DMZ 型 Unified Access Gateway 應用裝置需要在前端和後端防火牆設定某些防火牆規則。在安裝期間,Unified Access Gateway 服務預設設為接聽特定網路連接埠。
DMZ 型 Unified Access Gateway 應用裝置部署通常包含兩個防火牆:
保護 DMZ 和內部網路需要面向外部網路的前端防火牆。您可以設定此防火牆允許外部網路流量到達 DMZ。
提供第二層安全性則需要位於 DMZ 與內部網路之間的後端防火牆。您可以設定此防火牆僅接受發自 DMZ 內服務的流量。
防火牆原則可嚴格控制來自 DMZ 服務的輸入通訊,進而大幅降低內部網路出現漏洞的風險。
下表列出 Unified Access Gateway 內不同服務的連接埠需求。
所有 UDP 連接埠都需要允許轉送資料包和回覆資料包。
連接埠 |
通訊協定 |
來源 |
目標 |
說明 |
---|---|---|---|---|
443 |
TCP |
網際網路 |
Unified Access Gateway |
針對 Web 流量,Horizon Client XML - API、Horizon Tunnel 和 Blast Extreme |
443 |
UDP |
網際網路 |
Unified Access Gateway |
UDP 443 會在內部轉送至 Unified Access Gateway 上 UDP 通道伺服器服務的 UDP 9443。 |
8443 |
UDP |
網際網路 |
Unified Access Gateway |
Blast Extreme (選用) |
8443 |
TCP |
網際網路 |
Unified Access Gateway |
Blast Extreme (選用) |
4172 |
TCP 與 UDP |
網際網路 |
Unified Access Gateway |
PCoIP (選用) |
443 |
TCP |
Unified Access Gateway |
Horizon 連線伺服器 |
Horizon Client XML-API、Blast extreme HTML Access、Horizon Air 主控台存取 (HACA) |
22443 |
TCP 與 UDP |
Unified Access Gateway |
桌面平台和 RDS 主機 |
Blast Extreme |
4172 |
TCP 與 UDP |
Unified Access Gateway |
桌面平台和 RDS 主機 |
PCoIP (選用) |
32111 |
TCP |
Unified Access Gateway |
桌面平台和 RDS 主機 |
USB 重新導向的架構通道 |
9427 |
TCP |
Unified Access Gateway |
桌面平台和 RDS 主機 |
MMR 和 CDR |
若要允許外部用戶端裝置連線至 DMZ 內的 Unified Access Gateway 應用裝置,前端防火牆必須允許特定連接埠上的流量。依預設,外部用戶端裝置和外部 Web 用戶端 (HTML Access) 會透過 TCP 連接埠 443 連線至 DMZ 內的 Unified Access Gateway 應用裝置。如果您使用 Blast 通訊協定,則必須在防火牆上開啟連接埠 8443,但您也可以設定 Blast 使用連接埠 443。
連接埠 |
通訊協定 |
來源 |
目標 |
說明 |
---|---|---|---|---|
443 |
TCP |
網際網路 |
Unified Access Gateway |
針對 Web 流量 |
任意 |
TCP |
Unified Access Gateway |
內部網路網站 |
任何已設定且由內部網路接聽中的自訂連接埠。例如 80、443 和 8080 等。 |
88 |
TCP |
Unified Access Gateway |
KDC 伺服器/AD 伺服器 |
如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。 |
88 |
UDP |
Unified Access Gateway |
KDC 伺服器/AD 伺服器 |
如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。 |
連接埠 |
通訊協定 |
來源 |
目標 |
說明 |
---|---|---|---|---|
9443 |
TCP |
管理員 UI |
Unified Access Gateway |
管理介面 |
連接埠 |
通訊協定 |
來源 |
目標 |
說明 |
---|---|---|---|---|
443* 或任何連接埠 > 1024 |
HTTPS |
裝置 (從網際網路和 Wi-Fi) |
Unified Access Gateway Content Gateway 端點 |
如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
443* 或任何連接埠 > 1024 |
HTTPS |
VMware AirWatch 裝置服務 |
Unified Access Gateway Content Gateway 端點 |
|
443* 或任何連接埠 > 1024 |
HTTPS |
Workspace ONE UEM 主控台 |
Unified Access Gateway Content Gateway 端點 |
