DMZ 型 Unified Access Gateway 應用裝置需要在前端和後端防火牆設定某些防火牆規則。在安裝期間,Unified Access Gateway 服務預設設為接聽特定網路連接埠。

DMZ 型 Unified Access Gateway 應用裝置部署通常包含兩個防火牆:

  • 保護 DMZ 和內部網路需要面向外部網路的前端防火牆。您可以設定此防火牆允許外部網路流量到達 DMZ。

  • 提供第二層安全性則需要位於 DMZ 與內部網路之間的後端防火牆。您可以設定此防火牆僅接受發自 DMZ 內服務的流量。

防火牆原則可嚴格控制來自 DMZ 服務的輸入通訊,進而大幅降低內部網路出現漏洞的風險。

下表列出 Unified Access Gateway 內不同服務的連接埠需求。

備註:

所有 UDP 連接埠都需要允許轉送資料包和回覆資料包。

表格 1. Horizon 連線伺服器的連接埠需求

連接埠

通訊協定

來源

目標

說明

443

TCP

網際網路

Unified Access Gateway

針對 Web 流量,Horizon Client XML - API、Horizon Tunnel 和 Blast Extreme

443

UDP

網際網路

Unified Access Gateway

UDP 443 會在內部轉送至 Unified Access Gateway 上 UDP 通道伺服器服務的 UDP 9443。

8443

UDP

網際網路

Unified Access Gateway

Blast Extreme (選用)

8443

TCP

網際網路

Unified Access Gateway

Blast Extreme (選用)

4172

TCP 與 UDP

網際網路

Unified Access Gateway

PCoIP (選用)

443

TCP

Unified Access Gateway

Horizon 連線伺服器

Horizon Client XML-API、Blast extreme HTML Access、Horizon Air 主控台存取 (HACA)

22443

TCP 與 UDP

Unified Access Gateway

桌面平台和 RDS 主機

Blast Extreme

4172

TCP 與 UDP

Unified Access Gateway

桌面平台和 RDS 主機

PCoIP (選用)

32111

TCP

Unified Access Gateway

桌面平台和 RDS 主機

USB 重新導向的架構通道

9427

TCP

Unified Access Gateway

桌面平台和 RDS 主機

MMR 和 CDR

備註:

若要允許外部用戶端裝置連線至 DMZ 內的 Unified Access Gateway 應用裝置,前端防火牆必須允許特定連接埠上的流量。依預設,外部用戶端裝置和外部 Web 用戶端 (HTML Access) 會透過 TCP 連接埠 443 連線至 DMZ 內的 Unified Access Gateway 應用裝置。如果您使用 Blast 通訊協定,則必須在防火牆上開啟連接埠 8443,但您也可以設定 Blast 使用連接埠 443。

表格 2. Web Reverse Proxy 的連接埠需求

連接埠

通訊協定

來源

目標

說明

443

TCP

網際網路

Unified Access Gateway

針對 Web 流量

任意

TCP

Unified Access Gateway

內部網路網站

任何已設定且由內部網路接聽中的自訂連接埠。例如 80、443 和 8080 等。

88

TCP

Unified Access Gateway

KDC 伺服器/AD 伺服器

如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。

88

UDP

Unified Access Gateway

KDC 伺服器/AD 伺服器

如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。

表格 3. 管理員 UI 的連接埠需求

連接埠

通訊協定

來源

目標

說明

9443

TCP

管理員 UI

Unified Access Gateway

管理介面

表格 4. Content Gateway 基本端點組態的連接埠需求

連接埠

通訊協定

來源

目標

說明

443* 或任何連接埠 > 1024

HTTPS

裝置 (從網際網路和 Wi-Fi)

