DMZ 기반 Unified Access Gateway 장치는 프론트엔드와 백엔드 방화벽에 대해 특정 방화벽 규칙을 필요로 합니다. 설치 도중 기본적으로 특정 네트워크 포트에서 수신하도록 Unified Access Gateway 서비스가 설정됩니다.

DMZ 기반 Unified Access Gateway 장치의 배치에는 일반적으로 두 개의 방화벽이 포함되어 있습니다.

  • 외부 네트워크 지향 프론트엔드 방화벽은 DMZ와 내부 네트워크를 보호해야 합니다. 외부 네트워크 트래픽이 DMZ에 도달할 수 있도록 방화벽을 구성합니다.
  • DMZ와 내부 네트워크 사이의 백엔드 방화벽은 두 번째 보안 계층을 제공하기 위해 필요합니다. DMZ 내에 있는 서비스에서 발생한 트래픽만 허용하도록 방화벽을 구성합니다.

방화벽 정책은 DMZ 서비스의 인바운드 통신을 철저하게 제어하여 내부 네트워크 손상 위험을 크게 줄입니다.

다음 표에는 Unified Access Gateway 내의 다른 서비스에 대한 포트 요구 사항이 제공됩니다.
참고: 모든 UDP 포트에서는 전달 데이터그램 및 응답 데이터그램이 허용되어야 합니다. Unified Access Gateway 서비스는 DNS를 사용하여 호스트 이름을 확인합니다. DNS 서버 IP 주소를 구성할 수 있습니다. DNS 요청은 UDP 포트 53에서 수행되므로 외부 방화벽이 이러한 요청 또는 응답을 차단하지 않는 것이 중요합니다.
표 1. Secure Email Gateway의 포트 요구 사항
포트 프로토콜 소스 대상 설명
443* 또는 1024보다 큰 포트 HTTPS 디바이스(인터넷 및 Wi-Fi에서)

Unified Access Gateway

Secure Email Gateway 끝점

Secure Email Gateway는 포트 11443에서 수신합니다. 443 또는 다른 포트가 구성되면 Unified Access Gateway는 내부적으로 SEG 트래픽을 11443으로 라우팅합니다.
443* 또는 1024보다 큰 포트 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Secure Email Gateway 끝점

Secure Email Gateway는 포트 11443에서 수신합니다. 443 또는 다른 포트가 구성되면 Unified Access Gateway는 내부적으로 SEG 트래픽을 11443으로 라우팅합니다.
443* 또는 1024보다 큰 포트 HTTPS 이메일 알림 서비스(사용하도록 설정한 경우)

