DMZ 기반 Unified Access Gateway 장치는 프론트엔드와 백엔드 방화벽에 대해 특정 방화벽 규칙을 필요로 합니다. 설치 도중 기본적으로 특정 네트워크 포트에서 수신하도록 Unified Access Gateway 서비스가 설정됩니다.

DMZ 기반 Unified Access Gateway 장치의 배치에는 일반적으로 두 개의 방화벽이 포함되어 있습니다.

  • 외부 네트워크 지향 프론트엔드 방화벽은 DMZ와 내부 네트워크를 보호해야 합니다. 외부 네트워크 트래픽이 DMZ에 도달할 수 있도록 방화벽을 구성합니다.

  • DMZ와 내부 네트워크 사이의 백엔드 방화벽은 두 번째 보안 계층을 제공하기 위해 필요합니다. DMZ 내에 있는 서비스에서 발생한 트래픽만 허용하도록 방화벽을 구성합니다.

방화벽 정책은 DMZ 서비스의 인바운드 통신을 철저하게 제어하여 내부 네트워크 손상 위험을 크게 줄입니다.

다음 표에는 Unified Access Gateway 내의 다른 서비스에 대한 포트 요구 사항이 제공됩니다.

참고:

모든 UDP 포트에서는 전달 데이터그램 및 응답 데이터그램이 허용되어야 합니다.

표 1. Horizon 연결 서버의 포트 요구 사항

포트

프로토콜

소스

대상

설명

443

TCP

인터넷

Unified Access Gateway

웹 트래픽의 경우 Horizon Client XML - API, Horizon Tunnel 및 Blast Extreme

443

UDP

인터넷

Unified Access Gateway

UDP 443은 Unified Access Gateway에서 UDP 터널 서버 서비스의 UDP 9443으로 내부적으로 전달됩니다.

8443

UDP

인터넷

Unified Access Gateway

Blast Extreme(선택 사항)

8443

TCP

인터넷

Unified Access Gateway

Blast Extreme(선택 사항)

4172

TCP 및 UDP

인터넷

Unified Access Gateway

PCoIP(선택 사항)

443

TCP

Unified Access Gateway

Horizon 연결 서버

Horizon Client XML-API, Blast Extreme HTML Access, HACA(Horizon Air Console Access)

22443

TCP 및 UDP

Unified Access Gateway

데스크톱 및 RDS 호스트

Blast Extreme

4172

TCP 및 UDP

Unified Access Gateway

데스크톱 및 RDS 호스트

PCoIP(선택 사항)

32111

TCP

Unified Access Gateway

데스크톱 및 RDS 호스트

USB 리디렉션을 위한 프레임워크 채널

9427

TCP

Unified Access Gateway

데스크톱 및 RDS 호스트

MMR 및 CDR

참고:

외부 클라이언트 디바이스가 DMZ 내에 있는 Unified Access Gateway 장치에 연결할 수 있도록 허용하려면 프론트엔드 방화벽에서 특정 포트에 대한 트래픽을 허용해야 합니다. 기본적으로 외부 클라이언트 디바이스 및 외부 웹 클라이언트(HTML Access)는 TCP 포트 443에서 DMZ 내의 Unified Access Gateway 장치에 연결합니다. Blast 프로토콜을 사용하는 경우 방화벽에서 포트 8443이 열려 있어야 하지만 포트 443에 대해 Blast를 구성할 수도 있습니다.

표 2. Web Reverse Proxy에 대한 포트 요구 사항

포트

프로토콜

소스

대상

설명

443

TCP

인터넷

Unified Access Gateway

웹 트래픽

임의

TCP

Unified Access Gateway

인트라넷 사이트

인트라넷이 수신 대기하는 구성된 모든 사용자 지정 포트. 예: 80, 443, 8080 등

88

TCP

Unified Access Gateway

KDC 서버/AD 서버

SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다.

88

UDP

Unified Access Gateway

KDC 서버/AD 서버

SAML-Kerberos/인증서-Kerberos가 구성된 경우 ID 브리징에서 AD에 액세스하는 데 필요합니다.

표 3. 관리 UI를 위한 포트 요구 사항

포트

프로토콜

소스

대상

설명

9443

TCP

관리 UI

Unified Access Gateway

관리 인터페이스

표 4. Content Gateway 기본 끝점 구성에 대한 포트 요구 사항

포트

프로토콜

소스

대상

설명

443* 또는 1024보다 큰 임의 포트

HTTPS

디바이스(인터넷 및 Wi-Fi에서)

Unified Access Gateway Content Gateway 끝점

443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.

443* 또는 1024보다 큰 임의 포트

HTTPS

VMware AirWatch 디바이스 서비스

Unified Access Gateway Content Gateway 끝점

443* 또는 1024보다 큰 임의 포트

HTTPS

Workspace ONE UEM 콘솔

Unified Access Gateway Content Gateway 끝점

443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.

