DMZ ベースの Unified Access Gateway アプライアンスには、フロントエンド ファイアウォールとバックエンド ファイアウォールに関する特定のファイアウォール ルールが必要です。インストール中、Unified Access Gateway サービスは、デフォルトで特定のネットワーク ポートをリッスンするように設定されます。

通常、DMZ ベースの Unified Access Gateway アプライアンスのデプロイには、2 つのファイアウォールが含まれます。

  • DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロント エンド ファイアウォールが必要です。外部からのネットワーク トラフィックが DMZ に到達できるように、このファイアウォールを構成します。
  • 2 つ目のセキュリティの層を提供するために、DMZ と内部ネットワークの間のバック エンド ファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。

ファイアウォール ポリシーによって DMZ サービスからのインバウンド通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。

次の表は、 Unified Access Gateway 内のさまざまなサービスのポート要件を一覧表示したものです。
注: : すべての UDP ポートでは、転送データグラムと応答データグラムを有効にする必要があります。
表 1. Horizon 接続サーバのポート要件
ポート プロトコル Source 送信先 説明
443 TCP インターネット Unified Access Gateway Web トラフィック、Horizon Client XML - API、Horizon Tunnel、および Blast Extreme の場合
443 UDP インターネット Unified Access Gateway UDP 443 は、Unified Access Gateway の UDP トンネル サーバ サービスの UDP 9443 に内部転送されます。
8443 UDP インターネット Unified Access Gateway Blast Extreme(オプション)
8443 TCP インターネット Unified Access Gateway Blast Extreme(オプション)
4172 TCP と UDP インターネット Unified Access Gateway PCoIP(オプション)
443 TCP Unified Access Gateway Horizon ブローカ Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air Console Access (HACA)
22443 TCP と UDP Unified Access Gateway デスクトップと RDS ホスト Blast Extreme
4172 TCP と UDP Unified Access Gateway デスクトップと RDS ホスト PCoIP(オプション)
32111 TCP Unified Access Gateway デスクトップと RDS ホスト USB リダイレクトのフレームワーク チャンネルの場合
9427 TCP Unified Access Gateway デスクトップと RDS ホスト MMR と CDR
注: :

外部クライアント デバイスが DMZ 内の Unified Access Gateway アプライアンスに接続できるようにするには、フロントエンド ファイアウォールで、特定のポートのトラフィックを許可する必要があります。デフォルトでは、外部のクライアント デバイスと外部の Web クライアント (HTML Access) は、DMZ にある Unified Access Gateway アプライアンスに TCP ポート 443 で接続します。Blast プロトコルを使用する場合、ファイアウォール上でポート 8443 を開く必要がありますが、ポート 443 を使用するように Blast を設定することもできます。