Unified Access Gateway

Secure Email Gateway 끝점

Secure Email Gateway는 포트 11443에서 수신합니다. 443 또는 다른 포트가 구성되면 Unified Access Gateway는 내부적으로 SEG 트래픽을 11443으로 라우팅합니다.
5701 TCP Secure Email Gateway Secure Email Gateway Hazelcast 분산 캐시에 사용합니다.
41232 TLS/TCP Secure Email Gateway Secure Email Gateway Vertx 클러스터 관리에 사용합니다.
44444 HTTPS Secure Email Gateway Secure Email Gateway 진단 및 관리 기능에 사용합니다.
임의 HTTPS Secure Email Gateway 이메일 서버 SEG는 이메일 트래픽을 제공하기 위해 이메일 서버의 수신기 포트(일반적으로 443)에 연결됩니다.
임의 HTTPS Secure Email Gateway Workspace ONE UEM API 서버 SEG는 Workspace ONE에서 구성 및 정책 데이터를 가져옵니다. 포트는 일반적으로 443입니다.
88 TCP Secure Email Gateway KDC 서버/AD 서버 KCD 인증을 사용하도록 설정한 경우 Kerberos 인증 토큰을 가져오는 데 사용합니다.
참고: SEG(Secure Email Gateway) 서비스는 Unified Access Gateway에서 루트가 아닌 사용자로 실행되기 때문에 시스템 포트에서 SEG를 실행할 수 없습니다. 따라서 사용자 지정 포트는 포트 1024보다 커야 합니다.
표 2. Horizon에 대한 포트 요구 사항
포트 프로토콜 소스 대상 설명
443 TCP 인터넷 Unified Access Gateway 웹 트래픽의 경우 Horizon Client XML - API, Horizon Tunnel 및 Blast Extreme
443 UDP 인터넷 Unified Access Gateway UDP 443은 Unified Access Gateway에서 UDP 터널 서버 서비스의 UDP 9443으로 내부적으로 전달됩니다.
8443 UDP 인터넷 Unified Access Gateway Blast Extreme(선택 사항)
8443 TCP 인터넷 Unified Access Gateway Blast Extreme(선택 사항)
4172 TCP 및 UDP 인터넷 Unified Access Gateway PCoIP(선택 사항)
443 TCP Unified Access Gateway Horizon 연결 서버 Horizon Client XML-API, Blast Extreme HTML Access, HACA(Horizon Air Console Access)
22443 TCP 및 UDP Unified Access Gateway 데스크톱 및 RDS 호스트 Blast Extreme
4172 TCP 및 UDP Unified Access Gateway 데스크톱 및 RDS 호스트 PCoIP(선택 사항)
32111 TCP Unified Access Gateway 데스크톱 및 RDS 호스트 USB 리디렉션을 위한 프레임워크 채널
3389 TCP Unified Access Gateway 데스크톱 및 RDS 호스트 Horizon Client에서 RDP 프로토콜을 사용하는 경우에만 필요합니다.
9427 TCP Unified Access Gateway 데스크톱 및 RDS 호스트 MMR, CDR 및 HTML5 기능(예: Microsoft Teams 최적화, 브라우저 리디렉션 등).
참고: 외부 클라이언트 디바이스가 DMZ 내에 있는 Unified Access Gateway 장치에 연결할 수 있도록 허용하려면 프론트엔드 방화벽에서 특정 포트에 대한 트래픽을 허용해야 합니다. 기본적으로 외부 클라이언트 디바이스 및 외부 웹 클라이언트(HTML Access)는 TCP 포트 443에서 DMZ 내의 Unified Access Gateway 장치에 연결합니다. Blast 프로토콜을 사용할 경우 방화벽에서 포트 8443이 열려 있어야 합니다. TCP 포트 443을 통해 Blast를 사용하는 경우 방화벽에서 TCP 8443을 열 필요가 없습니다.
표 3. Web Reverse Proxy에 대한 포트 요구 사항
포트 프로토콜 소스 대상 설명
443 TCP 인터넷 Unified Access Gateway 웹 트래픽
임의 TCP Unified Access Gateway 인트라넷 사이트 인트라넷이 수신 대기하는 구성된 모든 사용자 지정 포트. 예: 80, 443, 8080 등
88 TCP Unified Access Gateway KDC 서버/AD 서버 SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다.
88 UDP Unified Access Gateway KDC 서버/AD 서버 SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다.
표 4. 관리 UI를 위한 포트 요구 사항
포트 프로토콜 소스 대상 설명
9443 TCP 관리 UI Unified Access Gateway 관리 인터페이스
표 5. Content Gateway 기본 끝점 구성에 대한 포트 요구 사항
포트 프로토콜 소스 대상 설명
모든 포트 > 1024 또는 443* HTTPS 디바이스(인터넷 및 Wi-Fi에서) Unified Access Gateway Content Gateway 끝점 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
모든 포트 > 1024 또는 443* HTTPS Workspace ONE UEM 디바이스 서비스 Unified Access Gateway Content Gateway 끝점
모든 포트 > 1024 또는 443* HTTPS Workspace ONE UEM Console Unified Access Gateway Content Gateway 끝점 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
모든 포트 > 1024 또는 443* HTTPS Unified Access Gateway Content Gateway 끝점 Workspace ONE UEM API 서버
저장소가 수신 대기하는 모든 포트. HTTP 또는 HTTPS Unified Access Gateway Content Gateway 끝점 웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등) 인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트.
137–139 및 445 CIFS 또는 SMB Unified Access Gateway Content Gateway 끝점 네트워크 공유 기반 저장소(Windows 파일 공유) 인트라넷 공유
표 6. Content Gateway 릴레이 끝점 구성에 대한 포트 요구 사항
포트 프로토콜 소스 대상 설명
모든 포트 > 1024 또는 443* HTTP/HTTPS Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) Unified Access Gateway Content Gateway 끝점 *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
모든 포트 > 1024 또는 443* HTTPS 디바이스(인터넷 및 Wi-Fi에서) Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
모든 포트 > 1024 또는 443* TCP Workspace ONE UEM 디바이스 서비스 Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
모든 포트 > 1024 또는 443* HTTPS Workspace ONE UEM Console Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
모든 포트 > 1024 또는 443* HTTPS Unified Access Gateway Content Gateway 릴레이 Workspace ONE UEM API 서버 *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
모든 포트 > 1024 또는 443* HTTPS Unified Access Gateway Content Gateway 끝점 Workspace ONE UEM API 서버 *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
저장소가 수신 대기하는 모든 포트. HTTP 또는 HTTPS Unified Access Gateway Content Gateway 끝점 웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등) 인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트.
모든 포트 > 1024 또는 443* HTTPS Unified Access Gateway(Content Gateway 릴레이) Unified Access Gateway Content Gateway 끝점 *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
137–139 및 445 CIFS 또는 SMB Unified Access Gateway Content Gateway 끝점 네트워크 공유 기반 저장소(Windows 파일 공유) 인트라넷 공유
참고: Content Gateway 서비스가 Unified Access Gateway에서 루트 이외의 사용자로 실행되므로 Content Gateway는 시스템 포트에서 실행될 수 없습니다. 따라서 사용자 지정 포트는 1024보다 커야 합니다.
표 7. VMware Tunnel에 대한 포트 요구 사항
포트 프로토콜 소스 대상 검증 참고(페이지 맨 아래의 참고 섹션 참조)
8443 * TCP, UDP 디바이스(인터넷 및 Wi-Fi에서) VMware Tunnel 애플리케이션별 터널 설치 후에 netstat -tlpn | grep [Port] 명령을 실행합니다. 1
표 8. VMware Tunnel 기본 끝점 구성
포트 프로토콜 소스 대상 검증 참고(페이지 맨 아래의 참고 섹션 참조)
SaaS: 443

