DMZ ベースの Unified Access Gateway アプライアンスのファイアウォールルール

DMZ ベースの Unified Access Gateway アプライアンスには、フロントエンドファイアウォールとバックエンドファイアウォールに関する特定のファイアウォールルールが必要です。インストール中、Unified Access Gateway サービスは、デフォルトで特定のネットワークポートをリッスンするように設定されます。

通常、DMZ ベースの Unified Access Gateway アプライアンスのデプロイには、2 つのファイアウォールが含まれます。

DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロントエンドファイアウォールが必要です。外部からのネットワークトラフィックが DMZ に到達できるように、このファイアウォールを構成します。
2 つ目のセキュリティの層を提供するために、DMZ と内部ネットワークの間のバックエンドファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。

ファイアウォールポリシーによって DMZ サービスからのインバウンド通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。

次の表は、Unified Access Gateway 内のさまざまなサービスのポート要件を一覧表示したものです。

注：

すべての UDP ポートでは、転送データグラムと応答データグラムを有効にする必要があります。

表 1. Horizon 接続サーバのポート要件
ポート	プロトコル	Source	送信先	説明
443	TCP	インターネット	Unified Access Gateway	Web トラフィック、Horizon Client XML - API、Horizon Tunnel、および Blast Extreme の場合
443	UDP	インターネット	Unified Access Gateway	UDP 443 は、Unified Access Gateway の UDP トンネルサーバサービスの UDP 9443 に内部転送されます。
8443	UDP	インターネット	Unified Access Gateway	Blast Extreme（オプション）
8443	TCP	インターネット	Unified Access Gateway	Blast Extreme（オプション）
4172	TCP と UDP	インターネット	Unified Access Gateway	PCoIP（オプション）
443	TCP	Unified Access Gateway	Horizon 接続サーバ	Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air Console Access (HACA)
22443	TCP と UDP	Unified Access Gateway	デスクトップと RDS ホスト	Blast Extreme
4172	TCP と UDP	Unified Access Gateway	デスクトップと RDS ホスト	PCoIP（オプション）
32111	TCP	Unified Access Gateway	デスクトップと RDS ホスト	USB リダイレクトのフレームワークチャンネルの場合
9427	TCP	Unified Access Gateway	デスクトップと RDS ホスト	MMR と CDR

注：

外部クライアントデバイスが DMZ 内の Unified Access Gateway アプライアンスに接続できるようにするには、フロントエンドファイアウォールで、特定のポートのトラフィックを許可する必要があります。デフォルトでは、外部のクライアントデバイスと外部の Web クライアント (HTML Access) は、DMZ にある Unified Access Gateway アプライアンスに TCP ポート 443 で接続します。Blast プロトコルを使用する場合、ファイアウォール上でポート 8443 を開く必要がありますが、ポート 443 を使用するように Blast を設定することもできます。

表 2. Web リバースプロキシのポート要件
ポート	プロトコル	Source	送信先	説明
443	TCP	インターネット	Unified Access Gateway	Web トラフィック向け
任意	TCP	Unified Access Gateway	イントラネットサイト	イントラネットが待機している設定済みのカスタムポート。たとえば、80、443、8080 のようになります。
88	TCP	Unified Access Gateway	KDC サーバ/Active Directory サーバ	Kerberos に対する SAML/Kerberos に対する証明書が設定されている場合、ID ブリッジが Active Directory にアクセスするために必要です。
88	UDP	Unified Access Gateway	KDC サーバ/Active Directory サーバ	Kerberos に対する SAML/Kerberos に対する証明書が設定されている場合、ID ブリッジが Active Directory にアクセスするために必要です。

表 3. 管理ユーザーインターフェイスのポート要件
ポート	プロトコル	Source	送信先	説明
9443	TCP	管理ユーザーインターフェイス	Unified Access Gateway	管理インターフェイス