表 2. Web リバース プロキシのポート要件
ポート プロトコル Source 送信先 説明
443 TCP インターネット Unified Access Gateway Web トラフィック向け
任意 TCP Unified Access Gateway イントラネット サイト イントラネットが待機している設定済みのカスタム ポート。たとえば、80、443、8080 のようになります。
88 TCP Unified Access Gateway KDC サーバ/Active Directory サーバ Kerberos に対する SAML/Kerberos に対する証明書が設定されている場合、ID ブリッジが Active Directory にアクセスするために必要です。
88 UDP Unified Access Gateway KDC サーバ/Active Directory サーバ Kerberos に対する SAML/Kerberos に対する証明書が設定されている場合、ID ブリッジが Active Directory にアクセスするために必要です。
表 3. 管理ユーザー インターフェイスのポート要件
ポート プロトコル Source 送信先 説明
9443 TCP 管理ユーザー インターフェイス Unified Access Gateway 管理インターフェイス
表 4. Content Gateway の基本エンドポイント構成のポート要件
ポート プロトコル Source 送信先 説明
443* または 1024 より大きい任意のポート HTTPS デバイス(インターネットおよび Wi-Fi から) Unified Access Gateway Content Gateway エンドポイント 443 を使用すると、Content Gateway は ポート 10443 で待機します。
443* または 1024 より大きい任意のポート HTTPS VMware AirWatch デバイス サービス Unified Access Gateway Content Gateway エンドポイント
443* または 1024 より大きい任意のポート HTTPS Workspace ONE UEM コンソール Unified Access Gateway Content Gateway エンドポイント 443 を使用すると、Content Gateway は ポート 10443 で待機します。
リポジトリが待機しているポート。 HTTP または HTTPS Unified Access Gateway Content Gateway エンドポイント SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ イントラネット サイトが待機している設定済みのカスタム ポート。
137 – 139 および 445 CIFS または SMB Unified Access Gateway Content Gateway エンドポイント ネットワーク共有ベースのリポジトリ(Windows ファイル共有) イントラネット共有
表 5. Content Gateway のリレー エンドポイント構成のポート要件
ポート プロトコル Source ターゲット/宛先 説明
443* または 1024 より大きい任意のポート HTTP/HTTPS Unified Access Gateway リレー サーバ(Content Gateway リレー) Unified Access Gateway Content Gateway エンドポイント 443 を使用すると、Content Gateway は ポート 10443 で待機します。
443* または 1024 より大きい任意のポート HTTPS デバイス(インターネットおよび Wi-Fi から) Unified Access Gateway リレー サーバ(Content Gateway リレー) 443 を使用すると、Content Gateway は ポート 10443 で待機します。
443* または 1024 より大きい任意のポート TCP AirWatch デバイス サービス Unified Access Gateway リレー サーバ(Content Gateway リレー) 443 を使用すると、Content Gateway は ポート 10443 で待機します。
443* または 1024 より大きい任意のポート HTTPS Workspace ONE UEM Console
リポジトリが待機しているポート。 HTTP または HTTPS Unified Access Gateway Content Gateway エンドポイント SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ イントラネット サイトが待機している設定済みのカスタム ポート。
443* または 1024 より大きい任意のポート HTTPS Unified Access GatewayContent Gateway リレー) Unified Access Gateway Content Gateway エンドポイント 443 を使用すると、Content Gateway は ポート 10443 で待機します。
137 – 139 および 445 CIFS または SMB Unified Access Gateway Content Gateway エンドポイント ネットワーク共有ベースのリポジトリ(Windows ファイル共有) イントラネット共有
注: : Unified Access Gateway では Content Gateway サービスが非 root ユーザーとして実行されるため、 Content Gateway はシステム ポートでは実行できません。したがって、カスタム ポートは 1024 よりも大きい必要があります。
表 6. VMware Tunnel のポート要件
ポート プロトコル Source ターゲット/宛先 確認 注(ページの下部にある「注」セクションを参照してください)
2020 * HTTPS デバイス(インターネットおよび Wi-Fi から) VMware Tunnel プロキシ インストール後に、次のコマンドを実行します:netstat -tlpn | grep [Port]
8443 * TCP デバイス(インターネットおよび Wi-Fi から) VMware Tunnel アプリケーション単位のトンネル インストール後に、次のコマンドを実行します:netstat -tlpn | grep [Port] 1
表 7. VMware Tunnel の基本エンドポイント構成
ポート プロトコル Source ターゲット/宛先 確認 注(ページの下部にある「注」セクションを参照してください)
SaaS: 443

: 2001 *

HTTPS VMware Tunnel AirWatch Cloud Messaging サーバ curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

予想される応答は HTTP 200 OK です。

2
SaaS: 443

オンプレミス:80 または 443

HTTP または HTTPS VMware Tunnel Workspace ONE UEM の REST API エンドポイント
  • SaaS:https://asXXX.awmdm. com または https://asXXX. airwatchportals.com
  • オンプレミス:通常は DS またはコンソール サーバ
curl -Ivv https://<API URL>/api/mdm/ping

予想される応答は HTTP 401 unauthorized です。

5
80、443、任意の TCP HTTP、HTTPS、または TCP VMware Tunnel 内部リソース VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 4
514 * UDP VMware Tunnel Syslog サーバ
オンプレミス:2020 HTTPS Workspace ONE UEM コンソール VMware Tunnel プロキシ オンプレミス ユーザーは、telnet コマンドを使用して接続をテストできます:telnet <Tunnel Proxy URL> <port> 6
表 8. VMware Tunnel のカスケード構成
ポート プロトコル Source ターゲット/宛先 確認 注(ページの下部にある「注」セクションを参照してください)
SaaS: 443

オンプレミス:2001 *

TLS v1.2 VMware Tunnel フロントエンド AirWatch Cloud Messaging サーバ https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 2
8443 TLS v1.2 VMware Tunnel フロントエンド VMware Tunnel バック エンド ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンド サーバへの Telnet 3
SaaS: 443

