DMZ 기반 Unified Access Gateway 장치는 프론트엔드와 백엔드 방화벽에 대해 특정 방화벽 규칙을 필요로 합니다. 설치 도중 기본적으로 특정 네트워크 포트에서 수신하도록 Unified Access Gateway 서비스가 설정됩니다.

DMZ 기반 Unified Access Gateway 장치의 배치에는 일반적으로 두 개의 방화벽이 포함되어 있습니다.

  • 외부 네트워크 지향 프론트엔드 방화벽은 DMZ와 내부 네트워크를 보호해야 합니다. 외부 네트워크 트래픽이 DMZ에 도달할 수 있도록 방화벽을 구성합니다.
  • DMZ와 내부 네트워크 사이의 백엔드 방화벽은 두 번째 보안 계층을 제공하기 위해 필요합니다. DMZ 내에 있는 서비스에서 발생한 트래픽만 허용하도록 방화벽을 구성합니다.

방화벽 정책은 DMZ 서비스의 인바운드 통신을 철저하게 제어하여 내부 네트워크 손상 위험을 크게 줄입니다.

다음 표에는 Unified Access Gateway 내의 다른 서비스에 대한 포트 요구 사항이 제공됩니다.
참고: 모든 UDP 포트에서는 전달 데이터그램 및 응답 데이터그램이 허용되어야 합니다.
표 1. Horizon 연결 서버의 포트 요구 사항
포트 프로토콜 소스 대상 설명
443 TCP 인터넷 Unified Access Gateway 웹 트래픽의 경우 Horizon Client XML - API, Horizon Tunnel 및 Blast Extreme
443 UDP 인터넷 Unified Access Gateway UDP 443은 Unified Access Gateway에서 UDP 터널 서버 서비스의 UDP 9443으로 내부적으로 전달됩니다.
8443 UDP 인터넷 Unified Access Gateway Blast Extreme(선택 사항)
8443 TCP 인터넷 Unified Access Gateway Blast Extreme(선택 사항)
4172 TCP 및 UDP 인터넷 Unified Access Gateway PCoIP(선택 사항)
443 TCP Unified Access Gateway Horizon Broker Horizon Client XML-API, Blast Extreme HTML Access, HACA(Horizon Air Console Access)
22443 TCP 및 UDP Unified Access Gateway 데스크톱 및 RDS 호스트 Blast Extreme
4172 TCP 및 UDP Unified Access Gateway 데스크톱 및 RDS 호스트 PCoIP(선택 사항)
32111 TCP Unified Access Gateway 데스크톱 및 RDS 호스트 USB 리디렉션을 위한 프레임워크 채널
9427 TCP Unified Access Gateway 데스크톱 및 RDS 호스트 MMR 및 CDR
참고:

외부 클라이언트 디바이스가 DMZ 내에 있는 Unified Access Gateway 장치에 연결할 수 있도록 허용하려면 프론트엔드 방화벽에서 특정 포트에 대한 트래픽을 허용해야 합니다. 기본적으로 외부 클라이언트 디바이스 및 외부 웹 클라이언트(HTML Access)는 TCP 포트 443에서 DMZ 내의 Unified Access Gateway 장치에 연결합니다. Blast 프로토콜을 사용하는 경우 방화벽에서 포트 8443이 열려 있어야 하지만 포트 443에 대해 Blast를 구성할 수도 있습니다.

