DMZ 型 Unified Access Gateway 應用裝置需要在前端和後端防火牆設定某些防火牆規則。在安裝期間,Unified Access Gateway 服務預設設為接聽特定網路連接埠。
DMZ 型 Unified Access Gateway 應用裝置部署通常包含兩個防火牆:
- 保護 DMZ 和內部網路需要面向外部網路的前端防火牆。您可以設定此防火牆允許外部網路流量到達 DMZ。
- 提供第二層安全性則需要位於 DMZ 與內部網路之間的後端防火牆。您可以設定此防火牆僅接受發自 DMZ 內服務的流量。
防火牆原則可嚴格控制來自 DMZ 服務的輸入通訊,進而大幅降低內部網路出現漏洞的風險。
下表列出
Unified Access Gateway 內不同服務的連接埠需求。
備註: 所有 UDP 連接埠都需要允許轉送資料包和回覆資料包。
Unified Access Gateway 服務會使用 DNS 來解析主機名稱。DNS 伺服器 IP 位址可供設定。DNS 要求是在 UDP 連接埠 53 上發出的,因此,請務必確定外部防火牆不會封鎖這些要求或回覆。
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 說明 |
|---|---|---|---|---|
| 443* 或任何大於 1024 的連接埠 | HTTPS | 裝置 (從網際網路和 Wi-Fi) | Unified Access Gateway Secure Email Gateway 端點 |
Secure Email Gateway 會接聽連接埠 11443。設定 443 或任何其他連接埠時,Unified Access Gateway 會在內部將 SEG 流量路由到 11443。 |
| 443* 或任何大於 1024 的連接埠 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Secure Email Gateway 端點 |
Secure Email Gateway 會接聽連接埠 11443。設定 443 或任何其他連接埠時,Unified Access Gateway 會在內部將 SEG 流量路由到 11443。 |
| 443* 或任何大於 1024 的連接埠 | HTTPS | Email Notification Service (啟用時) | Unified Access Gateway Secure Email Gateway 端點 |
Secure Email Gateway 會接聽連接埠 11443。設定 443 或任何其他連接埠時,Unified Access Gateway 會在內部將 SEG 流量路由到 11443。 |
| 5701 | TCP | Secure Email Gateway | Secure Email Gateway | 用於 Hazelcast 分散式快取。 |
| 41232 | TLS/TCP | Secure Email Gateway | Secure Email Gateway | 用於 Vertx 叢集管理。 |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | 用於診斷和管理功能。 |
| 任意 | HTTPS | Secure Email Gateway | 電子郵件伺服器 | SEG 會連線到電子郵件伺服器的接聽程式連接埠 (通常為 443) 來處理電子郵件流量 |
| 任意 | HTTPS | Secure Email Gateway | Workspace ONE UEM API 伺服器 | SEG 會從 Workspace ONE 取得組態和原則資料。連接埠通常為 443。 |
| 88 | TCP | Secure Email Gateway | KDC 伺服器/AD 伺服器 | 啟用 KCD 驗證時,用於擷取 Kerberos 驗證權杖。 |
備註: 由於 Secure Email Gateway (SEG) 服務會以非根使用者的身分在 Unified Access Gateway 上執行,因此 SEG 無法在系統連接埠上執行。因此,自訂連接埠必須大於連接埠 1024。
| 連接埠 | 通訊協定 | 來源 | 目標 | 說明 |
|---|---|---|---|---|
| 443 | TCP | 網際網路 | Unified Access Gateway | 針對 Web 流量,Horizon Client XML - API、Horizon Tunnel 和 Blast Extreme |
| 443 | UDP | 網際網路 | Unified Access Gateway | UDP 443 會在內部轉送至 Unified Access Gateway 上 UDP 通道伺服器服務的 UDP 9443。 |
| 8443 | UDP | 網際網路 | Unified Access Gateway | Blast Extreme (選用) |
| 8443 | TCP | 網際網路 | Unified Access Gateway | Blast Extreme (選用) |
| 4172 | TCP 與 UDP | 網際網路 | Unified Access Gateway | PCoIP (選用) |
| 443 | TCP | Unified Access Gateway | Horizon 連線伺服器 | Horizon Client XML-API、Blast Extreme HTML Access |
| 22443 | TCP 與 UDP | Unified Access Gateway | 桌面平台和 RDS 主機 | Blast Extreme |
| 4172 | TCP 與 UDP | Unified Access Gateway | 桌面平台和 RDS 主機 | PCoIP (選用) |
| 32111 | TCP | Unified Access Gateway | 桌面平台和 RDS 主機 | USB 重新導向的架構通道 |
| 3389 | TCP | Unified Access Gateway | 桌面平台和 RDS 主機 | 僅在 Horizon Client 使用 RDP 通訊協定時需要。 |
| 9427 | TCP | Unified Access Gateway | 桌面平台和 RDS 主機 | MMR、CDR 和 HTML5 功能,例如,Microsoft Teams 最佳化、瀏覽器重新導向等。 |
備註: 若要允許外部用戶端裝置連線至 DMZ 內的
Unified Access Gateway 應用裝置,前端防火牆必須允許特定連接埠上的流量。依預設,外部用戶端裝置和外部 Web 用戶端 (HTML Access) 會透過 TCP 連接埠 443 連線至 DMZ 內的
Unified Access Gateway 應用裝置。如果您使用 Blast 通訊協定,則必須在防火牆上開啟連接埠 8443。如果您透過 TCP 連接埠 443 來使用 Blast,則無需在防火牆上開啟 TCP 8443。
| 連接埠 | 通訊協定 | 來源 | 目標 | 說明 |
