DMZ 型 Unified Access Gateway 應用裝置需要在前端和後端防火牆設定某些防火牆規則。在安裝期間,Unified Access Gateway 服務預設設為接聽特定網路連接埠。

DMZ 型 Unified Access Gateway 應用裝置部署通常包含兩個防火牆:

  • 保護 DMZ 和內部網路需要面向外部網路的前端防火牆。您可以設定此防火牆允許外部網路流量到達 DMZ。
  • 提供第二層安全性則需要位於 DMZ 與內部網路之間的後端防火牆。您可以設定此防火牆僅接受發自 DMZ 內服務的流量。

防火牆原則可嚴格控制來自 DMZ 服務的輸入通訊,進而大幅降低內部網路出現漏洞的風險。

下表列出 Unified Access Gateway 內不同服務的連接埠需求。
備註: 所有 UDP 連接埠都需要允許轉送資料包和回覆資料包。 Unified Access Gateway 服務會使用 DNS 來解析主機名稱。DNS 伺服器 IP 位址可供設定。DNS 要求是在 UDP 連接埠 53 上發出的,因此,請務必確定外部防火牆不會封鎖這些要求或回覆。
表 1. Secure Email Gateway 的連接埠需求
連接埠 通訊協定 來源 目標/目的地 說明
443* 或任何大於 1024 的連接埠 HTTPS 裝置 (從網際網路和 Wi-Fi)

Unified Access Gateway

Secure Email Gateway 端點

Secure Email Gateway 會接聽連接埠 11443。設定 443 或任何其他連接埠時,Unified Access Gateway 會在內部將 SEG 流量路由到 11443。
443* 或任何大於 1024 的連接埠 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Secure Email Gateway 端點

Secure Email Gateway 會接聽連接埠 11443。設定 443 或任何其他連接埠時,Unified Access Gateway 會在內部將 SEG 流量路由到 11443。
443* 或任何大於 1024 的連接埠 HTTPS Email Notification Service (啟用時)

Unified Access Gateway

Secure Email Gateway 端點

Secure Email Gateway 會接聽連接埠 11443。設定 443 或任何其他連接埠時,Unified Access Gateway 會在內部將 SEG 流量路由到 11443。
5701 TCP Secure Email Gateway Secure Email Gateway 用於 Hazelcast 分散式快取。
41232 TLS/TCP Secure Email Gateway Secure Email Gateway 用於 Vertx 叢集管理。
44444 HTTPS Secure Email Gateway Secure Email Gateway 用於診斷和管理功能。
任意 HTTPS Secure Email Gateway 電子郵件伺服器 SEG 會連線到電子郵件伺服器的接聽程式連接埠 (通常為 443) 來處理電子郵件流量
任意 HTTPS Secure Email Gateway Workspace ONE UEM API 伺服器 SEG 會從 Workspace ONE 取得組態和原則資料。連接埠通常為 443。
88 TCP Secure Email Gateway KDC 伺服器/AD 伺服器 啟用 KCD 驗證時,用於擷取 Kerberos 驗證權杖。
備註: 由於 Secure Email Gateway (SEG) 服務會以非根使用者的身分在 Unified Access Gateway 上執行,因此 SEG 無法在系統連接埠上執行。因此,自訂連接埠必須大於連接埠 1024。
表 2. Horizon 的連接埠需求
連接埠 通訊協定 來源 目標 說明
443 TCP 網際網路 Unified Access Gateway 針對 Web 流量,Horizon Client XML - API、Horizon Tunnel 和 Blast Extreme
443 UDP 網際網路 Unified Access Gateway UDP 443 會在內部轉送至 Unified Access Gateway 上 UDP 通道伺服器服務的 UDP 9443。
8443 UDP 網際網路 Unified Access Gateway Blast Extreme (選用)
8443 TCP 網際網路 Unified Access Gateway Blast Extreme (選用)
4172 TCP 與 UDP 網際網路 Unified Access Gateway PCoIP (選用)
443 TCP Unified Access Gateway Horizon 連線伺服器 Horizon Client XML-API、Blast Extreme HTML Access
22443 TCP 與 UDP Unified Access Gateway 桌面平台和 RDS 主機 Blast Extreme
4172 TCP 與 UDP Unified Access Gateway 桌面平台和 RDS 主機 PCoIP (選用)
32111 TCP Unified Access Gateway 桌面平台和 RDS 主機 USB 重新導向的架構通道
3389 TCP Unified Access Gateway 桌面平台和 RDS 主機 僅在 Horizon Client 使用 RDP 通訊協定時需要。
9427 TCP Unified Access Gateway 桌面平台和 RDS 主機 MMR、CDR 和 HTML5 功能,例如,Microsoft Teams 最佳化、瀏覽器重新導向等。
備註: 若要允許外部用戶端裝置連線至 DMZ 內的 Unified Access Gateway 應用裝置,前端防火牆必須允許特定連接埠上的流量。依預設,外部用戶端裝置和外部 Web 用戶端 (HTML Access) 會透過 TCP 連接埠 443 連線至 DMZ 內的 Unified Access Gateway 應用裝置。如果您使用 Blast 通訊協定,則必須在防火牆上開啟連接埠 8443。如果您透過 TCP 連接埠 443 來使用 Blast,則無需在防火牆上開啟 TCP 8443。
表 3. Workspace ONE Intelligence 組態的連接埠需求
連接埠 通訊協定 來源 目標 說明
443 HTTPS Unified Access Gateway Workspace ONE Intelligence Server curl -ILvv https://<api_server_hostname>/v1/device/risk_score

curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag

curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials

預期的回應是 HTTP 401 未經授權。

表 4. Web 反向 Proxy 的連接埠需求
連接埠 通訊協定 來源 目標 說明
443 TCP 網際網路 Unified Access Gateway 針對 Web 流量
任意 TCP Unified Access Gateway 內部網路網站 任何已設定且由內部網路接聽中的自訂連接埠。例如 80、443 和 8080 等。
88 TCP Unified Access Gateway KDC 伺服器/AD 伺服器 如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。
88 UDP Unified Access Gateway KDC 伺服器/AD 伺服器 如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。
表 5. 管理員 UI 的連接埠需求
連接埠 通訊協定 來源 目標 說明
9443 TCP 管理員 UI Unified Access Gateway 管理介面
表 6. Content Gateway 基本端點組態的連接埠需求
連接埠 通訊協定 來源 目標 說明
任何大於 1024 的連接埠或 443* HTTPS 裝置 (從網際網路和 Wi-Fi) Unified Access Gateway Content Gateway 端點 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
任何大於 1024 的連接埠或 443* HTTPS Workspace ONE UEM 裝置服務 Unified Access Gateway Content Gateway 端點
任何大於 1024 的連接埠或 443* HTTPS Workspace ONE UEM 主控台 Unified Access Gateway Content Gateway 端點 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
任何大於 1024 的連接埠或 443* HTTPS Unified Access Gateway Content Gateway 端點 Workspace ONE UEM API 伺服器
存放庫正在接聽的任何連接埠。 HTTP 或 HTTPS Unified Access Gateway Content Gateway 端點 Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 任何已設定且由內部網路網站接聽中的自訂連接埠。
137–139 和 445 CIFS 或 SMB Unified Access Gateway Content Gateway 端點 網路共用型存放庫 (Windows 檔案共用) 以 SMB 為基礎的存放庫 (分散式檔案系統、NFS、NetApp OnTap、Nutanix 共用、IBM 共用磁碟機)
表 7. Content Gateway 轉送端點組態的連接埠需求
連接埠 通訊協定 來源 目標/目的地 說明
任何大於 1024 的連接埠或 443* HTTP/HTTPS Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) Unified Access Gateway Content Gateway 端點 *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
任何大於 1024 的連接埠或 443* HTTPS 裝置 (從網際網路和 Wi-Fi) Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
任何大於 1024 的連接埠或 443* TCP Workspace ONE UEM 裝置服務 Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
任何大於 1024 的連接埠或 443* HTTPS Workspace ONE UEM 主控台 Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
任何大於 1024 的連接埠或 443* HTTPS Unified Access Gateway Content Gateway 轉送 Workspace ONE UEM API 伺服器 *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
任何大於 1024 的連接埠或 443* HTTPS Unified Access Gateway Content Gateway 端點 Workspace ONE UEM API 伺服器 *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
存放庫正在接聽的任何連接埠。 HTTP 或 HTTPS Unified Access Gateway Content Gateway 端點 Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 任何已設定且由內部網路網站接聽中的自訂連接埠。
任何大於 1024 的連接埠或 443* HTTPS Unified Access Gateway (Content Gateway 轉送) Unified Access Gateway Content Gateway 端點 *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
137–139 和 445 CIFS 或 SMB Unified Access Gateway Content Gateway 端點 網路共用型存放庫 (Windows 檔案共用) 以 SMB 為基礎的存放庫 (分散式檔案系統、NFS、NetApp OnTap、Nutanix 共用、IBM 共用磁碟機)
備註: 由於 Content Gateway 服務在 Unified Access Gateway 中會以非根使用者的身分執行, Content Gateway 無法在系統連接埠上執行,因此自訂連接埠應大於 1024。
表 8. VMware Tunnel 的連接埠需求
連接埠 通訊協定 來源 目標/目的地 驗證 附註 (請參閱頁面底部的「附註」一節)
8443 * TCP、UDP 裝置 (從網際網路和 Wi-Fi) VMware Tunnel 每一應用程式通道 安裝完成後請執行下列命令:netstat -tlpn | grep [Port] 1
表 9. VMware Tunnel 基本端點組態
連接埠 通訊協定 來源 目標/目的地 驗證 附註 (請參閱頁面底部的「附註」一節)
SaaS:443