表 4. Content Gateway の基本エンドポイント構成のポート要件
ポート	プロトコル	Source	送信先	説明
443* または 1024 より大きい任意のポート	HTTPS	デバイス（インターネットおよび Wi-Fi から）	Unified Access Gateway Content Gateway エンドポイント	443 を使用すると、Content Gateway はポート 10443 で待機します。
443* または 1024 より大きい任意のポート	HTTPS	VMware AirWatch デバイスサービス	Unified Access Gateway Content Gateway エンドポイント
443* または 1024 より大きい任意のポート	HTTPS	Workspace ONE UEM コンソール	Unified Access Gateway Content Gateway エンドポイント	443 を使用すると、Content Gateway はポート 10443 で待機します。
リポジトリが待機しているポート。	HTTP または HTTPS	Unified Access Gateway Content Gateway エンドポイント	SharePoint/WebDAV/CMIS などの Web ベースのコンテンツリポジトリ	イントラネットサイトが待機している設定済みのカスタムポート。
137 – 139 および 445	CIFS または SMB	Unified Access Gateway Content Gateway エンドポイント	ネットワーク共有ベースのリポジトリ（Windows ファイル共有）	イントラネット共有

表 5. Content Gateway のリレーエンドポイント構成のポート要件
ポート	プロトコル	Source	ターゲット/宛先	説明
443* または 1024 より大きい任意のポート	HTTP/HTTPS	Unified Access Gateway リレーサーバ（Content Gateway リレー）	Unified Access Gateway Content Gateway エンドポイント	443 を使用すると、Content Gateway はポート 10443 で待機します。
443* または 1024 より大きい任意のポート	HTTPS	デバイス（インターネットおよび Wi-Fi から）	Unified Access Gateway リレーサーバ（Content Gateway リレー）	443 を使用すると、Content Gateway はポート 10443 で待機します。
443* または 1024 より大きい任意のポート	TCP	AirWatch デバイスサービス	Unified Access Gateway リレーサーバ（Content Gateway リレー）	443 を使用すると、Content Gateway はポート 10443 で待機します。
443* または 1024 より大きい任意のポート	HTTPS	Workspace ONE UEM Console
リポジトリが待機しているポート。	HTTP または HTTPS	Unified Access Gateway Content Gateway エンドポイント	SharePoint/WebDAV/CMIS などの Web ベースのコンテンツリポジトリ	イントラネットサイトが待機している設定済みのカスタムポート。
443* または 1024 より大きい任意のポート	HTTPS	Unified Access Gateway（Content Gateway リレー）	Unified Access Gateway Content Gateway エンドポイント	443 を使用すると、Content Gateway はポート 10443 で待機します。
137 – 139 および 445	CIFS または SMB	Unified Access Gateway Content Gateway エンドポイント	ネットワーク共有ベースのリポジトリ（Windows ファイル共有）	イントラネット共有

注：

Unified Access Gateway では Content Gateway サービスが非 root ユーザーとして実行されるため、Content Gateway はシステムポートでは実行できません。したがって、カスタムポートは 1024 よりも大きい必要があります。

表 6. VMware Tunnel のポート要件
ポート	プロトコル	Source	ターゲット/宛先	確認	注（ページの下部にある「注」セクションを参照してください）
2020 *	HTTPS	デバイス（インターネットおよび Wi-Fi から）	VMware Tunnel プロキシ	インストール後に、次のコマンドを実行します：netstat -tlpn \| grep [Port]
8443 *	TCP	デバイス（インターネットおよび Wi-Fi から）	VMware Tunnel アプリケーション単位のトンネル	インストール後に、次のコマンドを実行します：netstat -tlpn \| grep [Port]	1

表 7. VMware Tunnel の基本エンドポイント構成
ポート	プロトコル	Source	ターゲット/宛先	確認	注（ページの下部にある「注」セクションを参照してください）
SaaS: 443 : 2001 *	HTTPS	VMware Tunnel	AirWatch Cloud Messaging サーバ	curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 予想される応答は HTTP 200 OK です。	2
SaaS: 443 オンプレミス：80 または 443	HTTP または HTTPS	VMware Tunnel	Workspace ONE UEM の REST API エンドポイント SaaS：https://asXXX.awmdm. com または https://asXXX. airwatchportals.com オンプレミス：通常は DS またはコンソールサーバ	curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。	5
80、443、任意の TCP	HTTP、HTTPS、または TCP	VMware Tunnel	内部リソース	VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。	4
514 *	UDP	VMware Tunnel	Syslog サーバ
オンプレミス：2020	HTTPS	Workspace ONE UEM コンソール	VMware Tunnel プロキシ	オンプレミスユーザーは、telnet コマンドを使用して接続をテストできます：telnet <Tunnel Proxy URL> <port>	6