|---|---|---|---|---|
| 443 | HTTPS | Unified Access Gateway | Workspace ONE Intelligence Server | curl -ILvv https://<api_server_hostname>/v1/device/risk_score curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials 預期的回應是 HTTP 401 未經授權。 |
| 連接埠 | 通訊協定 | 來源 | 目標 | 說明 |
|---|---|---|---|---|
| 443 | TCP | 網際網路 | Unified Access Gateway | 針對 Web 流量 |
| 任意 | TCP | Unified Access Gateway | 內部網路網站 | 任何已設定且由內部網路接聽中的自訂連接埠。例如 80、443 和 8080 等。 |
| 88 | TCP | Unified Access Gateway | KDC 伺服器/AD 伺服器 | 如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。 |
| 88 | UDP | Unified Access Gateway | KDC 伺服器/AD 伺服器 | 如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。 |
| 連接埠 | 通訊協定 | 來源 | 目標 | 說明 |
|---|---|---|---|---|
| 9443 | TCP | 管理員 UI | Unified Access Gateway | 管理介面 |
| 連接埠 | 通訊協定 | 來源 | 目標 | 說明 |
|---|---|---|---|---|
| 任何大於 1024 的連接埠或 443* | HTTPS | 裝置 (從網際網路和 Wi-Fi) | Unified Access Gateway Content Gateway 端點 | 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 任何大於 1024 的連接埠或 443* | HTTPS | Workspace ONE UEM 裝置服務 | Unified Access Gateway Content Gateway 端點 | |
| 任何大於 1024 的連接埠或 443* | HTTPS | Workspace ONE UEM 主控台 | Unified Access Gateway Content Gateway 端點 | 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 任何大於 1024 的連接埠或 443* | HTTPS | Unified Access Gateway Content Gateway 端點 | Workspace ONE UEM API 伺服器 | |
| 存放庫正在接聽的任何連接埠。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端點 | Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 | 任何已設定且由內部網路網站接聽中的自訂連接埠。 |
| 137–139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端點 | 網路共用型存放庫 (Windows 檔案共用) | 以 SMB 為基礎的存放庫 (分散式檔案系統、NFS、NetApp OnTap、Nutanix 共用、IBM 共用磁碟機) |
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 說明 |
|---|---|---|---|---|
| 任何大於 1024 的連接埠或 443* | HTTP/HTTPS | Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) | Unified Access Gateway Content Gateway 端點 | *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 任何大於 1024 的連接埠或 443* | HTTPS | 裝置 (從網際網路和 Wi-Fi) | Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) | *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 任何大於 1024 的連接埠或 443* | TCP | Workspace ONE UEM 裝置服務 | Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) | *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 任何大於 1024 的連接埠或 443* | HTTPS | Workspace ONE UEM 主控台 | Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) | *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 任何大於 1024 的連接埠或 443* | HTTPS | Unified Access Gateway Content Gateway 轉送 | Workspace ONE UEM API 伺服器 | *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 任何大於 1024 的連接埠或 443* | HTTPS | Unified Access Gateway Content Gateway 端點 | Workspace ONE UEM API 伺服器 | *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 存放庫正在接聽的任何連接埠。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端點 | Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 | 任何已設定且由內部網路網站接聽中的自訂連接埠。 |
| 任何大於 1024 的連接埠或 443* | HTTPS | Unified Access Gateway (Content Gateway 轉送) | Unified Access Gateway Content Gateway 端點 | *如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 137–139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端點 | 網路共用型存放庫 (Windows 檔案共用) | 以 SMB 為基礎的存放庫 (分散式檔案系統、NFS、NetApp OnTap、Nutanix 共用、IBM 共用磁碟機) |