: 2001 *

HTTPS VMware Tunnel AirWatch Cloud Messaging 서버 curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
예상되는 응답:
HTTP 200 OK
.
2
SaaS: 443

온-프레미스: 80 또는 443

HTTP 또는 HTTPS VMware Tunnel Workspace ONE UEM REST API 끝점
  • SaaS:https://asXXX.awmdm. com 또는 https://asXXX. airwatchportals.com
  • 온-프레미스: 가장 일반적으로 DS 또는 콘솔 서버
curl -Ivv https://<API URL>/api/mdm/ping

예상 응답은 HTTP 401 권한 없음입니다.

5
80,443, 임의 TCP HTTP, HTTPS 또는 TCP VMware Tunnel 내부 리소스 VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다. 4
514 * UDP VMware Tunnel Syslog 서버
표 9. VMware Tunnel 케스케이드 구성
포트 프로토콜 소스 대상 검증 참고(페이지 맨 아래의 참고 섹션 참조)
SaaS: 443

온-프레미스: 2001 *

TLS v1.2 VMware Tunnel 프론트엔드 AirWatch Cloud Messaging Server https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다. 2
8443 TLS v1.2 VMware Tunnel 프론트엔드 VMware Tunnel 백엔드 VMware Tunnel 프론트엔드에서 포트의 VMware Tunnel 백엔드 서버로 텔넷 3
SaaS: 443