Unified Access Gateway Content Gateway 端點

如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。

443* 或任何連接埠 > 1024

HTTPS

VMware AirWatch 裝置服務

Unified Access Gateway Content Gateway 端點

443* 或任何連接埠 > 1024

HTTPS

Workspace ONE UEM 主控台

Unified Access Gateway Content Gateway 端點

如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。

存放庫正在接聽的任何連接埠。

HTTP 或 HTTPS

Unified Access Gateway Content Gateway 端點

Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等

任何已設定且由內部網路網站接聽中的自訂連接埠。

137–139 和 445

CIFS 或 SMB

Unified Access Gateway Content Gateway 端點

網路共用型存放庫 (Windows 檔案共用)

內部網路共用

表格 5. Content Gateway 轉送端點組態的連接埠需求

連接埠

通訊協定

來源

目標/目的地

說明

443* 或任何連接埠 > 1024

HTTP/HTTPS

Unified Access Gateway 轉送伺服器 (Content Gateway 轉送)

Unified Access Gateway Content Gateway 端點

如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。

443* 或任何連接埠 > 1024

HTTPS

裝置 (從網際網路和 Wi-Fi)

Unified Access Gateway 轉送伺服器 (Content Gateway 轉送)

如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。

443* 或任何連接埠 > 1024

TCP

AirWatch 裝置服務

Unified Access Gateway 轉送伺服器 (Content Gateway 轉送)

如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。

443* 或任何連接埠 > 1024

HTTPS

Workspace ONE UEM 主控台

存放庫正在接聽的任何連接埠。

HTTP 或 HTTPS

Unified Access Gateway Content Gateway 端點

Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等

任何已設定且由內部網路網站接聽中的自訂連接埠。

443* 或任何連接埠 > 1024

HTTPS

Unified Access Gateway (Content Gateway 轉送)

Unified Access Gateway Content Gateway 端點

如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。

137–139 和 445

CIFS 或 SMB

Unified Access Gateway Content Gateway 端點

網路共用型存放庫 (Windows 檔案共用)

內部網路共用

備註:

由於 Content Gateway 服務在 Unified Access Gateway 中會以非根使用者的身分執行,Content Gateway 無法在系統連接埠上執行,因此自訂連接埠應 > 1024。

表格 6. VMware Tunnel 的連接埠需求

連接埠

通訊協定

來源

目標/目的地

驗證

附註 (請參閱頁面底部的「附註」一節)

2020 *

HTTPS

裝置 (從網際網路和 Wi-Fi)

VMware Tunnel 代理伺服器

安裝完成後請執行下列命令:netstat -tlpn | grep [Port]

8443 *

TCP

裝置 (從網際網路和 Wi-Fi)

VMware Tunnel 每一應用程式通道

安裝完成後請執行下列命令:netstat -tlpn | grep [Port]

1

表格 7. VMware Tunnel 基本端點組態

連接埠

通訊協定

來源

目標/目的地

驗證

附註 (請參閱頁面底部的「附註」一節)

SaaS:443

:2001 *

HTTPS

VMware Tunnel

AirWatch Cloud Messaging 伺服器

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

預期的回應為 HTTP 200 確定。

2

SaaS:443

內部部署:80 或 443

HTTP 或 HTTPS

VMware Tunnel

Workspace ONE UEM REST API 端點

  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com

  • 內部部署:通常是您的 DS 或主控台伺服器

curl -Ivv https://<API URL>/api/mdm/ping

預期的回應是 HTTP 401 未經授權。

5

80、443、任何 TCP

HTTP、HTTPS 或 TCP

VMware Tunnel

內部資源

確認 VMware Tunnel 可透過必要的連接埠存取內部資源。

4

514 *

UDP

VMware Tunnel

Syslog 伺服器

內部部署:2020

HTTPS

Workspace ONE UEM 主控台

VMware Tunnel 代理伺服器

內部部署使用者可以使用 telnet 命令測試連線:telnet <Tunnel Proxy URL> <port>

6

表格 8. VMware Tunnel 階層式組態

連接埠

通訊協定

來源

目標/目的地

驗證

附註 (請參閱頁面底部的「附註」一節)

