DMZ 型 Unified Access Gateway 應用裝置需要在前端和後端防火牆設定某些防火牆規則。在安裝期間,Unified Access Gateway 服務預設設為接聽特定網路連接埠。
DMZ 型 Unified Access Gateway 應用裝置部署通常包含兩個防火牆:
- 保護 DMZ 和內部網路需要面向外部網路的前端防火牆。您可以設定此防火牆允許外部網路流量到達 DMZ。
- 提供第二層安全性則需要位於 DMZ 與內部網路之間的後端防火牆。您可以設定此防火牆僅接受發自 DMZ 內服務的流量。
防火牆原則可嚴格控制來自 DMZ 服務的輸入通訊,進而大幅降低內部網路出現漏洞的風險。
下表列出
Unified Access Gateway 內不同服務的連接埠需求。
備註: 所有 UDP 連接埠都需要允許轉送資料包和回覆資料包。
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 說明 |
|---|---|---|---|---|
| 443* 或任何大於 1024 的連接埠 | HTTPS | 裝置 (從網際網路和 Wi-Fi) | Unified Access Gateway Secure Email Gateway 端點 |
Secure Email Gateway 會接聽連接埠 11443 |
| 443* 或任何大於 1024 的連接埠 | HTTPS | Workspace ONE UEM Console | Unified Access Gateway Secure Email Gateway 端點 |
Secure Email Gateway 會接聽連接埠 11443 |
| 443* 或任何大於 1024 的連接埠 | HTTPS | Email Notification Service (啟用時) | Unified Access Gateway Secure Email Gateway 端點 |
Secure Email Gateway 會接聽連接埠 11443 |
| 5701 | HTTP | Secure Email Gateway | Secure Email Gateway | 用於 Hazelcast 分散式快取 |
| 41232 | HTTPS | Secure Email Gateway | Secure Email Gateway | 用於 Vertx 叢集管理 |
| 44444 | HTTPS | Secure Email Gateway | Secure Email Gateway | 用於診斷和管理功能 |
備註: 由於 Secure Email Gateway (SEG) 服務會以非根使用者的身分在 Unified Access Gateway 上執行,因此 SEG 無法在系統連接埠上執行。因此,自訂連接埠必須大於連接埠 1024。
| 連接埠 | 通訊協定 | 來源 | 目標 | 說明 |
|---|---|---|---|---|
| 443 | TCP | 網際網路 | Unified Access Gateway | 針對 Web 流量,Horizon Client XML - API、Horizon Tunnel 和 Blast Extreme |
| 443 | UDP | 網際網路 | Unified Access Gateway | UDP 443 會在內部轉送至 Unified Access Gateway 上 UDP 通道伺服器服務的 UDP 9443。 |
| 8443 | UDP | 網際網路 | Unified Access Gateway | Blast Extreme (選用) |
| 8443 | TCP | 網際網路 | Unified Access Gateway | Blast Extreme (選用) |
| 4172 | TCP 與 UDP | 網際網路 | Unified Access Gateway | PCoIP (選用) |
| 443 | TCP | Unified Access Gateway | Horizon 連線伺服器 | Horizon Client XML-API、Blast extreme HTML Access、Horizon Air 主控台存取 (HACA) |
| 22443 | TCP 與 UDP | Unified Access Gateway | 桌面平台和 RDS 主機 | Blast Extreme |
| 4172 | TCP 與 UDP | Unified Access Gateway | 桌面平台和 RDS 主機 | PCoIP (選用) |
| 32111 | TCP | Unified Access Gateway | 桌面平台和 RDS 主機 | USB 重新導向的架構通道 |
| 3389 | TCP | Unified Access Gateway | 桌面平台和 RDS 主機 | 僅在 Horizon Client 使用 RDP 通訊協定時需要。 |
| 9427 | TCP | Unified Access Gateway | 桌面平台和 RDS 主機 | MMR 和 CDR |
備註: 若要允許外部用戶端裝置連線至 DMZ 內的
Unified Access Gateway 應用裝置,前端防火牆必須允許特定連接埠上的流量。依預設,外部用戶端裝置和外部 Web 用戶端 (HTML Access) 會透過 TCP 連接埠 443 連線至 DMZ 內的
Unified Access Gateway 應用裝置。如果您使用 Blast 通訊協定,則必須在防火牆上開啟連接埠 8443,但您也可以設定 Blast 使用連接埠 443。
| 連接埠 | 通訊協定 | 來源 | 目標 | 說明 |
|---|---|---|---|---|
| 443 | TCP | 網際網路 | Unified Access Gateway | 針對 Web 流量 |
| 任意 | TCP | Unified Access Gateway | 內部網路網站 | 任何已設定且由內部網路接聽中的自訂連接埠。例如 80、443 和 8080 等。 |
| 88 | TCP | Unified Access Gateway | KDC 伺服器/AD 伺服器 | 如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。 |
| 88 | UDP | Unified Access Gateway | KDC 伺服器/AD 伺服器 | 如果設定了對 Kerberos 的 SAML/對 Kerberos 的憑證,則需要身分識別橋接以存取 AD。 |