表 8. VMware Tunnel のカスケード構成
ポート	プロトコル	Source	ターゲット/宛先	確認	注（ページの下部にある「注」セクションを参照してください）
SaaS: 443 オンプレミス：2001 *	TLS v1.2	VMware Tunnel フロントエンド	AirWatch Cloud Messaging サーバ	https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。	2
8443	TLS v1.2	VMware Tunnel フロントエンド	VMware Tunnel バックエンド	ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンドサーバへの Telnet	3
SaaS: 443 オンプレミス：2001	TLS v1.2	VMware Tunnel バックエンド	AirWatch Cloud Messaging サーバ	https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。	2
80 または 443	TCP	VMware Tunnel バックエンド	内部 Web サイト/Web アプリケーション		4
80、443、任意の TCP	TCP	VMware Tunnel バックエンド	内部リソース		4
80 または 443	HTTPS	VMware Tunnel フロントエンドおよびバックエンド	Workspace ONE UEM の REST API エンドポイント SaaS：https://asXXX.awmdm. com または https://asXXX. airwatchportals.com オンプレミス：通常は DS またはコンソールサーバ	curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。	5

表 9. VMware Tunnel のリレーエンドポイント構成
ポート	プロトコル	Source	ターゲット/宛先	確認	注（ページの下部にある「注」セクションを参照してください）
SaaS: 443 オンプレミス：2001	HTTP または HTTPS	VMware Tunnel リレー	AirWatch Cloud Messaging サーバ	curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 予想される応答は HTTP 200 OK です。	2
80 または 443	HTTPS または HTTPS	VMware Tunnel エンドポイントおよびリレー	Workspace ONE UEM の REST API エンドポイント SaaS：https://asXXX.awmdm. com または https://asXXX. airwatchportals.com オンプレミス：通常は DS またはコンソールサーバ	curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 VMware Tunnel エンドポイントでは、初期導入時にのみ REST API エンドポイントへのアクセスが必要です。	5
2010 *	HTTPS	VMware Tunnel リレー	VMware Tunnel エンドポイント	ポートの VMware Tunnel リレーから VMware Tunnel エンドポイントサーバへの Telnet	3
80、443、任意の TCP	HTTP、HTTPS、または TCP	VMware Tunnel エンドポイント	内部リソース	VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。	4
514 *	UDP	VMware Tunnel	Syslog サーバ
オンプレミス：2020	HTTPS	Workspace ONE UEM	VMware Tunnel プロキシ	オンプレミスユーザーは、telnet コマンドを使用して接続をテストできます：telnet <Tunnel Proxy URL> <port>	6

注：

以下の点は、VMware Tunnel 要件に対して有効です。

* - このポートは、環境の制限に基づき、必要に応じて変更できます。

ポート 443 を使用すると、アプリケーション単位のトンネルはポート 8443 で待機します。

注：
同じアプライアンスで VMware Tunnel および Content Gateway サービスが有効になっていて、TLS ポート共有が有効になっている場合、DNS 名は各サービスごとに一意である必要があります。TLS が有効でない場合、ポートが受信トラフィックを区別するため、両方のサービスに対して 1 つの DNS 名のみを使用できます。（Content Gateway の場合、ポート 443 を使用すると、Content Gateway はポート 10443 で待機します。）
VMware Tunnel がコンプライアンスと追跡の目的で Workspace ONE UEM コンソールをクエリする場合。
VMware Tunnel のリレートポロジがデバイス要求を内部の VMware Tunnel エンドポイントにのみ転送する場合。
VMware Tunnel を使用するアプリケーションが内部リソースにアクセスする場合。
VMware Tunnel は、初期化のために API と通信する必要があります。REST API と VMware Tunnel サーバが接続状態であることを確認します。[グループと設定] > [すべての設定] > [システム] > [詳細] > [サイトの URL] に移動して REST API サーバの URL を設定します。このページは SaaS ユーザーには使用できません。ほとんどの場合、SaaS ユーザーの REST API URL は、コンソールまたはデバイスサービスサーバの URL です。
これは、Workspace ONE UEM コンソールから VMware Tunnel プロキシへの「テスト接続」を成功させるために必要です。要件はオプションで、省略してもデバイスへの機能が失われることはありません。SaaS ユーザーの場合、ポート 2020 での受信インターネット要件により、Workspace ONE UEM コンソールがすでにポート 2020 上で VMware Tunnel プロキシへの受信接続を確立している可能性があります。