DMZ 型 Unified Access Gateway 應用裝置需要在前端和後端防火牆設定某些防火牆規則。在安裝期間,Unified Access Gateway 服務預設設為接聽特定網路連接埠。

DMZ 型 Unified Access Gateway 應用裝置部署通常包含兩個防火牆:

  • 保護 DMZ 和內部網路需要面向外部網路的前端防火牆。您可以設定此防火牆允許外部網路流量到達 DMZ。
  • 提供第二層安全性則需要位於 DMZ 與內部網路之間的後端防火牆。您可以設定此防火牆僅接受發自 DMZ 內服務的流量。

防火牆原則可嚴格控制來自 DMZ 服務的輸入通訊,進而大幅降低內部網路出現漏洞的風險。

下表列出 Unified Access Gateway 內不同服務的連接埠需求。
備註: 所有 UDP 連接埠都需要允許轉送資料包和回覆資料包。
表 1. Secure Email Gateway 的連接埠需求
連接埠 通訊協定 來源 目標/目的地 說明
443* 或任何大於 1024 的連接埠 HTTPS 裝置 (從網際網路和 Wi-Fi)

Unified Access Gateway

Secure Email Gateway 端點

Secure Email Gateway 會接聽連接埠 11443
443* 或任何大於 1024 的連接埠 HTTPS Workspace ONE UEM Console

Unified Access Gateway

Secure Email Gateway 端點

Secure Email Gateway 會接聽連接埠 11443
443* 或任何大於 1024 的連接埠 HTTPS Email Notification Service (啟用時)