SaaS:443

內部部署:2001 *

TLS v1.2

VMware Tunnel 前端

AirWatch Cloud Messaging 伺服器

https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。

2

8443

TLS v1.2

VMware Tunnel 前端

VMware Tunnel 後端

使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器

3

SaaS:443

內部部署:2001

TLS v1.2

VMware Tunnel 後端

AirWatch Cloud Messaging 伺服器

https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。

2

80 或 443

TCP

VMware Tunnel 後端

內部網站/Web 應用程式

4

80、443、任何 TCP

TCP

VMware Tunnel 後端

內部資源

4

80 或 443

HTTPS

VMware Tunnel 前端和後端

Workspace ONE UEM REST API 端點

  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com

  • 內部部署:通常是您的 DS 或主控台伺服器

curl -Ivv https://<API URL>/api/mdm/ping

預期的回應是 HTTP 401 未經授權。

5

表格 9. VMware Tunnel 轉送端點組態

連接埠

通訊協定

來源

目標/目的地

驗證

附註 (請參閱頁面底部的「附註」一節)

SaaS:443

內部部署:2001

HTTP 或 HTTPS

VMware Tunnel 轉送

AirWatch Cloud Messaging 伺服器

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

預期的回應為 HTTP 200 確定。

2

80 或 443

HTTP 或 HTTPS

VMware Tunnel 端點和轉送

Workspace ONE UEM REST API 端點

  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com

  • 內部部署:通常是您的 DS 或主控台伺服器

curl -Ivv https://<API URL>/api/mdm/ping

預期的回應是 HTTP 401 未經授權。

僅在初始部署期間,VMware Tunnel 端點才需要存取 REST API 端點。

5

2010 *

HTTPS

VMware Tunnel 轉送

VMware Tunnel 端點

使用 Telnet 從 VMware Tunnel 轉送連線至連接埠上的 VMware Tunnel 端點伺服器

3

80、443、任何 TCP

HTTP、HTTPS 或 TCP

VMware Tunnel 端點

內部資源

確認 VMware Tunnel 可透過必要的連接埠存取內部資源。

4

514 *

UDP

VMware Tunnel

Syslog 伺服器

內部部署:2020

HTTPS

Workspace ONE UEM

VMware Tunnel 代理伺服器

內部部署使用者可以使用 telnet 命令測試連線:telnet <Tunnel Proxy URL> <port>

6

備註:

下列幾點對於 VMware Tunnel 需求有效。

* - 此連接埠可在必要時根據您的環境限制進行變更。

  1. 如果使用連接埠 443,則每一應用程式通道會在連接埠 8443 上接聽。

    備註:

    在相同的應用裝置上啟用 VMware TunnelContent Gateway 服務,並啟用 TLS 連接埠共用時,每項服務的 DNS 名稱都必須是唯一的。未啟用 TLS 時,這兩項服務只能使用一個 DNS 名稱,因為連接埠將會區分傳入流量。(針對 Content Gateway,如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。)

  2. VMware Tunnel 查詢 Workspace ONE UEM 主控台以進行符合性和追蹤用途。

  3. 僅供 VMware Tunnel 轉送拓撲將裝置要求轉送至內部 VMware Tunnel 端點。

  4. 供使用 VMware Tunnel 的應用程式存取內部資源。

  5. VMware Tunnel 必須與 API 通訊以進行初始化。確定 REST API 與 VMware Tunnel 伺服器之間有連線存在。導覽至群組和設定 > 所有設定 > 系統 > 進階 > 站台 URL,以設定 REST API 伺服器 URL。此頁面不適用於 SaaS 客戶。SaaS 客戶的 REST API URL 通常是您的主控台或裝置服務伺服器 URL。

  6. 若要從 Workspace ONE UEM 主控台對 VMware Tunnel Proxy 成功執行「測試連線」,則必須符合此需求。此需求為選用,可以省略而不會遺失裝置的功能。針對 SaaS 客戶,Workspace ONE UEM 主控台可能已因為連接埠 2020 上的輸入網際網路需求,會在連接埠 2020 上具有 VMware Tunnel Proxy 的輸入連線。