備註: 由於
Content Gateway 服務在
Unified Access Gateway 中會以非根使用者的身分執行,
Content Gateway 無法在系統連接埠上執行,因此自訂連接埠應大於 1024。
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 驗證 | 附註 (請參閱頁面底部的「附註」一節) |
|---|---|---|---|---|---|
| 8443 * | TCP、UDP | 裝置 (從網際網路和 Wi-Fi) | VMware Tunnel 每一應用程式通道 | 安裝完成後請執行下列命令:netstat -tlpn | grep [Port] | 1 |
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 驗證 | 附註 (請參閱頁面底部的「附註」一節) |
|---|---|---|---|---|---|
| SaaS:443 :2001 * |
HTTPS | VMware Tunnel | AirWatch Cloud Messaging 伺服器 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
預期的回應是
HTTP 200 OK。 |
2 |
| SaaS:443 內部部署:80 或 443 |
HTTP 或 HTTPS | VMware Tunnel | Workspace ONE UEM REST API 端點
|
curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 未經授權。 |
5 |
| 80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel | 內部資源 | 確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 伺服器 |
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 驗證 | 附註 (請參閱頁面底部的「附註」一節) |
|---|---|---|---|---|---|
| SaaS:443 內部部署:2001 * |
TLS v1.2 | VMware Tunnel 前端 | AirWatch Cloud Messaging Server | 對 https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 | 2 |
| 8443 | TLS v1.2 | VMware Tunnel 前端 | VMware Tunnel 後端 | 使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器 | 3 |
| SaaS:443 內部部署:2001 |
TLS v1.2 | VMware Tunnel 後端 | Workspace ONE UEM Cloud Messaging 伺服器 | 對 https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 | 2 |
| 80 或 443 | TCP | VMware Tunnel 後端 | 內部網站/Web 應用程式 | 4 | |
| 80、443、任何 TCP | TCP | VMware Tunnel 後端 | 內部資源 | 4 | |
| 80 或 443 | HTTPS | VMware Tunnel 前端和後端 | Workspace ONE UEM REST API 端點
|
curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 未經授權。 |
5 |
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 驗證 | 附註 (請參閱頁面底部的「附註」一節) |
|---|---|---|---|---|---|
| SaaS:443 內部部署:2001 |
HTTP 或 HTTPS | VMware Tunnel 前端 | AirWatch Cloud Messaging Server | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 預期的回應為 HTTP 200 OK。 |
2 |
| 80 或 443 | HTTP 或 HTTPS | VMware Tunnel 後端和前端 | Workspace ONE UEM REST API 端點
|
curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 未經授權。 僅在初始部署期間,VMware Tunnel 端點才需要存取 REST API 端點。 |
5 |
| 2010 * | HTTPS | VMware Tunnel 前端 | VMware Tunnel 後端 | 使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器 | 3 |
| 80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel 後端 | 內部資源 | 確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 伺服器 |
下列幾點對於 VMware Tunnel 需求有效。
備註:
* - 此連接埠可在必要時根據您的環境限制進行變更
- 如果使用連接埠 443,則每一應用程式通道會在連接埠 8443 上接聽。
備註: 在相同的應用裝置上啟用 VMware Tunnel 和 Content Gateway 服務,並啟用 TLS 連接埠共用時,每項服務的 DNS 名稱都必須是唯一的。未啟用 TLS 時,這兩項服務只能使用一個 DNS 名稱,因為連接埠將會區分傳入流量。(針對 Content Gateway,如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。)
- 供 VMware Tunnel 查詢 Workspace ONE UEM Console 以進行符合性和追蹤用途。
- 僅供 VMware Tunnel 前端拓撲將裝置要求轉送至內部 VMware Tunnel 後端。
- 供使用 VMware Tunnel 的應用程式存取內部資源。
- VMware Tunnel 必須與 API 通訊以進行初始化。確定 REST API 與 VMware Tunnel 伺服器之間有連線存在。導覽至,以設定 REST API 伺服器 URL。此頁面不適用於 SaaS 客戶。SaaS 客戶的 REST API URL 通常是您的主控台或裝置服務伺服器 URL。
