DMZ ベースの Unified Access Gateway アプライアンスには、フロントエンド ファイアウォールとバックエンド ファイアウォールに関する特定のファイアウォール ルールが必要です。インストール中、Unified Access Gateway サービスは、デフォルトで特定のネットワーク ポートをリッスンするように設定されます。
通常、DMZ ベースの Unified Access Gateway アプライアンスのデプロイには、2 つのファイアウォールが含まれます。
- DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロント エンド ファイアウォールが必要です。外部からのネットワーク トラフィックが DMZ に到達できるように、このファイアウォールを構成します。
- 2 つ目のセキュリティの層を提供するために、DMZ と内部ネットワークの間のバック エンド ファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。
ファイアウォール ポリシーによって DMZ サービスからのインバウンド通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。
ポート | プロトコル | Source | 送信先 | 説明 |
---|---|---|---|---|
443 | TCP | インターネット | Unified Access Gateway | Web トラフィック、Horizon Client XML - API、Horizon Tunnel、および Blast Extreme の場合 |
443 | UDP | インターネット | Unified Access Gateway | UDP 443 は、Unified Access Gateway の UDP トンネル サーバ サービスの UDP 9443 に内部転送されます。 |
8443 | UDP | インターネット | Unified Access Gateway | Blast Extreme(オプション) |
8443 | TCP | インターネット | Unified Access Gateway | Blast Extreme(オプション) |
4172 | TCP と UDP | インターネット | Unified Access Gateway | PCoIP(オプション) |
443 | TCP | Unified Access Gateway | Horizon 接続サーバ | Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air Console Access (HACA) |
22443 | TCP と UDP | Unified Access Gateway | デスクトップと RDS ホスト | Blast Extreme |
4172 | TCP と UDP | Unified Access Gateway | デスクトップと RDS ホスト | PCoIP(オプション) |
32111 | TCP | Unified Access Gateway | デスクトップと RDS ホスト | USB リダイレクトのフレームワーク チャンネルの場合 |
9427 | TCP | Unified Access Gateway | デスクトップと RDS ホスト | MMR と CDR |
外部クライアント デバイスが DMZ 内の Unified Access Gateway アプライアンスに接続できるようにするには、フロントエンド ファイアウォールで、特定のポートのトラフィックを許可する必要があります。デフォルトでは、外部のクライアント デバイスと外部の Web クライアント (HTML Access) は、DMZ にある Unified Access Gateway アプライアンスに TCP ポート 443 で接続します。Blast プロトコルを使用する場合、ファイアウォール上でポート 8443 を開く必要がありますが、ポート 443 を使用するように Blast を設定することもできます。
ポート | プロトコル | Source | 送信先 | 説明 |
---|---|---|---|---|
443 | TCP | インターネット | Unified Access Gateway | Web トラフィック向け |
任意 | TCP | Unified Access Gateway | イントラネット サイト | イントラネットが待機している設定済みのカスタム ポート。たとえば、80、443、8080 のようになります。 |
88 | TCP | Unified Access Gateway | KDC サーバ/Active Directory サーバ | Kerberos に対する SAML/Kerberos に対する証明書が設定されている場合、ID ブリッジが Active Directory にアクセスするために必要です。 |
88 | UDP | Unified Access Gateway | KDC サーバ/Active Directory サーバ | Kerberos に対する SAML/Kerberos に対する証明書が設定されている場合、ID ブリッジが Active Directory にアクセスするために必要です。 |
ポート | プロトコル | Source | 送信先 | 説明 |
---|---|---|---|---|
9443 | TCP | 管理ユーザー インターフェイス | Unified Access Gateway | 管理インターフェイス |
ポート | プロトコル | Source | 送信先 | 説明 |
---|---|---|---|---|
443* または 1024 より大きい任意のポート | HTTPS | デバイス(インターネットおよび Wi-Fi から) | Unified Access Gateway Content Gateway エンドポイント | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
443* または 1024 より大きい任意のポート | HTTPS | Workspace ONE UEM デバイス サービス | Unified Access Gateway Content Gateway エンドポイント | |
443* または 1024 より大きい任意のポート | HTTPS | Workspace ONE UEM コンソール | Unified Access Gateway Content Gateway エンドポイント | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
リポジトリが待機しているポート。 | HTTP または HTTPS | Unified Access Gateway Content Gateway エンドポイント | SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ | イントラネット サイトが待機している設定済みのカスタム ポート。 |
137 – 139 および 445 | CIFS または SMB | Unified Access Gateway Content Gateway エンドポイント | ネットワーク共有ベースのリポジトリ(Windows ファイル共有) | イントラネット共有 |
ポート | プロトコル | Source | ターゲット/宛先 | 説明 |
---|---|---|---|---|
443* または 1024 より大きい任意のポート | HTTP/HTTPS | Unified Access Gateway リレー サーバ(Content Gateway リレー) | Unified Access Gateway Content Gateway エンドポイント | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
443* または 1024 より大きい任意のポート | HTTPS | デバイス(インターネットおよび Wi-Fi から) | Unified Access Gateway リレー サーバ(Content Gateway リレー) | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
443* または 1024 より大きい任意のポート | TCP | Workspace ONE UEM デバイス サービス | Unified Access Gateway リレー サーバ(Content Gateway リレー) | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
443* または 1024 より大きい任意のポート | HTTPS | Workspace ONE UEM Console | ||
リポジトリが待機しているポート。 | HTTP または HTTPS | Unified Access Gateway Content Gateway エンドポイント | SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ | イントラネット サイトが待機している設定済みのカスタム ポート。 |