저장소가 수신 대기하는 모든 포트.

HTTP 또는 HTTPS

Unified Access Gateway Content Gateway 끝점

웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등)

인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트.

137–139 및 445

CIFS 또는 SMB

Unified Access Gateway Content Gateway 끝점

네트워크 공유 기반 저장소(Windows 파일 공유)

인트라넷 공유

표 5. Content Gateway 릴레이 끝점 구성에 대한 포트 요구 사항

포트

프로토콜

소스

대상

설명

443* 또는 1024보다 큰 임의 포트

HTTP/HTTPS

Unified Access Gateway 릴레이 서버(Content Gateway 릴레이)

Unified Access Gateway Content Gateway 끝점

443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.

443* 또는 1024보다 큰 임의 포트

HTTPS

디바이스(인터넷 및 Wi-Fi에서)

Unified Access Gateway 릴레이 서버(Content Gateway 릴레이)

443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.

443* 또는 1024보다 큰 임의 포트

TCP

AirWatch 디바이스 서비스

Unified Access Gateway 릴레이 서버(Content Gateway 릴레이)

443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.

443* 또는 1024보다 큰 임의 포트

HTTPS

Workspace ONE UEM 콘솔

저장소가 수신 대기하는 모든 포트.

HTTP 또는 HTTPS

Unified Access Gateway Content Gateway 끝점

웹 기반 컨텐츠 저장소(예: SharePoint/WebDAV/CMIS 등)

인트라넷 사이트가 수신 대기하는 구성된 모든 사용자 지정 포트.

443* 또는 1024보다 큰 임의 포트

HTTPS

Unified Access Gateway(Content Gateway 릴레이)

Unified Access Gateway Content Gateway 끝점

443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.

137–139 및 445

CIFS 또는 SMB

Unified Access Gateway Content Gateway 끝점

네트워크 공유 기반 저장소(Windows 파일 공유)

인트라넷 공유

참고:

Content Gateway 서비스가 Unified Access Gateway에서 루트 이외의 사용자로 실행되므로 Content Gateway는 시스템 포트에서 실행될 수 없습니다. 따라서 사용자 지정 포트는 1024보다 커야 합니다.

표 6. VMware Tunnel에 대한 포트 요구 사항

포트

프로토콜

소스

대상

검증

참고(페이지 맨 아래의 참고 섹션 참조)

2020 *

HTTPS

디바이스(인터넷 및 Wi-Fi에서)

VMware Tunnel 프록시

설치 후에 netstat -tlpn | grep [Port] 명령을 실행합니다.

8443 *

TCP

디바이스(인터넷 및 Wi-Fi에서)

VMware Tunnel 애플리케이션별 터널

설치 후에 netstat -tlpn | grep [Port] 명령을 실행합니다.

1

표 7. VMware Tunnel 기본 끝점 구성

포트

프로토콜

소스

대상

검증

참고(페이지 맨 아래의 참고 섹션 참조)

SaaS: 443

: 2001 *

HTTPS

VMware Tunnel

AirWatch Cloud Messaging 서버

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

예상 응답은 HTTP 200 정상입니다.

2

SaaS: 443

온-프레미스: 80 또는 443

HTTP 또는 HTTPS

VMware Tunnel

Workspace ONE UEM REST API 끝점

  • SaaS:https://asXXX.awmdm. com 또는 https://asXXX. airwatchportals.com

  • 온-프레미스: 가장 일반적으로 DS 또는 콘솔 서버

curl -Ivv https://<API URL>/api/mdm/ping

예상 응답은 HTTP 401 권한 없음입니다.

5

80,443, 임의 TCP

HTTP, HTTPS 또는 TCP

VMware Tunnel

내부 리소스

VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다.

4

514 *

UDP

VMware Tunnel

Syslog 서버

온-프레미스: 2020

HTTPS

Workspace ONE UEM 콘솔

VMware Tunnel 프록시

온-프레미스 사용자는 telnet 명령 telnet <Tunnel Proxy URL> <port>를 사용하여 연결을 테스트할 수 있습니다.

6

표 8. VMware Tunnel 케스케이드 구성

포트

프로토콜

소스

대상

검증

참고(페이지 맨 아래의 참고 섹션 참조)

SaaS: 443

온-프레미스: 2001 *

TLS v1.2

VMware Tunnel 프론트엔드

AirWatch Cloud Messaging 서버

https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다.

2

8443

TLS v1.2

VMware Tunnel 프론트엔드

VMware Tunnel 백엔드

VMware Tunnel 프론트엔드에서 포트의 VMware Tunnel 백엔드 서버로 텔넷

3

SaaS: 443

온-프레미스: 2001

TLS v1.2

VMware Tunnel 백엔드

AirWatch Cloud Messaging 서버

https://<AWCM URL>:<port>/awcm/status에 대해 wget을 사용하고 HTTP 200 응답이 수신되는지 확인합니다.

