DMZ ベースの Unified Access Gateway アプライアンスには、フロントエンド ファイアウォールとバックエンド ファイアウォールに関する特定のファイアウォール ルールが必要です。インストール中、Unified Access Gateway サービスは、デフォルトで特定のネットワーク ポートをリッスンするように設定されます。
通常、DMZ ベースの Unified Access Gateway アプライアンスのデプロイには、2 つのファイアウォールが含まれます。
- DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロント エンド ファイアウォールが必要です。外部からのネットワーク トラフィックが DMZ に到達できるように、このファイアウォールを構成します。
- 2 つ目のセキュリティの層を提供するために、DMZ と内部ネットワークの間のバック エンド ファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。
ファイアウォール ポリシーによって DMZ サービスからのインバウンド通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。
次の表は、
Unified Access Gateway 内のさまざまなサービスのポート要件を一覧表示したものです。
注: すべての UDP ポートでは、転送データグラムと応答データグラムを有効にする必要があります。
Unified Access Gateway サービスは DNS を使用してホスト名を解決します。DNS サーバの IP アドレスは構成可能です。DNS 要求は UDP ポート 53 で行われるため、外部ファイアウォールがこれらの要求または応答をブロックしないことが重要です。
| ポート | プロトコル | Source | ターゲット/宛先 | 説明 |
|---|---|---|---|---|
| 443*、または 1024 より大きい任意のポート | HTTPS | デバイス(インターネットおよび Wi-Fi から) | Unified Access Gateway Secure Email Gateway のエンドポイント |
Secure Email Gateway はポート 11443 で待機します。443 またはその他のポートが構成されている場合、Unified Access Gateway は内部で SEG トラフィックを 11443 にルーティングします。 |
| 443*、または 1024 より大きい任意のポート | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Secure Email Gateway のエンドポイント |
Secure Email Gateway はポート 11443 で待機します。443 またはその他のポートが構成されている場合、Unified Access Gateway は内部で SEG トラフィックを 11443 にルーティングします。 |
| 443*、または 1024 より大きい任意のポート | HTTPS | Email Notification Service(有効な場合) | Unified Access Gateway Secure Email Gateway のエンドポイント |
Secure Email Gateway はポート 11443 で待機します。443 またはその他のポートが構成されている場合、Unified Access Gateway は内部で SEG トラフィックを 11443 にルーティングします。 |
| 5701 | TCP | Secure Email Gateway | Secure Email Gateway | Hazelcast 分散キャッシュに使用されます。 |
| 41232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | Vertx クラスタ管理に使用されます。 |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | 診断および管理機能に使用されます。 |
| 任意 | HTTPS | Secure Email Gateway | メール サーバ | SEG はメール サーバのリスナー ポート(通常は 443)に接続し、E メール トラフィックを処理します。 |
| 任意 | HTTPS | Secure Email Gateway | Workspace ONE UEM API サーバ | SEG は Workspace ONE から構成とポリシー データを取得します。ポートは通常 443 です。 |
| 88 | TCP | Secure Email Gateway | KDC サーバ/Active Directory サーバ | KCD 認証が有効な場合に Kerberos 認証トークンを取得するために使用されます。 |
注: Unified Access Gateway では Secure Email Gateway (SEG) サービスが非 root ユーザーとして実行されるため、SEG はシステム ポートでは実行できません。したがって、カスタム ポートは 1024 よりも大きい必要があります。
| ポート | プロトコル | Source | 送信先 | 説明 |
|---|---|---|---|---|
| 443 | TCP | インターネット | Unified Access Gateway | Web トラフィック、Horizon Client XML - API、Horizon Tunnel、および Blast Extreme の場合 |
| 443 | UDP | インターネット | Unified Access Gateway | UDP 443 は、Unified Access Gateway の UDP トンネル サーバ サービスの UDP 9443 に内部転送されます。 |
| 8443 | UDP | インターネット | Unified Access Gateway | Blast Extreme(オプション) |
| 8443 | TCP | インターネット | Unified Access Gateway | Blast Extreme(オプション) |
| 4172 | TCP と UDP | インターネット | Unified Access Gateway | PCoIP(オプション) |
| 443 | TCP | Unified Access Gateway | Horizon 接続サーバ | Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air Console Access (HACA) |
| 22443 | TCP と UDP | Unified Access Gateway | デスクトップと RDS ホスト | Blast Extreme |
| 4172 | TCP と UDP | Unified Access Gateway | デスクトップと RDS ホスト | PCoIP(オプション) |
| 32111 | TCP | Unified Access Gateway | デスクトップと RDS ホスト | USB リダイレクトのフレームワーク チャンネルの場合 |
| 3389 | TCP | Unified Access Gateway | デスクトップと RDS ホスト | Horizon Client で RDP プロトコルを使用する場合にのみ必要です。 |
| 9427 | TCP | Unified Access Gateway | デスクトップと RDS ホスト | MMR、CDR、および HTML5 機能(Microsoft Teams の最適化、ブラウザのリダイレクトなど)。 |
注: 外部クライアント デバイスが DMZ 内の
