DMZ 기반 Unified Access Gateway 장치는 프론트엔드와 백엔드 방화벽에 대해 특정 방화벽 규칙을 필요로 합니다. 설치 도중 기본적으로 특정 네트워크 포트에서 수신하도록 Unified Access Gateway 서비스가 설정됩니다.
DMZ 기반 Unified Access Gateway 장치의 배치에는 일반적으로 두 개의 방화벽이 포함되어 있습니다.
- 외부 네트워크 지향 프론트엔드 방화벽은 DMZ와 내부 네트워크를 보호해야 합니다. 외부 네트워크 트래픽이 DMZ에 도달할 수 있도록 방화벽을 구성합니다.
- DMZ와 내부 네트워크 사이의 백엔드 방화벽은 두 번째 보안 계층을 제공하기 위해 필요합니다. DMZ 내에 있는 서비스에서 발생한 트래픽만 허용하도록 방화벽을 구성합니다.
방화벽 정책은 DMZ 서비스의 인바운드 통신을 철저하게 제어하여 내부 네트워크 손상 위험을 크게 줄입니다.
다음 표에는
Unified Access Gateway 내의 다른 서비스에 대한 포트 요구 사항이 제공됩니다.
참고: 모든 UDP 포트에서는 전달 데이터그램 및 응답 데이터그램이 허용되어야 합니다.
Unified Access Gateway 서비스는 DNS를 사용하여 호스트 이름을 확인합니다. DNS 서버 IP 주소를 구성할 수 있습니다. DNS 요청은 UDP 포트 53에서 수행되므로 외부 방화벽이 이러한 요청 또는 응답을 차단하지 않는 것이 중요합니다.
| 포트 | 프로토콜 | 소스 | 대상 | 설명 |
|---|---|---|---|---|
| 443* 또는 1024보다 큰 포트 | HTTPS | 디바이스(인터넷 및 Wi-Fi에서) | Unified Access Gateway Secure Email Gateway 끝점 |
Secure Email Gateway는 포트 11443에서 수신합니다. 443 또는 다른 포트가 구성되면 Unified Access Gateway는 내부적으로 SEG 트래픽을 11443으로 라우팅합니다. |
| 443* 또는 1024보다 큰 포트 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Secure Email Gateway 끝점 |
Secure Email Gateway는 포트 11443에서 수신합니다. 443 또는 다른 포트가 구성되면 Unified Access Gateway는 내부적으로 SEG 트래픽을 11443으로 라우팅합니다. |
| 443* 또는 1024보다 큰 포트 | HTTPS | 이메일 알림 서비스(사용하도록 설정한 경우) | Unified Access Gateway Secure Email Gateway 끝점 |
Secure Email Gateway는 포트 11443에서 수신합니다. 443 또는 다른 포트가 구성되면 Unified Access Gateway는 내부적으로 SEG 트래픽을 11443으로 라우팅합니다. |
| 5701 | TCP | Secure Email Gateway | Secure Email Gateway | Hazelcast 분산 캐시에 사용합니다. |
| 41232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | Vertx 클러스터 관리에 사용합니다. |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | 진단 및 관리 기능에 사용합니다. |
| 임의 | HTTPS | Secure Email Gateway | 이메일 서버 | SEG는 이메일 트래픽을 제공하기 위해 이메일 서버의 수신기 포트(일반적으로 443)에 연결됩니다. |
| 임의 | HTTPS | Secure Email Gateway | Workspace ONE UEM API 서버 | SEG는 Workspace ONE에서 구성 및 정책 데이터를 가져옵니다. 포트는 일반적으로 443입니다. |
| 88 | TCP | Secure Email Gateway | KDC 서버/AD 서버 | KCD 인증을 사용하도록 설정한 경우 Kerberos 인증 토큰을 가져오는 데 사용합니다. |
참고: SEG(Secure Email Gateway) 서비스는 Unified Access Gateway에서 루트가 아닌 사용자로 실행되기 때문에 시스템 포트에서 SEG를 실행할 수 없습니다. 따라서 사용자 지정 포트는 포트 1024보다 커야 합니다.