:2001 *

HTTPS VMware Tunnel AirWatch Cloud Messaging 伺服器 curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
預期的回應是
HTTP 200 OK
2
SaaS:443

內部部署:80 或 443

HTTP 或 HTTPS VMware Tunnel Workspace ONE UEM REST API 端點
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 內部部署:通常是您的 DS 或主控台伺服器
curl -Ivv https://<API URL>/api/mdm/ping

預期的回應是 HTTP 401 未經授權。

5
80、443、任何 TCP HTTP、HTTPS 或 TCP VMware Tunnel 內部資源 確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 4
514 * UDP VMware Tunnel Syslog 伺服器
表 10. VMware Tunnel 階層式組態
連接埠 通訊協定 來源 目標/目的地 驗證 附註 (請參閱頁面底部的「附註」一節)
SaaS:443

內部部署:2001 *

TLS v1.2 VMware Tunnel 前端 AirWatch Cloud Messaging Server https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 2
8443 TLS v1.2 VMware Tunnel 前端 VMware Tunnel 後端 使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器 3
SaaS:443

內部部署:2001

TLS v1.2 VMware Tunnel 後端 Workspace ONE UEM Cloud Messaging 伺服器 https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 2
80 或 443 TCP VMware Tunnel 後端 內部網站/Web 應用程式 4
80、443、任何 TCP TCP VMware Tunnel 後端 內部資源 4
80 或 443 HTTPS VMware Tunnel 前端和後端 Workspace ONE UEM REST API 端點
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 內部部署:通常是您的 DS 或主控台伺服器
curl -Ivv https://<API URL>/api/mdm/ping

預期的回應是 HTTP 401 未經授權。

5
表 11. VMware Tunnel 前端和後端組態
連接埠 通訊協定 來源 目標/目的地 驗證 附註 (請參閱頁面底部的「附註」一節)
SaaS:443

內部部署:2001

HTTP 或 HTTPS VMware Tunnel 前端 AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

預期的回應為 HTTP 200 OK。

2
80 或 443 HTTP 或 HTTPS VMware Tunnel 後端和前端 Workspace ONE UEM REST API 端點
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 內部部署:通常是您的 DS 或主控台伺服器
curl -Ivv https://<API URL>/api/mdm/ping

預期的回應是 HTTP 401 未經授權。

僅在初始部署期間,VMware Tunnel 端點才需要存取 REST API 端點。

5
2010 * HTTPS VMware Tunnel 前端 VMware Tunnel 後端 使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器 3
80、443、任何 TCP HTTP、HTTPS 或 TCP VMware Tunnel 後端 內部資源 確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 4
514 * UDP VMware Tunnel Syslog 伺服器

下列幾點對於 VMware Tunnel 需求有效。

備註: * - 此連接埠可在必要時根據您的環境限制進行變更
  1. 如果使用連接埠 443,則每一應用程式通道會在連接埠 8443 上接聽。
    備註: 在相同的應用裝置上啟用 VMware TunnelContent Gateway 服務,並啟用 TLS 連接埠共用時,每項服務的 DNS 名稱都必須是唯一的。未啟用 TLS 時,這兩項服務只能使用一個 DNS 名稱,因為連接埠將會區分傳入流量。(針對 Content Gateway,如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。)
  2. VMware Tunnel 查詢 Workspace ONE UEM 主控台以進行符合性和追蹤用途。
  3. 僅供 VMware Tunnel 前端拓撲將裝置要求轉送至內部 VMware Tunnel 後端。
  4. 供使用 VMware Tunnel 的應用程式存取內部資源。
  5. VMware Tunnel 必須與 API 通訊以進行初始化。確定 REST API 與 VMware Tunnel 伺服器之間有連線存在。導覽至群組和設定 > 所有設定 > 系統 > 進階 > 站台 URL,以設定 REST API 伺服器 URL。此頁面不適用於 SaaS 客戶。SaaS 客戶的 REST API URL 通常是您的主控台或裝置服務伺服器 URL。