Unified Access Gateway

Secure Email Gateway 端點

Secure Email Gateway 會接聽連接埠 11443
5701 HTTP Secure Email Gateway Secure Email Gateway 用於 Hazelcast 分散式快取
41232 HTTPS Secure Email Gateway Secure Email Gateway 用於 Vertx 叢集管理
44444 HTTPS Secure Email Gateway Secure Email Gateway 用於診斷和管理功能
備註: 由於 Secure Email Gateway (SEG) 服務會以非根使用者的身分在 Unified Access Gateway 上執行,因此 SEG 無法在系統連接埠上執行。因此,自訂連接埠必須大於連接埠 1024。
表 2. Horizon 的連接埠需求
連接埠 通訊協定 來源 目標 說明
443 TCP 網際網路 Unified Access Gateway 針對 Web 流量,Horizon Client XML - API、Horizon Tunnel 和 Blast Extreme
443 UDP 網際網路 Unified Access Gateway UDP 443 會在內部轉送至 Unified Access Gateway 上 UDP 通道伺服器服務的 UDP 9443。
8443 UDP 網際網路 Unified Access Gateway Blast Extreme (選用)
8443 TCP 網際網路 Unified Access Gateway Blast Extreme (選用)
4172 TCP 與 UDP 網際網路 Unified Access Gateway PCoIP (選用)
443 TCP Unified Access Gateway Horizon 連線伺服器 Horizon Client XML-API、Blast extreme HTML Access、Horizon Air 主控台存取 (HACA)
22443 TCP 與 UDP Unified Access Gateway 桌面平台和 RDS 主機 Blast Extreme
4172 TCP 與 UDP Unified Access Gateway 桌面平台和 RDS 主機 PCoIP (選用)
32111 TCP Unified Access Gateway 桌面平台和 RDS 主機 USB 重新導向的架構通道
3389 TCP Unified Access Gateway 桌面平台和 RDS 主機 僅在 Horizon Client 使用 RDP 通訊協定時需要。
9427 TCP Unified Access Gateway 桌面平台和 RDS 主機 MMR 和 CDR
備註: 若要允許外部用戶端裝置連線至 DMZ 內的 Unified Access Gateway 應用裝置,前端防火牆必須允許特定連接埠上的流量。依預設,外部用戶端裝置和外部 Web 用戶端 (HTML Access) 會透過 TCP 連接埠 443 連線至 DMZ 內的 Unified Access Gateway 應用裝置。如果您使用 Blast 通訊協定,則必須在防火牆上開啟連接埠 8443,但您也可以設定 Blast 使用連接埠 443。
表 3. Web 反向 Proxy 的連接埠需求
連接埠 通訊協定 來源 目標 說明
443 TCP 網際網路 Unified Access Gateway 針對 Web 流量
任意 TCP Unified Access Gateway 內部網路網站 任何已設定且由內部網路接聽中的自訂連接埠。例如 80、443 和 8080 等。
88 TCP Unified Access Gateway KDC 伺服器/AD 伺服器 如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。
88 UDP Unified Access Gateway KDC 伺服器/AD 伺服器 如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。
表 4. 管理員 UI 的連接埠需求
連接埠 通訊協定 來源 目標 說明
9443 TCP 管理員 UI Unified Access Gateway 管理介面
表 5. Content Gateway 基本端點組態的連接埠需求
連接埠 通訊協定 來源 目標 說明
443* 或任何連接埠 > 1024 HTTPS 裝置 (從網際網路和 Wi-Fi) Unified Access Gateway Content Gateway 端點 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
443* 或任何連接埠 > 1024 HTTPS Workspace ONE UEM 裝置服務 Unified Access Gateway Content Gateway 端點
443* 或任何連接埠 > 1024 HTTPS Workspace ONE UEM 主控台 Unified Access Gateway Content Gateway 端點 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
443* 或任何連接埠 > 1024 HTTPS Unified Access Gateway Content Gateway 端點 Workspace ONE UEM API Server
存放庫正在接聽的任何連接埠。 HTTP 或 HTTPS Unified Access Gateway Content Gateway 端點 Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 任何已設定且由內部網路網站接聽中的自訂連接埠。
137–139 和 445 CIFS 或 SMB Unified Access Gateway Content Gateway 端點 網路共用型存放庫 (Windows 檔案共用) 內部網路共用
表 6. Content Gateway 轉送端點組態的連接埠需求
連接埠 通訊協定 來源 目標/目的地 說明
443* 或任何連接埠 > 1024 HTTP/HTTPS Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) Unified Access Gateway Content Gateway 端點 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
443* 或任何連接埠 > 1024 HTTPS 裝置 (從網際網路和 Wi-Fi) Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
443* 或任何連接埠 > 1024 TCP Workspace ONE UEM 裝置服務 Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
443* 或任何連接埠 > 1024 HTTPS Workspace ONE UEM Console
443* 或任何連接埠 > 1024 HTTPS Unified Access Gateway Content Gateway 轉送 Workspace ONE UEM API 伺服器
443* 或任何連接埠 > 1024 HTTPS Unified Access Gateway Content Gateway 端點 Workspace ONE UEM API 伺服器
存放庫正在接聽的任何連接埠。 HTTP 或 HTTPS Unified Access Gateway Content Gateway 端點 Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 任何已設定且由內部網路網站接聽中的自訂連接埠。
443* 或任何連接埠 > 1024 HTTPS Unified Access Gateway (Content Gateway 轉送) Unified Access Gateway Content Gateway 端點 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。
137–139 和 445 CIFS 或 SMB Unified Access Gateway Content Gateway 端點 網路共用型存放庫 (Windows 檔案共用) 內部網路共用
備註: 由於 Content Gateway 服務在 Unified Access Gateway 中會以非根使用者的身分執行, Content Gateway 無法在系統連接埠上執行,因此自訂連接埠應 > 1024。
表 7. VMware Tunnel 的連接埠需求
連接埠 通訊協定 來源 目標/目的地 驗證 附註 (請參閱頁面底部的「附註」一節)
2020 * HTTPS 裝置 (從網際網路和 Wi-Fi) VMware Tunnel 代理伺服器 安裝完成後請執行下列命令:netstat -tlpn | grep [Port]
8443 * TCP、UDP 裝置 (從網際網路和 Wi-Fi) VMware Tunnel 每一應用程式通道 安裝完成後請執行下列命令:netstat -tlpn | grep [Port] 1
表 8. VMware Tunnel 基本端點組態
連接埠 通訊協定 來源 目標/目的地 驗證 附註 (請參閱頁面底部的「附註」一節)
SaaS:443

:2001 *

HTTPS VMware Tunnel Workspace ONE UEM Cloud Messaging 伺服器 curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

預期的回應為 HTTP 200 確定。

2
SaaS:443

內部部署:80 或 443

HTTP 或 HTTPS VMware Tunnel Workspace ONE UEM REST API 端點
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 內部部署:通常是您的 DS 或主控台伺服器
curl -Ivv https://<API URL>/api/mdm/ping