| 포트 | 프로토콜 | 소스 | 대상 | 설명 |
|---|---|---|---|---|
| 443 | TCP | 인터넷 | Unified Access Gateway | 웹 트래픽의 경우 Horizon Client XML - API, Horizon Tunnel 및 Blast Extreme |
| 443 | UDP | 인터넷 | Unified Access Gateway | UDP 443은 Unified Access Gateway에서 UDP 터널 서버 서비스의 UDP 9443으로 내부적으로 전달됩니다. |
| 8443 | UDP | 인터넷 | Unified Access Gateway | Blast Extreme(선택 사항) |
| 8443 | TCP | 인터넷 | Unified Access Gateway | Blast Extreme(선택 사항) |
| 4172 | TCP 및 UDP | 인터넷 | Unified Access Gateway | PCoIP(선택 사항) |
| 443 | TCP | Unified Access Gateway | Horizon Connection Server | Horizon Client XML-API, Blast extreme HTML access |
| 22443 | TCP 및 UDP | Unified Access Gateway | 데스크톱 및 RDS 호스트 | Blast Extreme |
| 4172 | TCP 및 UDP | Unified Access Gateway | 데스크톱 및 RDS 호스트 | PCoIP(선택 사항) |
| 32111 | TCP | Unified Access Gateway | 데스크톱 및 RDS 호스트 | USB 리디렉션을 위한 프레임워크 채널 |
| 3389 | TCP | Unified Access Gateway | 데스크톱 및 RDS 호스트 | Horizon Client에서 RDP 프로토콜을 사용하는 경우에만 필요합니다. |
| 9427 | TCP | Unified Access Gateway | 데스크톱 및 RDS 호스트 | MMR, CDR 및 HTML5 기능(예: Microsoft Teams 최적화, 브라우저 리디렉션 등). |
참고: 외부 클라이언트 디바이스가 DMZ 내에 있는
Unified Access Gateway 장치에 연결할 수 있도록 허용하려면 프론트엔드 방화벽에서 특정 포트에 대한 트래픽을 허용해야 합니다. 기본적으로 외부 클라이언트 디바이스 및 외부 웹 클라이언트(HTML Access)는 TCP 포트 443에서 DMZ 내의
Unified Access Gateway 장치에 연결합니다. Blast 프로토콜을 사용할 경우 방화벽에서 포트 8443이 열려 있어야 합니다. TCP 포트 443을 통해 Blast를 사용하는 경우 방화벽에서 TCP 8443을 열 필요가 없습니다.
| 포트 | 프로토콜 | 소스 | 대상 | 설명 |
|---|---|---|---|---|
| 443 | HTTPS | Unified Access Gateway | Workspace ONE Intelligence 서버 | curl -ILvv https://<api_server_hostname>/v1/device/risk_score curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials 예상 응답은 HTTP 401 권한 없음입니다. |
| 포트 | 프로토콜 | 소스 | 대상 | 설명 |
|---|---|---|---|---|
| 443 | TCP | 인터넷 | Unified Access Gateway | 웹 트래픽 |
| 임의 | TCP | Unified Access Gateway | 인트라넷 사이트 | 인트라넷이 수신 대기하는 구성된 모든 사용자 지정 포트. 예: 80, 443, 8080 등 |
| 88 | TCP | Unified Access Gateway | KDC 서버/AD 서버 | SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다. |
| 88 | UDP | Unified Access Gateway | KDC 서버/AD 서버 | SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다. |
| 포트 | 프로토콜 | 소스 | 대상 | 설명 |
|---|---|---|---|---|
| 9443 | TCP | 관리 UI | Unified Access Gateway | 관리 인터페이스 |
| 포트 | 프로토콜 | 소스 | 대상 | 설명 |
|---|---|---|---|---|
| 모든 포트 > 1024 또는 443* | HTTPS | 디바이스(인터넷 및 Wi-Fi에서) | Unified Access Gateway Content Gateway 끝점 | 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
| 모든 포트 > 1024 또는 443* | HTTPS | Workspace ONE UEM 디바이스 서비스 | Unified Access Gateway Content Gateway 끝점 | |
| 모든 포트 > 1024 또는 443* | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Content Gateway 끝점 | 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