オンプレミス:2001

TLS v1.2 VMware Tunnel バック エンド AirWatch Cloud Messaging サーバ https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 2
80 または 443 TCP VMware Tunnel バック エンド 内部 Web サイト/Web アプリケーション 4
80、443、任意の TCP TCP VMware Tunnel バック エンド 内部リソース 4
80 または 443 HTTPS VMware Tunnel フロントエンドおよびバックエンド Workspace ONE UEM の REST API エンドポイント
  • SaaS:https://asXXX.awmdm. com または https://asXXX. airwatchportals.com
  • オンプレミス:通常は DS またはコンソール サーバ
curl -Ivv https://<API URL>/api/mdm/ping

予想される応答は HTTP 401 unauthorized です。

5
表 9. VMware Tunnel のリレー エンドポイント構成
ポート プロトコル Source ターゲット/宛先 確認 注(ページの下部にある「注」セクションを参照してください)
SaaS: 443

オンプレミス:2001

HTTP または HTTPS VMware Tunnel リレー AirWatch Cloud Messaging サーバ curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

予想される応答は HTTP 200 OK です。

2
80 または 443 HTTPS または HTTPS VMware Tunnel エンドポイントおよびリレー Workspace ONE UEM の REST API エンドポイント
  • SaaS:https://asXXX.awmdm. com または https://asXXX. airwatchportals.com
  • オンプレミス:通常は DS またはコンソール サーバ
curl -Ivv https://<API URL>/api/mdm/ping

予想される応答は HTTP 401 unauthorized です。

VMware Tunnel エンドポイントでは、初期導入時にのみ REST API エンドポイントへのアクセスが必要です。

5
2010 * HTTPS VMware Tunnel リレー VMware Tunnel エンドポイント ポートの VMware Tunnel リレーから VMware Tunnel エンドポイント サーバへの Telnet 3
80、443、任意の TCP HTTP、HTTPS、または TCP VMware Tunnel エンドポイント 内部リソース VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 4
514 * UDP VMware Tunnel Syslog サーバ
オンプレミス:2020 HTTPS Workspace ONE UEM VMware Tunnel プロキシ オンプレミス ユーザーは、telnet コマンドを使用して接続をテストできます:telnet <Tunnel Proxy URL> <port> 6
注: : 以下の点は、 VMware Tunnel 要件に対して有効です。

* - このポートは、環境の制限に基づき、必要に応じて変更できます。

  1. ポート 443 を使用すると、アプリケーション単位のトンネルはポート 8443 で待機します。
    注: : 同じアプライアンスで VMware Tunnel および Content Gateway サービスが有効になっていて、TLS ポート共有が有効になっている場合、DNS 名は各サービスごとに一意である必要があります。TLS が有効でない場合、ポートが受信トラフィックを区別するため、両方のサービスに対して 1 つの DNS 名のみを使用できます。( Content Gateway の場合、ポート 443 を使用すると、 Content Gateway は ポート 10443 で待機します。)
  2. VMware Tunnel がコンプライアンスと追跡の目的で Workspace ONE UEM コンソールをクエリする場合。
  3. VMware Tunnel のリレー トポロジがデバイス要求を内部の VMware Tunnel エンドポイントにのみ転送する場合。
  4. VMware Tunnel を使用するアプリケーションが内部リソースにアクセスする場合。
  5. VMware Tunnel は、初期化のために API と通信する必要があります。REST API と VMware Tunnel サーバが接続状態であることを確認します。[グループと設定] > [すべての設定] > [システム] > [詳細] > [サイトの URL] に移動して REST API サーバの URL を設定します。このページは SaaS ユーザーには使用できません。ほとんどの場合、SaaS ユーザーの REST API URL は、コンソールまたはデバイス サービス サーバの URL です。
  6. これは、Workspace ONE UEM コンソールから VMware Tunnel プロキシへの「テスト接続」を成功させるために必要です。要件はオプションで、省略してもデバイスへの機能が失われることはありません。SaaS ユーザーの場合、ポート 2020 での受信インターネット要件により、Workspace ONE UEM コンソールがすでにポート 2020 上で VMware Tunnel プロキシへの受信接続を確立している可能性があります。