| 連接埠 | 通訊協定 | 來源 | 目標 | 說明 |
|---|---|---|---|---|
| 9443 | TCP | 管理員 UI | Unified Access Gateway | 管理介面 |
| 連接埠 | 通訊協定 | 來源 | 目標 | 說明 |
|---|---|---|---|---|
| 443* 或任何連接埠 > 1024 | HTTPS | 裝置 (從網際網路和 Wi-Fi) | Unified Access Gateway Content Gateway 端點 | 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 443* 或任何連接埠 > 1024 | HTTPS | Workspace ONE UEM 裝置服務 | Unified Access Gateway Content Gateway 端點 | |
| 443* 或任何連接埠 > 1024 | HTTPS | Workspace ONE UEM 主控台 | Unified Access Gateway Content Gateway 端點 | 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 443* 或任何連接埠 > 1024 | HTTPS | Unified Access Gateway Content Gateway 端點 | Workspace ONE UEM API Server | |
| 存放庫正在接聽的任何連接埠。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端點 | Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 | 任何已設定且由內部網路網站接聽中的自訂連接埠。 |
| 137–139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端點 | 網路共用型存放庫 (Windows 檔案共用) | 內部網路共用 |
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 說明 |
|---|---|---|---|---|
| 443* 或任何連接埠 > 1024 | HTTP/HTTPS | Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) | Unified Access Gateway Content Gateway 端點 | 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 443* 或任何連接埠 > 1024 | HTTPS | 裝置 (從網際網路和 Wi-Fi) | Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) | 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 443* 或任何連接埠 > 1024 | TCP | Workspace ONE UEM 裝置服務 | Unified Access Gateway 轉送伺服器 (Content Gateway 轉送) | 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 443* 或任何連接埠 > 1024 | HTTPS | Workspace ONE UEM Console | ||
| 443* 或任何連接埠 > 1024 | HTTPS | Unified Access Gateway Content Gateway 轉送 | Workspace ONE UEM API 伺服器 | |
| 443* 或任何連接埠 > 1024 | HTTPS | Unified Access Gateway Content Gateway 端點 | Workspace ONE UEM API 伺服器 | |
| 存放庫正在接聽的任何連接埠。 | HTTP 或 HTTPS | Unified Access Gateway Content Gateway 端點 | Web 型內容存放庫,例如 SharePoint/WebDAV/CMIS 等 | 任何已設定且由內部網路網站接聽中的自訂連接埠。 |
| 443* 或任何連接埠 > 1024 | HTTPS | Unified Access Gateway (Content Gateway 轉送) | Unified Access Gateway Content Gateway 端點 | 如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。 |
| 137–139 和 445 | CIFS 或 SMB | Unified Access Gateway Content Gateway 端點 | 網路共用型存放庫 (Windows 檔案共用) | 內部網路共用 |
備註: 由於
Content Gateway 服務在
Unified Access Gateway 中會以非根使用者的身分執行,
Content Gateway 無法在系統連接埠上執行,因此自訂連接埠應 > 1024。
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 驗證 | 附註 (請參閱頁面底部的「附註」一節) |
|---|---|---|---|---|---|
| 2020 * | HTTPS | 裝置 (從網際網路和 Wi-Fi) | VMware Tunnel 代理伺服器 | 安裝完成後請執行下列命令:netstat -tlpn | grep [Port] | |
| 8443 * | TCP、UDP | 裝置 (從網際網路和 Wi-Fi) | VMware Tunnel 每一應用程式通道 | 安裝完成後請執行下列命令:netstat -tlpn | grep [Port] | 1 |
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 驗證 | 附註 (請參閱頁面底部的「附註」一節) |
|---|---|---|---|---|---|
| SaaS:443 :2001 * |
HTTPS | VMware Tunnel | Workspace ONE UEM Cloud Messaging 伺服器 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 預期的回應為 HTTP 200 確定。 |