如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
存放庫正在接聽的任何連接埠。 |
HTTP 或 HTTPS |
Unified Access Gateway Content Gateway 端點 |
Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 |
任何已設定且由內部網路網站接聽中的自訂連接埠。 |
137–139 和 445 |
CIFS 或 SMB |
Unified Access Gateway Content Gateway 端點 |
網路共用型存放庫 (Windows 檔案共用) |
內部網路共用 |
連接埠 |
通訊協定 |
來源 |
目標/目的地 |
說明 |
---|---|---|---|---|
443* 或任何連接埠 > 1024 |
HTTP/HTTPS |
Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) |
Unified Access Gateway Content Gateway 端點 |
如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
443* 或任何連接埠 > 1024 |
HTTPS |
裝置 (從網際網路和 Wi-Fi) |
Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) |
如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
443* 或任何連接埠 > 1024 |
TCP |
AirWatch 裝置服務 |
Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) |
如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
443* 或任何連接埠 > 1024 |
HTTPS |
Workspace ONE UEM 主控台 |
||
存放庫正在接聽的任何連接埠。 |
HTTP 或 HTTPS |
Unified Access Gateway Content Gateway 端點 |
Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 |
任何已設定且由內部網路網站接聽中的自訂連接埠。 |
443* 或任何連接埠 > 1024 |
HTTPS |
Unified Access Gateway (Content Gateway 轉送) |
Unified Access Gateway Content Gateway 端點 |
如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
137–139 和 445 |
CIFS 或 SMB |
Unified Access Gateway Content Gateway 端點 |
網路共用型存放庫 (Windows 檔案共用) |
內部網路共用 |
由於 Content Gateway 服務在 Unified Access Gateway 中會以非根使用者的身分執行,Content Gateway 無法在系統連接埠上執行,因此自訂連接埠應 > 1024。
連接埠 |
通訊協定 |
來源 |
目標/目的地 |
驗證 |
附註 (請參閱頁面底部的「附註」一節) |
---|---|---|---|---|---|
2020 * |
HTTPS |
裝置 (從網際網路和 Wi-Fi) |
VMware Tunnel 代理伺服器 |
安裝完成後請執行下列命令:netstat -tlpn | grep [Port] |
|
8443 * |
TCP |
裝置 (從網際網路和 Wi-Fi) |
VMware Tunnel 每一應用程式通道 |
安裝完成後請執行下列命令:netstat -tlpn | grep [Port] |
1 |
連接埠 |
通訊協定 |
來源 |
目標/目的地 |
驗證 |
附註 (請參閱頁面底部的「附註」一節) |
---|---|---|---|---|---|
SaaS:443 :2001 * |
HTTPS |
VMware Tunnel |
AirWatch Cloud Messaging 伺服器 |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 預期的回應為 HTTP 200 確定。 |
2 |
SaaS:443 內部部署:80 或 443 |
HTTP 或 HTTPS |
VMware Tunnel |
Workspace ONE UEM REST API 端點
|
curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 未經授權。 |
5 |
80、443、任何 TCP |
HTTP、HTTPS 或 TCP |
VMware Tunnel |
內部資源 |
確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 |
4 |
514 * |
UDP |
VMware Tunnel |
Syslog 伺服器 |
||
內部部署:2020 |
HTTPS |
Workspace ONE UEM 主控台 |
VMware Tunnel 代理伺服器 |
內部部署使用者可以使用 telnet 命令測試連線:telnet <Tunnel Proxy URL> <port> |