Unified Access Gateway アプライアンスに接続できるようにするには、フロントエンド ファイアウォールで、特定のポートのトラフィックを許可する必要があります。デフォルトでは、外部のクライアント デバイスと外部の Web クライアント (HTML Access) は、DMZ にある
Unified Access Gateway アプライアンスに TCP ポート 443 で接続します。Blast プロトコルを使用する場合は、ファイアウォールでポート 8443 を開く必要があります。TCP ポート 443 を介して Blast を使用する場合、ファイアウォールで TCP 8443 を開く必要はありません。
| ポート | プロトコル | Source | 送信先 | 説明 |
|---|---|---|---|---|
| 443 | HTTPS | Unified Access Gateway | Workspace ONE Intelligence Server | curl -ILvv https://<api_server_hostname>/v1/device/risk_score curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials 予想される応答は HTTP 401 unauthorized です。 |
| ポート | プロトコル | Source | 送信先 | 説明 |
|---|---|---|---|---|
| 443 | TCP | インターネット | Unified Access Gateway | Web トラフィック向け |
| 任意 | TCP | Unified Access Gateway | イントラネット サイト | イントラネットが待機している設定済みのカスタム ポート。たとえば、80、443、8080 のようになります。 |
| 88 | TCP | Unified Access Gateway | KDC サーバ/Active Directory サーバ | Kerberos に対する SAML/Kerberos に対する証明書が構成されている場合、ID ブリッジが Active Directory にアクセスするために必要です。 |
| 88 | UDP | Unified Access Gateway | KDC サーバ/Active Directory サーバ | Kerberos に対する SAML/Kerberos に対する証明書が構成されている場合、ID ブリッジが Active Directory にアクセスするために必要です。 |
| ポート | プロトコル | Source | 送信先 | 説明 |
|---|---|---|---|---|
| 9443 | TCP | 管理ユーザー インターフェイス | Unified Access Gateway | 管理インターフェイス |
| ポート | プロトコル | Source | 送信先 | 説明 |
|---|---|---|---|---|
| 任意のポート > 1024 または 443* | HTTPS | デバイス(インターネットおよび Wi-Fi から) | Unified Access Gateway Content Gateway エンドポイント | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
| 任意のポート > 1024 または 443* | HTTPS | Workspace ONE UEM デバイス サービス | Unified Access Gateway Content Gateway エンドポイント | |
| 任意のポート > 1024 または 443* | HTTPS | Workspace ONE UEM コンソール | Unified Access Gateway Content Gateway エンドポイント | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
| 任意のポート > 1024 または 443* | HTTPS | Unified Access Gateway Content Gateway エンドポイント | Workspace ONE UEM API サーバ | |
| リポジトリが待機しているポート。 | HTTP または HTTPS | Unified Access Gateway Content Gateway エンドポイント | SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ | イントラネット サイトが待機している設定済みのカスタム ポート。 |
| 137 – 139 および 445 | CIFS または SMB | Unified Access Gateway Content Gateway エンドポイント | ネットワーク共有ベースのリポジトリ(Windows ファイル共有) | SMB ベースのリポジトリ(分散ファイル システム、NFS、NetApp OnTap、Ninix 共有、IBM 共有ドライブ) |
| ポート | プロトコル | Source | ターゲット/宛先 | 説明 |
|---|---|---|---|---|
| 任意のポート > 1024 または 443* | HTTP/HTTPS | Unified Access Gateway リレー サーバ(Content Gateway リレー) | Unified Access Gateway Content Gateway エンドポイント | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
| 任意のポート > 1024 または 443* | HTTPS | デバイス(インターネットおよび Wi-Fi から) | Unified Access Gateway リレー サーバ(Content Gateway リレー) | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
| 任意のポート > 1024 または 443* | TCP | Workspace ONE UEM デバイス サービス | Unified Access Gateway リレー サーバ(Content Gateway リレー) | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
| 任意のポート > 1024 または 443* | HTTPS | Workspace ONE UEM コンソール | Unified Access Gateway リレー サーバ(Content Gateway リレー) | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
| 任意のポート > 1024 または 443* | HTTPS | Unified Access Gateway Content Gateway リレー | Workspace ONE UEM API サーバ | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
| 任意のポート > 1024 または 443* | HTTPS | Unified Access Gateway Content Gateway エンドポイント | Workspace ONE UEM API サーバ | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
| リポジトリが待機しているポート。 | HTTP または HTTPS | Unified Access Gateway Content Gateway エンドポイント | SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ | イントラネット サイトが待機している設定済みのカスタム ポート。 |