2 |
| SaaS:443 內部部署:80 或 443 |
HTTP 或 HTTPS | VMware Tunnel | Workspace ONE UEM REST API 端點
|
curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 未經授權。 |
5 |
| 80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel | 內部資源 | 確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 伺服器 | ||
| 內部部署:2020 | HTTPS | Workspace ONE UEM 主控台 | VMware Tunnel 代理伺服器 | 內部部署使用者可以使用 telnet 命令測試連線:telnet <Tunnel Proxy URL> <port> | 6 |
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 驗證 | 附註 (請參閱頁面底部的「附註」一節) |
|---|---|---|---|---|---|
| SaaS:443 內部部署:2001 * |
TLS v1.2 | VMware Tunnel 前端 | Workspace ONE UEM Cloud Messaging 伺服器 | 對 https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 | 2 |
| 8443 | TLS v1.2 | VMware Tunnel 前端 | VMware Tunnel 後端 | 使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器 | 3 |
| SaaS:443 內部部署:2001 |
TLS v1.2 | VMware Tunnel 後端 | Workspace ONE UEM Cloud Messaging 伺服器 | 對 https://<AWCM URL>:<port>/awcm/status 使用 wget,並確定您收到 HTTP 200 回應以進行驗證。 | 2 |
| 80 或 443 | TCP | VMware Tunnel 後端 | 內部網站/Web 應用程式 | 4 | |
| 80、443、任何 TCP | TCP | VMware Tunnel 後端 | 內部資源 | 4 | |
| 80 或 443 | HTTPS | VMware Tunnel 前端和後端 | Workspace ONE UEM REST API 端點
|
curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 未經授權。 |
5 |
| 連接埠 | 通訊協定 | 來源 | 目標/目的地 | 驗證 | 附註 (請參閱頁面底部的「附註」一節) |
|---|---|---|---|---|---|
| SaaS:443 內部部署:2001 |
HTTP 或 HTTPS | VMware Tunnel 前端 | Workspace ONE UEM Cloud Messaging 伺服器 | curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 預期的回應為 HTTP 200 確定。 |
2 |
| 80 或 443 | HTTP 或 HTTPS | VMware Tunnel 後端和前端 | Workspace ONE UEM REST API 端點
|
curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 未經授權。 僅在初始部署期間,VMware Tunnel 端點才需要存取 REST API 端點。 |
5 |
| 2010 * | HTTPS | VMware Tunnel 前端 | VMware Tunnel 後端 | 使用 Telnet 從 VMware Tunnel 前端連線至連接埠上的 VMware Tunnel 後端伺服器 | 3 |
| 80、443、任何 TCP | HTTP、HTTPS 或 TCP | VMware Tunnel 後端 | 內部資源 | 確認 VMware Tunnel 可透過必要的連接埠存取內部資源。 | 4 |
| 514 * | UDP | VMware Tunnel | Syslog 伺服器 | ||
| 內部部署:2020 | HTTPS | Workspace ONE UEM | VMware Tunnel 代理伺服器 | 內部部署使用者可以使用 telnet 命令測試連線:telnet <Tunnel Proxy URL> <port> | 6 |
下列幾點對於 VMware Tunnel 需求有效。
備註:
* - 此連接埠可在必要時根據您的環境限制進行變更
- 如果使用連接埠 443,則每一應用程式通道會在連接埠 8443 上接聽。
備註: 在相同的應用裝置上啟用 VMware Tunnel 和 Content Gateway 服務,並啟用 TLS 連接埠共用時,每項服務的 DNS 名稱都必須是唯一的。未啟用 TLS 時,這兩項服務只能使用一個 DNS 名稱,因為連接埠將會區分傳入流量。(針對 Content Gateway,如果使用 443,則 Content Gateway 會在連接埠 10443 上接聽。)
- 供 VMware Tunnel 查詢 Workspace ONE UEM 主控台以進行符合性和追蹤用途。
- 僅供 VMware Tunnel 前端拓撲將裝置要求轉送至內部 VMware Tunnel 後端。
- 供使用 VMware Tunnel 的應用程式存取內部資源。
- VMware Tunnel 必須與 API 通訊以進行初始化。確定 REST API 與 VMware Tunnel 伺服器之間有連線存在。導覽至,以設定 REST API 伺服器 URL。此頁面不適用於 SaaS 客戶。SaaS 客戶的 REST API URL 通常是您的主控台或裝置服務伺服器 URL。
-
若要從 Workspace ONE UEM 主控台對 VMware Tunnel Proxy 成功執行「測試連線」,則必須符合此需求。此需求為選用,可以省略而不會遺失裝置的功能。針對 SaaS 客戶,Workspace ONE UEM 主控台可能已因為連接埠 2020 上的輸入網際網路需求,會在連接埠 2020 上具有 VMware Tunnel Proxy 的輸入連線。
