DMZ 기반 Unified Access Gateway 장치는 프론트엔드와 백엔드 방화벽에 대해 특정 방화벽 규칙을 필요로 합니다. 설치 도중 기본적으로 특정 네트워크 포트에서 수신하도록 Unified Access Gateway 서비스가 설정됩니다.
DMZ 기반 Unified Access Gateway 장치의 배치에는 일반적으로 두 개의 방화벽이 포함되어 있습니다.
- 외부 네트워크 지향 프론트엔드 방화벽은 DMZ와 내부 네트워크를 보호해야 합니다. 외부 네트워크 트래픽이 DMZ에 도달할 수 있도록 방화벽을 구성합니다.
- DMZ와 내부 네트워크 사이의 백엔드 방화벽은 두 번째 보안 계층을 제공하기 위해 필요합니다. DMZ 내에 있는 서비스에서 발생한 트래픽만 허용하도록 방화벽을 구성합니다.
방화벽 정책은 DMZ 서비스의 인바운드 통신을 철저하게 제어하여 내부 네트워크 손상 위험을 크게 줄입니다.
포트 | 프로토콜 | 소스 | 대상 | 설명 |
---|---|---|---|---|
443 | TCP | 인터넷 | Unified Access Gateway | 웹 트래픽의 경우 Horizon Client XML - API, Horizon Tunnel 및 Blast Extreme |
443 | UDP | 인터넷 | Unified Access Gateway | UDP 443은 Unified Access Gateway에서 UDP 터널 서버 서비스의 UDP 9443으로 내부적으로 전달됩니다. |
8443 | UDP | 인터넷 | Unified Access Gateway | Blast Extreme(선택 사항) |
8443 | TCP | 인터넷 | Unified Access Gateway | Blast Extreme(선택 사항) |
4172 | TCP 및 UDP | 인터넷 | Unified Access Gateway | PCoIP(선택 사항) |
443 | TCP | Unified Access Gateway | Horizon Broker | Horizon Client XML-API, Blast Extreme HTML Access, HACA(Horizon Air Console Access) |
22443 | TCP 및 UDP | Unified Access Gateway | 데스크톱 및 RDS 호스트 | Blast Extreme |
4172 | TCP 및 UDP | Unified Access Gateway | 데스크톱 및 RDS 호스트 | PCoIP(선택 사항) |
32111 | TCP | Unified Access Gateway | 데스크톱 및 RDS 호스트 | USB 리디렉션을 위한 프레임워크 채널 |
9427 | TCP | Unified Access Gateway | 데스크톱 및 RDS 호스트 | MMR 및 CDR |
외부 클라이언트 디바이스가 DMZ 내에 있는 Unified Access Gateway 장치에 연결할 수 있도록 허용하려면 프론트엔드 방화벽에서 특정 포트에 대한 트래픽을 허용해야 합니다. 기본적으로 외부 클라이언트 디바이스 및 외부 웹 클라이언트(HTML Access)는 TCP 포트 443에서 DMZ 내의 Unified Access Gateway 장치에 연결합니다. Blast 프로토콜을 사용하는 경우 방화벽에서 포트 8443이 열려 있어야 하지만 포트 443에 대해 Blast를 구성할 수도 있습니다.
