ユーザーの REST API URL は、コンソールまたはデバイス サービス サーバの URL です。