표 2. Web Reverse Proxy에 대한 포트 요구 사항
포트 프로토콜 소스 대상 설명
443 TCP 인터넷 Unified Access Gateway 웹 트래픽
임의 TCP Unified Access Gateway 인트라넷 사이트 인트라넷이 수신 대기하는 구성된 모든 사용자 지정 포트. 예: 80, 443, 8080 등
88 TCP Unified Access Gateway KDC 서버/AD 서버 SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다.
88 UDP Unified Access Gateway KDC 서버/AD 서버 SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다.
표 3. 관리 UI를 위한 포트 요구 사항
포트 프로토콜 소스 대상 설명
9443 TCP 관리 UI Unified Access Gateway 관리 인터페이스
표 4. Content Gateway 기본 끝점 구성에 대한 포트 요구 사항
포트 프로토콜 소스 대상 설명
443* 또는 1024보다 큰 임의 포트 HTTPS 디바이스(인터넷 및 Wi-Fi에서) Unified Access Gateway Content Gateway 끝점 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
443* 또는 1024보다 큰 임의 포트 HTTPS VMware AirWatch 디바이스 서비스 Unified Access Gateway Content Gateway 끝점
443* 또는 1024보다 큰 임의 포트 HTTPS Workspace ONE UEM 콘솔 Unified Access Gateway Content Gateway 끝점 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
저장소가 수신 대기하는 모든 포트. HTTP 또는 HTTPS Unified Access Gateway Content Gateway 끝점 웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등) 인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트.
137–139 및 445 CIFS 또는 SMB Unified Access Gateway Content Gateway 끝점 네트워크 공유 기반 저장소(Windows 파일 공유) 인트라넷 공유
표 5. Content Gateway 릴레이 끝점 구성에 대한 포트 요구 사항
포트 프로토콜 소스 대상 설명
443* 또는 1024보다 큰 임의 포트 HTTP/HTTPS Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) Unified Access Gateway Content Gateway 끝점 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
443* 또는 1024보다 큰 임의 포트 HTTPS 디바이스(인터넷 및 Wi-Fi에서) Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
443* 또는 1024보다 큰 임의 포트 TCP AirWatch 디바이스 서비스 Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
443* 또는 1024보다 큰 임의 포트 HTTPS Workspace ONE UEM 콘솔
저장소가 수신 대기하는 모든 포트. HTTP 또는 HTTPS Unified Access Gateway Content Gateway 끝점 웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등) 인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트.
443* 또는 1024보다 큰 임의 포트 HTTPS Unified Access Gateway(Content Gateway 릴레이) Unified Access Gateway Content Gateway 끝점 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.
137–139 및 445 CIFS 또는 SMB Unified Access Gateway Content Gateway 끝점 네트워크 공유 기반 저장소(Windows 파일 공유) 인트라넷 공유
참고: Content Gateway 서비스가 Unified Access Gateway에서 루트 이외의 사용자로 실행되므로 Content Gateway는 시스템 포트에서 실행될 수 없습니다. 따라서 사용자 지정 포트는 1024보다 커야 합니다.
표 6. VMware Tunnel에 대한 포트 요구 사항
포트 프로토콜 소스 대상 검증 참고(페이지 맨 아래의 참고 섹션 참조)
2020 * HTTPS 디바이스(인터넷 및 Wi-Fi에서) VMware Tunnel 프록시 설치 후에 netstat -tlpn | grep [Port] 명령을 실행합니다.
8443 * TCP 디바이스(인터넷 및 Wi-Fi에서) VMware Tunnel 애플리케이션별 터널 설치 후에 netstat -tlpn | grep [Port] 명령을 실행합니다. 1
표 7. VMware Tunnel 기본 끝점 구성
포트 프로토콜 소스 대상 검증 참고(페이지 맨 아래의 참고 섹션 참조)
SaaS: 443

: 2001 *

HTTPS VMware Tunnel AirWatch Cloud Messaging 서버 curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

예상 응답은 HTTP 200 정상입니다.

2
SaaS: 443

온-프레미스: 80 또는 443

HTTP 또는 HTTPS VMware Tunnel Workspace ONE UEM REST API 끝점
  • SaaS:https://asXXX.awmdm. com 또는 https://asXXX. airwatchportals.com
  • 온-프레미스: 가장 일반적으로 DS 또는 콘솔 서버
curl -Ivv https://<API URL>/api/mdm/ping

예상 응답은 HTTP 401 권한 없음입니다.

5
80,443, 임의 TCP HTTP, HTTPS 또는 TCP VMware Tunnel 내부 리소스 VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다. 4
514 * UDP VMware Tunnel Syslog 서버
온-프레미스: 2020 HTTPS Workspace ONE UEM 콘솔 VMware Tunnel 프록시 온-프레미스 사용자는 telnet 명령 telnet <Tunnel Proxy URL> <port>를 사용하여 연결을 테스트할 수 있습니다. 6
표 8. VMware Tunnel 케스케이드 구성
포트 프로토콜 소스 대상 검증 참고(페이지 맨 아래의 참고 섹션 참조)
SaaS: 443

온-프레미스: 2001 *

TLS v1.2 VMware Tunnel 프론트엔드 AirWatch Cloud Messaging 서버 https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다. 2
8443 TLS v1.2 VMware Tunnel 프론트엔드 VMware Tunnel 백엔드 VMware Tunnel 프론트엔드에서 포트의 VMware Tunnel 백엔드 서버로 텔넷 3
SaaS: 443

온-프레미스: 2001

TLS v1.2 VMware Tunnel 백엔드 AirWatch Cloud Messaging 서버 https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다. 2
80 또는 443 TCP VMware Tunnel 백엔드 내부 웹 사이트/웹앱 4
80, 443, 임의 TCP TCP VMware Tunnel 백엔드 내부 리소스 4
80 또는 443 HTTPS VMware Tunnel 프론트엔드 및 백엔드 Workspace ONE UEM REST API 끝점
  • SaaS:https://asXXX.awmdm. com 또는 https://asXXX. airwatchportals.com
  • 온-프레미스: 가장 일반적으로 DS 또는 콘솔 서버
curl -Ivv https://<API URL>/api/mdm/ping

예상 응답은 HTTP 401 권한 없음입니다.