443* または 1024 より大きい任意のポート | HTTPS | Unified Access Gateway(Content Gateway リレー) | Unified Access Gateway Content Gateway エンドポイント | 443 を使用すると、Content Gateway は ポート 10443 で待機します。 |
137 – 139 および 445 | CIFS または SMB | Unified Access Gateway Content Gateway エンドポイント | ネットワーク共有ベースのリポジトリ(Windows ファイル共有) | イントラネット共有 |
ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
---|---|---|---|---|---|
2020 * | HTTPS | デバイス(インターネットおよび Wi-Fi から) | VMware Tunnel プロキシ | インストール後に、次のコマンドを実行します:netstat -tlpn | grep [Port] | |
8443 * | TCP | デバイス(インターネットおよび Wi-Fi から) | VMware Tunnel アプリケーション単位のトンネル | インストール後に、次のコマンドを実行します:netstat -tlpn | grep [Port] | 1 |
ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
---|---|---|---|---|---|
SaaS: 443 : 2001 * |
HTTPS | VMware Tunnel | Workspace ONE UEM Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 予想される応答は HTTP 200 OK です。 |
2 |
SaaS: 443 オンプレミス:80 または 443 |
HTTP または HTTPS | VMware Tunnel | Workspace ONE UEM の REST API エンドポイント
|
curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 |
5 |
80、443、任意の TCP | HTTP、HTTPS、または TCP | VMware Tunnel | 内部リソース | VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 | 4 |
514 * | UDP | VMware Tunnel | Syslog サーバ | ||
オンプレミス:2020 | HTTPS | Workspace ONE UEM コンソール | VMware Tunnel プロキシ | オンプレミス ユーザーは、telnet コマンドを使用して接続をテストできます:telnet <Tunnel Proxy URL> <port> | 6 |
ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
---|---|---|---|---|---|
SaaS: 443 オンプレミス:2001 * |
TLS v1.2 | VMware Tunnel フロントエンド | Workspace ONE UEM Cloud Messaging Server | https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 | 2 |
8443 | TLS v1.2 | VMware Tunnel フロントエンド | VMware Tunnel バック エンド | ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンド サーバへの Telnet | 3 |
SaaS: 443 オンプレミス:2001 |
TLS v1.2 | VMware Tunnel バック エンド | Workspace ONE UEM Cloud Messaging Server | https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 | 2 |
80 または 443 | TCP | VMware Tunnel バック エンド | 内部 Web サイト/Web アプリケーション | 4 | |
80、443、任意の TCP | TCP | VMware Tunnel バック エンド | 内部リソース | 4 | |
80 または 443 | HTTPS | VMware Tunnel フロントエンドおよびバックエンド | Workspace ONE UEM の REST API エンドポイント
|
curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 |
5 |
ポート | プロトコル | Source | ターゲット/宛先 | 確認 | 注(ページの下部にある「注」セクションを参照してください) |
---|---|---|---|---|---|
SaaS: 443 オンプレミス:2001 |
HTTP または HTTPS | VMware Tunnel フロントエンド | Workspace ONE UEM Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 予想される応答は HTTP 200 OK です。 |
2 |
80 または 443 | HTTPS または HTTPS | VMware Tunnel バックエンドおよびフロントエンド | Workspace ONE UEM の REST API エンドポイント
|
curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です。 VMware Tunnel エンドポイントでは、初期導入時にのみ REST API エンドポイントへのアクセスが必要です。 |
5 |
2010 * | HTTPS | VMware Tunnel フロントエンド | VMware Tunnel バック エンド | ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンド サーバへの Telnet | 3 |
80、443、任意の TCP | HTTP、HTTPS、または TCP | VMware Tunnel バック エンド | 内部リソース | VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 | 4 |
514 * | UDP | VMware Tunnel | Syslog サーバ | ||
オンプレミス:2020 | HTTPS | Workspace ONE UEM | VMware Tunnel プロキシ | オンプレミス ユーザーは、telnet コマンドを使用して接続をテストできます:telnet <Tunnel Proxy URL> <port> | 6 |
* - このポートは、環境の制限に基づき、必要に応じて変更できます。
- ポート 443 を使用すると、アプリケーション単位のトンネルはポート 8443 で待機します。
注: : 同じアプライアンスで VMware Tunnel および Content Gateway サービスが有効になっていて、TLS ポート共有が有効になっている場合、DNS 名は各サービスごとに一意である必要があります。TLS が有効でない場合、ポートが受信トラフィックを区別するため、両方のサービスに対して 1 つの DNS 名のみを使用できます。( Content Gateway の場合、ポート 443 を使用すると、 Content Gateway は ポート 10443 で待機します。)
- VMware Tunnel がコンプライアンスと追跡の目的で Workspace ONE UEM コンソールをクエリする場合。
- VMware Tunnel のフロントエンド トポロジがデバイス要求を内部の VMware Tunnel バックエンドにのみ転送する場合。
- VMware Tunnel を使用するアプリケーションが内部リソースにアクセスする場合。
- VMware Tunnel は、初期化のために API と通信する必要があります。REST API と VMware Tunnel サーバが接続状態であることを確認します。 に移動して REST API サーバの URL を設定します。このページは SaaS ユーザーには使用できません。ほとんどの場合、SaaS ユーザーの REST API URL は、コンソールまたはデバイス サービス サーバの URL です。
-
これは、Workspace ONE UEM コンソールから VMware Tunnel プロキシへの「テスト接続」を成功させるために必要です。要件はオプションで、省略してもデバイスへの機能が失われることはありません。SaaS ユーザーの場合、ポート 2020 での受信インターネット要件により、Workspace ONE UEM コンソールがすでにポート 2020 上で VMware Tunnel プロキシへの受信接続を確立している可能性があります。