포트 | 프로토콜 | 소스 | 대상 | 설명 |
---|---|---|---|---|
443 | TCP | 인터넷 | Unified Access Gateway | 웹 트래픽 |
임의 | TCP | Unified Access Gateway | 인트라넷 사이트 | 인트라넷이 수신 대기하는 구성된 모든 사용자 지정 포트. 예: 80, 443, 8080 등 |
88 | TCP | Unified Access Gateway | KDC 서버/AD 서버 | SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다. |
88 | UDP | Unified Access Gateway | KDC 서버/AD 서버 | SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다. |
포트 | 프로토콜 | 소스 | 대상 | 설명 |
---|---|---|---|---|
9443 | TCP | 관리 UI | Unified Access Gateway | 관리 인터페이스 |
포트 | 프로토콜 | 소스 | 대상 | 설명 |
---|---|---|---|---|
443* 또는 1024보다 큰 임의 포트 | HTTPS | 디바이스(인터넷 및 Wi-Fi에서) | Unified Access Gateway Content Gateway 끝점 | 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
443* 또는 1024보다 큰 임의 포트 | HTTPS | VMware AirWatch 디바이스 서비스 | Unified Access Gateway Content Gateway 끝점 | |
443* 또는 1024보다 큰 임의 포트 | HTTPS | Workspace ONE UEM 콘솔 | Unified Access Gateway Content Gateway 끝점 | 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
저장소가 수신 대기하는 모든 포트. | HTTP 또는 HTTPS | Unified Access Gateway Content Gateway 끝점 | 웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등) | 인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트. |
137–139 및 445 | CIFS 또는 SMB | Unified Access Gateway Content Gateway 끝점 | 네트워크 공유 기반 저장소(Windows 파일 공유) | 인트라넷 공유 |
포트 | 프로토콜 | 소스 | 대상 | 설명 |
---|---|---|---|---|
443* 또는 1024보다 큰 임의 포트 | HTTP/HTTPS | Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) | Unified Access Gateway Content Gateway 끝점 | 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
443* 또는 1024보다 큰 임의 포트 | HTTPS | 디바이스(인터넷 및 Wi-Fi에서) | Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) | 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
443* 또는 1024보다 큰 임의 포트 | TCP | AirWatch 디바이스 서비스 | Unified Access Gateway 릴레이 서버(Content Gateway 릴레이) | 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
443* 또는 1024보다 큰 임의 포트 | HTTPS | Workspace ONE UEM 콘솔 | ||
저장소가 수신 대기하는 모든 포트. | HTTP 또는 HTTPS | Unified Access Gateway Content Gateway 끝점 | 웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등) | 인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트. |
443* 또는 1024보다 큰 임의 포트 | HTTPS | Unified Access Gateway(Content Gateway 릴레이) | Unified Access Gateway Content Gateway 끝점 | 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다. |
137–139 및 445 | CIFS 또는 SMB | Unified Access Gateway Content Gateway 끝점 | 네트워크 공유 기반 저장소(Windows 파일 공유) | 인트라넷 공유 |
포트 | 프로토콜 | 소스 | 대상 | 검증 | 참고(페이지 맨 아래의 참고 섹션 참조) |
---|---|---|---|---|---|
2020 * | HTTPS | 디바이스(인터넷 및 Wi-Fi에서) | VMware Tunnel 프록시 | 설치 후에 netstat -tlpn | grep [Port] 명령을 실행합니다. | |
8443 * | TCP | 디바이스(인터넷 및 Wi-Fi에서) | VMware Tunnel 애플리케이션별 터널 | 설치 후에 netstat -tlpn | grep [Port] 명령을 실행합니다. | 1 |
포트 | 프로토콜 | 소스 | 대상 | 검증 | 참고(페이지 맨 아래의 참고 섹션 참조) |
---|---|---|---|---|---|
SaaS: 443 : 2001 * |
HTTPS | VMware Tunnel | AirWatch Cloud Messaging 서버 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 예상 응답은 HTTP 200 정상입니다. |
2 |
SaaS: 443 온-프레미스: 80 또는 443 |
HTTP 또는 HTTPS | VMware Tunnel | Workspace ONE UEM REST API 끝점