6 |
連接埠 |
通訊協定 |
來源 |
目標/目的地 |
驗證 |
附註 (請參閱頁面底部的「附註」一節) |
---|---|---|---|---|---|
SaaS:443 內部部署:2001 * |
TLS v1.2 |
VMware Tunnel 前端 |
AirWatch Cloud Messaging 伺服器 |
對 https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 |
2 |
8443 |
TLS v1.2 |
VMware Tunnel 前端 |
VMware Tunnel 後端 |
使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器 |
3 |
SaaS:443 內部部署:2001 |
TLS v1.2 |
VMware Tunnel 後端 |
AirWatch Cloud Messaging 伺服器 |
對 https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 |
2 |
80 或 443 |
TCP |
VMware Tunnel 後端 |
內部網站/Web 應用程式 |
4 |
|
80、443、任何 TCP |
TCP |
VMware Tunnel 後端 |
內部資源 |
4 |
|
80 或 443 |
HTTPS |
VMware Tunnel 前端和後端 |
Workspace ONE UEM REST API 端點
|
curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 未經授權。 |
5 |
連接埠 |
通訊協定 |
來源 |
目標/目的地 |
驗證 |
附註 (請參閱頁面底部的「附註」一節) |
---|---|---|---|---|---|
SaaS:443 內部部署:2001 |
HTTP 或 HTTPS |
VMware Tunnel 轉送 |
AirWatch Cloud Messaging 伺服器 |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 預期的回應為 HTTP 200 確定。 |
2 |
80 或 443 |
HTTP 或 HTTPS |
VMware Tunnel 端點和轉送 |
Workspace ONE UEM REST API 端點
|
curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 未經授權。 僅在初始部署期間,VMware Tunnel 端點才需要存取 REST API 端點。 |
5 |
2010 * |
HTTPS |
VMware Tunnel 轉送 |
VMware Tunnel 端點 |
使用 Telnet 從 VMware Tunnel 轉送連線至連接埠上的 VMware Tunnel 端點伺服器 |
3 |
80、443、任何 TCP |
HTTP、HTTPS 或 TCP |
VMware Tunnel 端點 |
內部資源 |
確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 |
4 |
514 * |
UDP |
VMware Tunnel |
Syslog 伺服器 |
||
內部部署:2020 |
HTTPS |
Workspace ONE UEM |
VMware Tunnel 代理伺服器 |
內部部署使用者可以使用 telnet 命令測試連線:telnet <Tunnel Proxy URL> <port> |
6 |
下列幾點對於 VMware Tunnel 需求有效。
* - 此連接埠可在必要時根據您的環境限制進行變更。
如果使用連接埠 443,則每一應用程式通道會在連接埠 8443 上接聽。
備註:在相同的應用裝置上啟用 VMware Tunnel 和 Content Gateway 服務,並啟用 TLS 連接埠共用時,每項服務的 DNS 名稱都必須是唯一的。未啟用 TLS 時,這兩項服務只能使用一個 DNS 名稱,因為連接埠將會區分傳入流量。(針對 Content Gateway,如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。)
供 VMware Tunnel 查詢 Workspace ONE UEM 主控台以進行符合性和追蹤用途。
僅供 VMware Tunnel 轉送拓撲將裝置要求轉送至內部 VMware Tunnel 端點。
供使用 VMware Tunnel 的應用程式存取內部資源。
VMware Tunnel 必須與 API 通訊以進行初始化。確定 REST API 與 VMware Tunnel 伺服器之間有連線存在。導覽至 ,以設定 REST API 伺服器 URL。此頁面不適用於 SaaS 客戶。SaaS 客戶的 REST API URL 通常是您的主控台或裝置服務伺服器 URL。
若要從 Workspace ONE UEM 主控台對 VMware Tunnel Proxy 成功執行「測試連線」,則必須符合此需求。此需求為選用,可以省略而不會遺失裝置的功能。針對 SaaS 客戶,Workspace ONE UEM 主控台可能已因為連接埠 2020 上的輸入網際網路需求,會在連接埠 2020 上具有 VMware Tunnel Proxy 的輸入連線。