온-프레미스: 2001

TLS v1.2 VMware Tunnel 백엔드 Workspace ONE UEM Cloud Messaging 서버 https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다. 2
80 또는 443 TCP VMware Tunnel 백엔드 내부 웹 사이트/웹앱 4
80, 443, 임의 TCP TCP VMware Tunnel 백엔드 내부 리소스 4
80 또는 443 HTTPS VMware Tunnel 프론트엔드 및 백엔드 Workspace ONE UEM REST API 끝점
  • SaaS:https://asXXX.awmdm. com 또는 https://asXXX. airwatchportals.com
  • 온-프레미스: 가장 일반적으로 DS 또는 콘솔 서버
curl -Ivv https://<API URL>/api/mdm/ping

예상 응답은 HTTP 401 권한 없음입니다.

5
표 10. VMware Tunnel 프론트엔드 및 백엔드 구성
포트 프로토콜 소스 대상 검증 참고(페이지 맨 아래의 참고 섹션 참조)
SaaS: 443

온-프레미스: 2001

HTTP 또는 HTTPS VMware Tunnel 프론트엔드 AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

예상 응답은 HTTP 200 정상입니다.

2
80 또는 443 HTTPS 또는 HTTPS VMware Tunnel 백엔드 및 프론트엔드 Workspace ONE UEM REST API 끝점
  • SaaS:https://asXXX.awmdm. com 또는 https://asXXX. airwatchportals.com
  • 온-프레미스: 가장 일반적으로 DS 또는 콘솔 서버
curl -Ivv https://<API URL>/api/mdm/ping

예상 응답은 HTTP 401 권한 없음입니다.

VMware Tunnel 끝점은 초기 배포 중에만 REST API 끝점에 액세스하면 됩니다.

5
2010 * HTTPS VMware Tunnel 프론트엔드 VMware Tunnel 백엔드 VMware Tunnel 프론트엔드에서 포트의 VMware Tunnel 백엔드 서버로 텔넷 3
80, 443, 임의 TCP HTTP, HTTPS 또는 TCP VMware Tunnel 백엔드 내부 리소스 VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다. 4
514 * UDP VMware Tunnel Syslog 서버

VMware Tunnel 요구 사항에 대해 다음 사항이 적용됩니다.

참고: * - 이 포트는 환경의 제한 사항에 따라 필요한 경우 변경될 수 있습니다.
  1. 포트 443을 사용하는 경우 애플리케이션별 터널을 포트 8443에서 수신 대기합니다.
    참고: VMware TunnelContent Gateway 서비스가 같은 장치에서 사용되도록 설정되고 TLS 포트 공유가 사용되도록 설정되면 각 서비스에 대해 DNS 이름이 고유해야 합니다. TLS가 사용되도록 설정되지 않으면 포트가 들어오는 트래픽을 구분하므로 양쪽 서비스에서 하나의 DNS 이름만 사용할 수 있습니다. ( Content Gateway에 대해 포트 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.)
  2. Workspace ONE UEM에서 규정 준수 및 추적 목적으로 VMware Tunnel Console을 쿼리하기 위해
  3. VMware Tunnel 프론트엔드 토폴로지에서 디바이스 요청을 내부 VMware Tunnel 백엔드에만 전달하기 위함.
  4. VMware Tunnel를 사용하는 애플리케이션이 내부 리소스에 액세스하기 위해
  5. 초기화를 위해 VMware Tunnel은 API와 통신해야 합니다. REST API와 VMware Tunnel 서버가 연결되어 있는지 확인합니다. 그룹 및 설정 > 모든 설정 > 시스템 > 고급 > 사이트 URL로 이동하여 REST API 서버 URL을 설정합니다. SaaS 고객은 이 페이지를 사용할 수 없습니다. SaaS 고객에 대한 REST API URL은 가장 일반적으로 콘솔 또는 디바이스 서비스 서버 URL입니다.