| 모든 포트 > 1024 또는 443* | HTTPS | Unified Access Gateway Content Gateway 끝점 | Workspace ONE UEM API 서버 | |
| 저장소가 수신 대기하는 모든 포트. | HTTP 또는 HTTPS | Unified Access Gateway Content Gateway 끝점 | 웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등) | 인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트. |
| 137–139 및 445 | CIFS 또는 SMB | Unified Access Gateway Content Gateway 끝점 | 네트워크 공유 기반 저장소(Windows 파일 공유) | SMB 기반 저장소(분산 파일 시스템, NFS, NetApp OnTap, Numix Shares, IBM Share Drives) |
| 포트 | 프로토콜 | 소스 | 대상 | 설명 |
|---|---|---|---|---|
| 모든 포트 > 1024 또는 443* | HTTP/HTTPS | Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) | Unified Access Gateway Content Gateway 끝점 | *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
| 모든 포트 > 1024 또는 443* | HTTPS | 디바이스(인터넷 및 Wi-Fi에서) | Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) | *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
| 모든 포트 > 1024 또는 443* | TCP | Workspace ONE UEM 디바이스 서비스 | Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) | *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
| 모든 포트 > 1024 또는 443* | HTTPS | Workspace ONE UEM Console | Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) | *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
| 모든 포트 > 1024 또는 443* | HTTPS | Unified Access Gateway Content Gateway 릴레이 | Workspace ONE UEM API 서버 | *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
| 모든 포트 > 1024 또는 443* | HTTPS | Unified Access Gateway Content Gateway 끝점 | Workspace ONE UEM API 서버 | *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
| 저장소가 수신 대기하는 모든 포트. | HTTP 또는 HTTPS | Unified Access Gateway Content Gateway 끝점 | 웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등) | 인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트. |
| 모든 포트 > 1024 또는 443* | HTTPS | Unified Access Gateway(Content Gateway 릴레이) | Unified Access Gateway Content Gateway 끝점 | *443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
| 137–139 및 445 | CIFS 또는 SMB | Unified Access Gateway Content Gateway 끝점 | 네트워크 공유 기반 저장소(Windows 파일 공유) | SMB 기반 저장소(분산 파일 시스템, NFS, NetApp OnTap, Numix Shares, IBM Share Drives) |
참고:
Content Gateway 서비스가
Unified Access Gateway에서 루트 이외의 사용자로 실행되므로
Content Gateway는 시스템 포트에서 실행될 수 없습니다. 따라서 사용자 지정 포트는 1024보다 커야 합니다.
| 포트 | 프로토콜 | 소스 | 대상 | 검증 | 참고(페이지 맨 아래의 참고 섹션 참조) |
|---|---|---|---|---|---|
| 8443 * | TCP, UDP | 디바이스(인터넷 및 Wi-Fi에서) | VMware Tunnel 애플리케이션별 터널 | 설치 후에 netstat -tlpn | grep [Port] 명령을 실행합니다. | 1 |
| 포트 | 프로토콜 | 소스 | 대상 | 검증 | 참고(페이지 맨 아래의 참고 섹션 참조) |
|---|---|---|---|---|---|
| SaaS: 443 : 2001 * |
HTTPS | VMware Tunnel | AirWatch Cloud Messaging 서버 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
예상되는 응답:
HTTP 200 OK. |
2 |