|
curl -Ivv https://<API URL>/api/mdm/ping 예상 응답은 HTTP 401 권한 없음입니다. |
5 |
80,443, 임의 TCP | HTTP, HTTPS 또는 TCP | VMware Tunnel | 내부 리소스 | VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다. | 4 |
514 * | UDP | VMware Tunnel | Syslog 서버 | ||
온-프레미스: 2020 | HTTPS | Workspace ONE UEM 콘솔 | VMware Tunnel 프록시 | 온-프레미스 사용자는 telnet 명령 telnet <Tunnel Proxy URL> <port>를 사용하여 연결을 테스트할 수 있습니다. | 6 |
포트 | 프로토콜 | 소스 | 대상 | 검증 | 참고(페이지 맨 아래의 참고 섹션 참조) |
---|---|---|---|---|---|
SaaS: 443 온-프레미스: 2001 * |
TLS v1.2 | VMware Tunnel 프론트엔드 | AirWatch Cloud Messaging 서버 | https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다. | 2 |
8443 | TLS v1.2 | VMware Tunnel 프론트엔드 | VMware Tunnel 백엔드 | VMware Tunnel 프론트엔드에서 포트의 VMware Tunnel 백엔드 서버로 텔넷 | 3 |
SaaS: 443 온-프레미스: 2001 |
TLS v1.2 | VMware Tunnel 백엔드 | AirWatch Cloud Messaging 서버 | https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다. | 2 |
80 또는 443 | TCP | VMware Tunnel 백엔드 | 내부 웹 사이트/웹앱 | 4 | |
80, 443, 임의 TCP | TCP | VMware Tunnel 백엔드 | 내부 리소스 | 4 | |
80 또는 443 | HTTPS | VMware Tunnel 프론트엔드 및 백엔드 | Workspace ONE UEM REST API 끝점
|
curl -Ivv https://<API URL>/api/mdm/ping 예상 응답은 HTTP 401 권한 없음입니다. |
5 |
포트 | 프로토콜 | 소스 | 대상 | 검증 | 참고(페이지 맨 아래의 참고 섹션 참조) |
---|---|---|---|---|---|
SaaS: 443 온-프레미스: 2001 |
HTTP 또는 HTTPS | VMware Tunnel 릴레이 | AirWatch Cloud Messaging 서버 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 예상 응답은 HTTP 200 정상입니다. |
2 |
80 또는 443 | HTTPS 또는 HTTPS | VMware Tunnel 끝점 및 릴레이 | Workspace ONE UEM REST API 끝점
|
curl -Ivv https://<API URL>/api/mdm/ping 예상 응답은 HTTP 401 권한 없음입니다. VMware Tunnel 끝점은 초기 배포 중에만 REST API 끝점에 액세스하면 됩니다. |
5 |
2010 * | HTTPS | VMware Tunnel 릴레이 | VMware Tunnel 끝점 | VMware Tunnel 릴레이에서 포트의 VMware Tunnel 끝점 서버로 텔넷 | 3 |
80, 443, 임의 TCP | HTTP, HTTPS 또는 TCP | VMware Tunnel 끝점 | 내부 리소스 | VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다. | 4 |
514 * | UDP | VMware Tunnel | Syslog 서버 | ||
온-프레미스: 2020 | HTTPS | Workspace ONE UEM | VMware Tunnel 프록시 | 온-프레미스 사용자는 telnet 명령 telnet <Tunnel Proxy URL> <port>를 사용하여 연결을 테스트할 수 있습니다. | 6 |
* - 이 포트는 환경의 제한 사항에 따라 필요한 경우 변경될 수 있습니다.
- 포트 443을 사용하는 경우 애플리케이션별 터널을 포트 8443에서 수신 대기합니다.
참고: VMware Tunnel 및 Content Gateway 서비스가 같은 장치에서 사용되도록 설정되고 TLS 포트 공유가 사용되도록 설정되면 각 서비스에 대해 DNS 이름이 고유해야 합니다. TLS가 사용되도록 설정되지 않으면 포트가 들어오는 트래픽을 구분하므로 양쪽 서비스에서 하나의 DNS 이름만 사용할 수 있습니다. ( Content Gateway에 대해 포트 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.)
- Workspace ONE UEM에서 규정 준수 및 추적 목적으로 VMware Tunnel 콘솔을 쿼리하기 위해
- VMware Tunnel 릴레이 토폴로지에서 디바이스 요청을 내부 VMware Tunnel 끝점에만 전달하기 위해
- VMware Tunnel를 사용하는 애플리케이션이 내부 리소스에 액세스하기 위해
- 초기화를 위해 VMware Tunnel은 API와 통신해야 합니다. REST API와 VMware Tunnel 서버가 연결되어 있는지 확인합니다. 로 이동하여 REST API 서버 URL을 설정합니다. SaaS 고객은 이 페이지를 사용할 수 없습니다. SaaS 고객에 대한 REST API URL은 가장 일반적으로 콘솔 또는 디바이스 서비스 서버 URL입니다.
이 URL은 Workspace ONE UEM 콘솔에서 VMware Tunnel 프록시로의 성공적인 "테스트 연결"에 필요합니다. 이 요구 사항은 선택 사항이며, 생략해도 디바이스에 대한 기능 손실은 발생하지 않습니다. SaaS 고객의 경우 Workspace ONE UEM 콘솔은 포트 2020의 인바운드 인터넷 요구 사항 때문에 포트 2020의 VMware Tunnel 프록시에 대해 이미 인바운드로 연결되어 있을 수 있습니다.