2

80 또는 443

TCP

VMware Tunnel 백엔드

내부 웹 사이트/웹앱

4

80, 443, 임의 TCP

TCP

VMware Tunnel 백엔드

내부 리소스

4

80 또는 443

HTTPS

VMware Tunnel 프론트엔드 및 백엔드

Workspace ONE UEM REST API 끝점

  • SaaS:https://asXXX.awmdm. com 또는 https://asXXX. airwatchportals.com

  • 온-프레미스: 가장 일반적으로 DS 또는 콘솔 서버

curl -Ivv https://<API URL>/api/mdm/ping

예상 응답은 HTTP 401 권한 없음입니다.

5

표 9. VMware Tunnel 릴레이-끝점 구성

포트

프로토콜

소스

대상

검증

참고(페이지 맨 아래의 참고 섹션 참조)

SaaS: 443

온-프레미스: 2001

HTTP 또는 HTTPS

VMware Tunnel 릴레이

AirWatch Cloud Messaging 서버

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

예상 응답은 HTTP 200 정상입니다.

2

80 또는 443

HTTPS 또는 HTTPS

VMware Tunnel 끝점 및 릴레이

Workspace ONE UEM REST API 끝점

  • SaaS:https://asXXX.awmdm. com 또는 https://asXXX. airwatchportals.com

  • 온-프레미스: 가장 일반적으로 DS 또는 콘솔 서버

curl -Ivv https://<API URL>/api/mdm/ping

예상 응답은 HTTP 401 권한 없음입니다.

VMware Tunnel 끝점은 초기 배포 중에만 REST API 끝점에 액세스하면 됩니다.

5

2010 *

HTTPS

VMware Tunnel 릴레이

VMware Tunnel 끝점

VMware Tunnel 릴레이에서 포트의 VMware Tunnel 끝점 서버로 텔넷

3

80, 443, 임의 TCP

HTTP, HTTPS 또는 TCP

VMware Tunnel 끝점

내부 리소스

VMware Tunnel이 필수 포트를 통해 내부 리소스에 액세스할 수 있는지 확인합니다.

4

514 *

UDP

VMware Tunnel

Syslog 서버

온-프레미스: 2020

HTTPS

Workspace ONE UEM

VMware Tunnel 프록시

온-프레미스 사용자는 telnet 명령 telnet <Tunnel Proxy URL> <port>를 사용하여 연결을 테스트할 수 있습니다.

6

참고:

VMware Tunnel 요구 사항에 대해 다음 사항이 적용됩니다.

* - 이 포트는 환경의 제한 사항에 따라 필요한 경우 변경될 수 있습니다.

  1. 포트 443을 사용하는 경우 애플리케이션별 터널을 포트 8443에서 수신 대기합니다.

    참고:

    VMware TunnelContent Gateway 서비스가 같은 장치에서 사용되도록 설정되고 TLS 포트 공유가 사용되도록 설정되면 각 서비스에 대해 DNS 이름이 고유해야 합니다. TLS가 사용되도록 설정되지 않으면 포트가 들어오는 트래픽을 구분하므로 양쪽 서비스에서 하나의 DNS 이름만 사용할 수 있습니다. (Content Gateway에 대해 포트 443을 사용하는 경우 Content Gateway는 포트 10443에서 수신 대기합니다.)

  2. Workspace ONE UEM에서 규정 준수 및 추적 목적으로 VMware Tunnel 콘솔을 쿼리하기 위해

  3. VMware Tunnel 릴레이 토폴로지에서 디바이스 요청을 내부 VMware Tunnel 끝점에만 전달하기 위해

  4. VMware Tunnel를 사용하는 애플리케이션이 내부 리소스에 액세스하기 위해

  5. 초기화를 위해 VMware Tunnel은 API와 통신해야 합니다. REST API와 VMware Tunnel 서버가 연결되어 있는지 확인합니다. 그룹 및 설정 > 모든 설정 > 시스템 > 고급 > 사이트 URL로 이동하여 REST API 서버 URL을 설정합니다. SaaS 고객은 이 페이지를 사용할 수 없습니다. SaaS 고객에 대한 REST API URL은 가장 일반적으로 콘솔 또는 디바이스 서비스 서버 URL입니다.

  6. 이 URL은 Workspace ONE UEM 콘솔에서 VMware Tunnel 프록시로의 성공적인 "테스트 연결"에 필요합니다. 이 요구 사항은 선택 사항이며, 생략해도 디바이스에 대한 기능 손실은 발생하지 않습니다. SaaS 고객의 경우 Workspace ONE UEM 콘솔은 포트 2020의 인바운드 인터넷 요구 사항 때문에 포트 2020의 VMware Tunnel 프록시에 대해 이미 인바운드로 연결되어 있을 수 있습니다.