| SaaS: 443 온-프레미스: 80 또는 443 |
HTTP 또는 HTTPS | VMware Tunnel | Workspace ONE UEM REST API 끝점
|
curl -Ivv https://<API URL>/api/mdm/ping 예상 응답은 HTTP 401 권한 없음입니다. |
5 |
| 80,443, 임의 TCP | HTTP, HTTPS 또는 TCP | VMware Tunnel | 내부 리소스 | VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다. | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 서버 |
| 포트 | 프로토콜 | 소스 | 대상 | 검증 | 참고(페이지 맨 아래의 참고 섹션 참조) |
|---|---|---|---|---|---|
| SaaS: 443 온-프레미스: 2001 * |
TLS v1.2 | VMware Tunnel 프론트엔드 | AirWatch Cloud Messaging Server | https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다. | 2 |
| 8443 | TLS v1.2 | VMware Tunnel 프론트엔드 | VMware Tunnel 백엔드 | VMware Tunnel 프론트엔드에서 포트의 VMware Tunnel 백엔드 서버로 텔넷 | 3 |
| SaaS: 443 온-프레미스: 2001 |
TLS v1.2 | VMware Tunnel 백엔드 | Workspace ONE UEM Cloud Messaging 서버 | https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다. | 2 |
| 80 또는 443 | TCP | VMware Tunnel 백엔드 | 내부 웹 사이트/웹앱 | 4 | |
| 80, 443, 임의 TCP | TCP | VMware Tunnel 백엔드 | 내부 리소스 | 4 | |
| 80 또는 443 | HTTPS | VMware Tunnel 프론트엔드 및 백엔드 | Workspace ONE UEM REST API 끝점
|
curl -Ivv https://<API URL>/api/mdm/ping 예상 응답은 HTTP 401 권한 없음입니다. |
5 |
| 포트 | 프로토콜 | 소스 | 대상 | 검증 | 참고(페이지 맨 아래의 참고 섹션 참조) |
|---|---|---|---|---|---|
| SaaS: 443 온-프레미스: 2001 |
HTTP 또는 HTTPS | VMware Tunnel 프론트엔드 | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 예상 응답은 HTTP 200 정상입니다. |
2 |
| 80 또는 443 | HTTPS 또는 HTTPS | VMware Tunnel 백엔드 및 프론트엔드 | Workspace ONE UEM REST API 끝점
|
curl -Ivv https://<API URL>/api/mdm/ping 예상 응답은 HTTP 401 권한 없음입니다. VMware Tunnel 끝점은 초기 배포 중에만 REST API 끝점에 액세스하면 됩니다. |
5 |
| 2010 * | HTTPS | VMware Tunnel 프론트엔드 | VMware Tunnel 백엔드 | VMware Tunnel 프론트엔드에서 포트의 VMware Tunnel 백엔드 서버로 텔넷 | 3 |
| 80, 443, 임의 TCP | HTTP, HTTPS 또는 TCP | VMware Tunnel 백엔드 | 내부 리소스 | VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다. | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 서버 |
VMware Tunnel 요구 사항에 대해 다음 사항이 적용됩니다.
참고:
* - 이 포트는 환경의 제한 사항에 따라 필요한 경우 변경될 수 있습니다.
- 포트 443을 사용하는 경우 애플리케이션별 터널을 포트 8443에서 수신 대기합니다.
참고: VMware Tunnel 및 Content Gateway 서비스가 같은 장치에서 사용되도록 설정되고 TLS 포트 공유가 사용되도록 설정되면 각 서비스에 대해 DNS 이름이 고유해야 합니다. TLS가 사용되도록 설정되지 않으면 포트가 들어오는 트래픽을 구분하므로 양쪽 서비스에서 하나의 DNS 이름만 사용할 수 있습니다. ( Content Gateway에 대해 포트 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.)
- Workspace ONE UEM에서 규정 준수 및 추적 목적으로 VMware Tunnel Console을 쿼리하기 위해
- VMware Tunnel 프론트엔드 토폴로지에서 디바이스 요청을 내부 VMware Tunnel 백엔드에만 전달하기 위함.
- VMware Tunnel를 사용하는 애플리케이션이 내부 리소스에 액세스하기 위해
- 초기화를 위해 VMware Tunnel은 API와 통신해야 합니다. REST API와 VMware Tunnel 서버가 연결되어 있는지 확인합니다. 로 이동하여 REST API 서버 URL을 설정합니다. SaaS 고객은 이 페이지를 사용할 수 없습니다. SaaS 고객에 대한 REST API URL은 가장 일반적으로 콘솔 또는 디바이스 서비스 서버 URL입니다.