5
표 9. VMware Tunnel 릴레이-끝점 구성
포트 프로토콜 소스 대상 검증 참고(페이지 맨 아래의 참고 섹션 참조)
SaaS: 443

온-프레미스: 2001

HTTP 또는 HTTPS VMware Tunnel 릴레이 AirWatch Cloud Messaging 서버 curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

예상 응답은 HTTP 200 정상입니다.

2
80 또는 443 HTTPS 또는 HTTPS VMware Tunnel 끝점 및 릴레이 Workspace ONE UEM REST API 끝점
  • SaaS:https://asXXX.awmdm. com 또는 https://asXXX. airwatchportals.com
  • 온-프레미스: 가장 일반적으로 DS 또는 콘솔 서버
curl -Ivv https://<API URL>/api/mdm/ping

예상 응답은 HTTP 401 권한 없음입니다.

VMware Tunnel 끝점은 초기 배포 중에만 REST API 끝점에 액세스하면 됩니다.

5
2010 * HTTPS VMware Tunnel 릴레이 VMware Tunnel 끝점 VMware Tunnel 릴레이에서 포트의 VMware Tunnel 끝점 서버로 텔넷 3
80, 443, 임의 TCP HTTP, HTTPS 또는 TCP VMware Tunnel 끝점 내부 리소스 VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다. 4
514 * UDP VMware Tunnel Syslog 서버
온-프레미스: 2020 HTTPS Workspace ONE UEM VMware Tunnel 프록시 온-프레미스 사용자는 telnet 명령 telnet <Tunnel Proxy URL> <port>를 사용하여 연결을 테스트할 수 있습니다. 6
참고: VMware Tunnel 요구 사항에 대해 다음 사항이 적용됩니다.

* - 이 포트는 환경의 제한 사항에 따라 필요한 경우 변경될 수 있습니다.

  1. 포트 443을 사용하는 경우 애플리케이션별 터널을 포트 8443에서 수신 대기합니다.
    참고: VMware TunnelContent Gateway 서비스가 같은 장치에서 사용되도록 설정되고 TLS 포트 공유가 사용되도록 설정되면 각 서비스에 대해 DNS 이름이 고유해야 합니다. TLS가 사용되도록 설정되지 않으면 포트가 들어오는 트래픽을 구분하므로 양쪽 서비스에서 하나의 DNS 이름만 사용할 수 있습니다. ( Content Gateway에 대해 포트 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.)
  2. Workspace ONE UEM에서 규정 준수 및 추적 목적으로 VMware Tunnel 콘솔을 쿼리하기 위해
  3. VMware Tunnel 릴레이 토폴로지에서 디바이스 요청을 내부 VMware Tunnel 끝점에만 전달하기 위해
  4. VMware Tunnel를 사용하는 애플리케이션이 내부 리소스에 액세스하기 위해
  5. 초기화를 위해 VMware Tunnel은 API와 통신해야 합니다. REST API와 VMware Tunnel 서버가 연결되어 있는지 확인합니다. 그룹 및 설정 > 모든 설정 > 시스템 > 고급 > 사이트 URL로 이동하여 REST API 서버 URL을 설정합니다. SaaS 고객은 이 페이지를 사용할 수 없습니다. SaaS 고객에 대한 REST API URL은 가장 일반적으로 콘솔 또는 디바이스 서비스 서버 URL입니다.
  6. 이 URL은 Workspace ONE UEM 콘솔에서 VMware Tunnel 프록시로의 성공적인 "테스트 연결"에 필요합니다. 이 요구 사항은 선택 사항이며, 생략해도 디바이스에 대한 기능 손실은 발생하지 않습니다. SaaS 고객의 경우 Workspace ONE UEM 콘솔은 포트 2020의 인바운드 인터넷 요구 사항 때문에 포트 2020의 VMware Tunnel 프록시에 대해 이미 인바운드로 연결되어 있을 수 있습니다.