預期的回應是 HTTP 401 未經授權。

5
80、443、任何 TCP HTTP、HTTPS 或 TCP VMware Tunnel 內部資源 確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 4
514 * UDP VMware Tunnel Syslog 伺服器
內部部署:2020 HTTPS Workspace ONE UEM 主控台 VMware Tunnel 代理伺服器 內部部署使用者可以使用 telnet 命令測試連線:telnet <Tunnel Proxy URL> <port> 6
表 9. VMware Tunnel 階層式組態
連接埠 通訊協定 來源 目標/目的地 驗證 附註 (請參閱頁面底部的「附註」一節)
SaaS:443

內部部署:2001 *

TLS v1.2 VMware Tunnel 前端 Workspace ONE UEM Cloud Messaging 伺服器 https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 2
8443 TLS v1.2 VMware Tunnel 前端 VMware Tunnel 後端 使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器 3
SaaS:443

內部部署:2001

TLS v1.2 VMware Tunnel 後端 Workspace ONE UEM Cloud Messaging 伺服器 https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 2
80 或 443 TCP VMware Tunnel 後端 內部網站/Web 應用程式 4
80、443、任何 TCP TCP VMware Tunnel 後端 內部資源 4
80 或 443 HTTPS VMware Tunnel 前端和後端 Workspace ONE UEM REST API 端點
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 內部部署:通常是您的 DS 或主控台伺服器
curl -Ivv https://<API URL>/api/mdm/ping

預期的回應是 HTTP 401 未經授權。

5
表 10. VMware Tunnel 前端和後端組態
連接埠 通訊協定 來源 目標/目的地 驗證 附註 (請參閱頁面底部的「附註」一節)
SaaS:443

內部部署:2001

HTTP 或 HTTPS VMware Tunnel 前端 Workspace ONE UEM Cloud Messaging 伺服器 curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

預期的回應為 HTTP 200 確定。

2
80 或 443 HTTP 或 HTTPS VMware Tunnel 後端和前端 Workspace ONE UEM REST API 端點
  • SaaS:https://asXXX.awmdm. comhttps://asXXX. airwatchportals.com
  • 內部部署:通常是您的 DS 或主控台伺服器
curl -Ivv https://<API URL>/api/mdm/ping

預期的回應是 HTTP 401 未經授權。

僅在初始部署期間,VMware Tunnel 端點才需要存取 REST API 端點。

5
2010 * HTTPS VMware Tunnel 前端 VMware Tunnel 後端 使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器 3
80、443、任何 TCP HTTP、HTTPS 或 TCP VMware Tunnel 後端 內部資源 確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 4
514 * UDP VMware Tunnel Syslog 伺服器
內部部署:2020 HTTPS Workspace ONE UEM VMware Tunnel 代理伺服器 內部部署使用者可以使用 telnet 命令測試連線:telnet <Tunnel Proxy URL> <port> 6

下列幾點對於 VMware Tunnel 需求有效。

備註: * - 此連接埠可在必要時根據您的環境限制進行變更
  1. 如果使用連接埠 443,則每一應用程式通道會在連接埠 8443 上接聽。
    備註: 在相同的應用裝置上啟用 VMware TunnelContent Gateway 服務,並啟用 TLS 連接埠共用時,每項服務的 DNS 名稱都必須是唯一的。未啟用 TLS 時,這兩項服務只能使用一個 DNS 名稱,因為連接埠將會區分傳入流量。(針對 Content Gateway,如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。)
  2. VMware Tunnel 查詢 Workspace ONE UEM 主控台以進行符合性和追蹤用途。
  3. 僅供 VMware Tunnel 前端拓撲將裝置要求轉送至內部 VMware Tunnel 後端。
  4. 供使用 VMware Tunnel 的應用程式存取內部資源。
  5. VMware Tunnel 必須與 API 通訊以進行初始化。確定 REST API 與 VMware Tunnel 伺服器之間有連線存在。導覽至群組和設定 > 所有設定 > 系統 > 進階 > 站台 URL,以設定 REST API 伺服器 URL。此頁面不適用於 SaaS 客戶。SaaS 客戶的 REST API URL 通常是您的主控台或裝置服務伺服器 URL。
  6. 若要從 Workspace ONE UEM 主控台對 VMware Tunnel Proxy 成功執行「測試連線」,則必須符合此需求。此需求為選用,可以省略而不會遺失裝置的功能。針對 SaaS 客戶,Workspace ONE UEM 主控台可能已因為連接埠 2020 上的輸入網際網路需求,會在連接埠 2020 上具有 VMware Tunnel Proxy 的輸入連線。