| 任意のポート > 1024 または 443* | HTTPS | Unified Access Gateway(Content Gateway リレー) | Unified Access Gateway Content Gateway エンドポイント | *443 を使用すると、Content Gateway はポート 10443 で待機します。 |
| 137 – 139 および 445 | CIFS または SMB | Unified Access Gateway Content Gateway エンドポイント | ネットワーク共有ベースのリポジトリ(Windows ファイル共有) | SMB ベースのリポジトリ(分散ファイル システム、NFS、NetApp OnTap、Ninix 共有、IBM 共有ドライブ) |
注:
Unified Access Gateway では
Content Gateway サービスが非 root ユーザーとして実行されるため、
Content Gateway はシステム ポートでは実行できません。したがって、カスタム ポートは 1024 よりも大きい必要があります。
| ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
|---|---|---|---|---|---|
| 8443 * | TCP、UDP | デバイス(インターネットおよび Wi-Fi から) | VMware Tunnel アプリケーション単位のトンネル | インストール後に、次のコマンドを実行します:netstat -tlpn | grep [Port] | 1 |
| ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
|---|---|---|---|---|---|
| SaaS:443 : 2001 * |
HTTPS | VMware Tunnel | AirWatch Cloud Messaging サーバ | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
予想される応答は
HTTP 200 OKです。 |
2 |
| SaaS:443 オンプレミス:80 または 443 |
HTTP または HTTPS | VMware Tunnel | Workspace ONE UEM の REST API エンドポイント
|
curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 |
5 |
| 80、443、任意の TCP | HTTP、HTTPS、または TCP | VMware Tunnel | 内部リソース | VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog サーバ |
| ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
|---|---|---|---|---|---|
| SaaS:443 オンプレミス:2001 * |
TLS v1.2 | VMware Tunnel フロントエンド | AirWatch Cloud Messaging Server | https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 | 2 |
| 8443 | TLS v1.2 | VMware Tunnel フロントエンド | VMware Tunnel バック エンド | ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンド サーバへの Telnet | 3 |
| SaaS:443 オンプレミス:2001 |
TLS v1.2 | VMware Tunnel バック エンド | Workspace ONE UEM Cloud Messaging サーバ | https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 | 2 |
| 80 または 443 | TCP | VMware Tunnel バック エンド | 内部 Web サイト/Web アプリケーション | 4 | |
| 80、443、任意の TCP | TCP | VMware Tunnel バック エンド | 内部リソース | 4 | |
| 80 または 443 | HTTPS | VMware Tunnel フロントエンドおよびバックエンド | Workspace ONE UEM の REST API エンドポイント
|
curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 |
5 |
| ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
|---|---|---|---|---|---|
| SaaS:443 オンプレミス:2001 |
HTTP または HTTPS | VMware Tunnel フロントエンド | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 予想される応答は HTTP 200 OK です。 |
2 |
| 80 または 443 | HTTPS または HTTPS | VMware Tunnel バックエンドおよびフロントエンド | Workspace ONE UEM の REST API エンドポイント
|
curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 VMware Tunnel エンドポイントでは、初期導入時にのみ REST API エンドポイントへのアクセスが必要です。 |
5 |
| 2010 * | HTTPS | VMware Tunnel フロントエンド | VMware Tunnel バック エンド | ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンド サーバへの Telnet | 3 |
| 80、443、任意の TCP | HTTP、HTTPS、または TCP | VMware Tunnel バック エンド | 内部リソース | VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog サーバ |
以下の点は、VMware Tunnel 要件に対して有効です。
注:
* - このポートは、環境の制限に基づき、必要に応じて変更できます
- ポート 443 を使用すると、アプリケーション単位のトンネルはポート 8443 で待機します。
注: 同じアプライアンスで VMware Tunnel および Content Gateway サービスが有効になっていて、TLS ポート共有が有効になっている場合、DNS 名は各サービスごとに一意である必要があります。TLS が有効でない場合、ポートが受信トラフィックを区別するため、両方のサービスに対して 1 つの DNS 名のみを使用できます。( Content Gateway の場合、ポート 443 を使用すると、 Content Gateway は ポート 10443 で待機します。)
- VMware Tunnel がコンプライアンスと追跡の目的で Workspace ONE UEM コンソールをクエリする場合。
- VMware Tunnel のフロントエンド トポロジがデバイス要求を内部の VMware Tunnel バックエンドにのみ転送する場合。
- VMware Tunnel を使用するアプリケーションが内部リソースにアクセスする場合。
- VMware Tunnel は、初期化のために API と通信する必要があります。REST API と VMware Tunnel サーバが接続状態であることを確認します。 に移動して REST API サーバの URL を設定します。このページは SaaS ユーザーには使用できません。ほとんどの場合、SaaS ユーザーの REST API URL は、コンソールまたはデバイス サービス サーバの URL です。
