Einleitung
In diesem Dokument werden die Ports beschrieben, die für den Betrieb der Cisco Secure Web Appliance (SWA) offen sein müssen.
Voraussetzungen
Allgemeine Kenntnisse des Transmission Control Protocol/Internet Protocol (TCP/IP).
Kenntnis der Unterschiede und Verhaltensweisen beim Transmission Control Protocol (TCP) und User Datagram Protocol (UDP)
Firewall-Regeln
In der Tabelle sind mögliche Ports aufgeführt, die zum ordnungsgemäßen Betrieb der Cisco SWA geöffnet werden müssen.
Hinweis: Portnummern sind alle Standardwerte. Wenn eine dieser Werte geändert wurde, berücksichtigen Sie den neuen Wert.
Standard-Port |
Protokolle |
Ein-/Ausgehend |
Host-Name |
Zweck |
20 21 |
TCP |
InBound oder OutBound |
AsyncOS Management-IP. (eingehend) FTP-Server (ausgehend) |
File Transfer Protocol (FTP) für die Aggregation von Protokolldateien. Datenports TCP 1024 und höher muss auch offen sein |
22 |
TCP |
InBound |
AsyncOS Management-IP |
Zugang zum Secure Shell Protocol (SSH), Aggregation von Protokolldateien |
22 |
TCP |
OutBound |
SSH-Server |
SSH-Aggregation von Protokolldateien. Secure Copy Protocol (SCP)-Push an Protokollserver. |
25 |
TCP |
OutBound |
Simple Mail Transfer Protocol (SMTP) Server-IP |
Benachrichtigungen per E-Mail senden |
53 |
UDP |
OutBound |
DNS-Server (Domain Name System) |
DNS, falls für die Verwendung des Internets konfiguriert Stammserver oder andere DNS-Server außerhalb der Firewall. Auch für SenderBase-Abfragen. |
8080 |
TCP |
InBound |
AsyncOS Management-IP-Adresse |
Hypertext Transfer Protocol (HTTP)-Zugriff auf die grafische Benutzeroberfläche (GUI) |
8443 |
TCP |
InBound |
AsyncOS Management-IP-Adresse |
HTTP-Zugriff (Hypertext Transfer Protocol Secure) auf GUI |
80 443 |
TCP |
OutBound |
downloads.ironport.com |
McAfee-Definitionen |
80 443 |
TCP |
OutBound |
updates.ironport.com |
AsyncOS-Upgrades und McAfee-Definitionen |
88 |
TCP und UDP |
OutBound |
Kerberos Key Distribution Center (KDC)/Active Directory-Domänenserver |
Kerberos-Authentifizierung |
88 |
UDP |
InBound |
Kerberos Key Distribution Center (KDC)/Active Directory-Domänenserver |
Kerberos-Authentifizierung |
445 |
TCP |
OutBound |
Microsoft SMB |
Active Directory-Authentifizierungsbereich (NTLMSSP und Basic) |
389 |
TCP und UDP |
OutBound |
LDAP-Server (Lightweight Directory Access Protocol) |
LDAP-Authentifizierung |
3268 |
TCP |
OutBound |
Globaler LDAP-Katalog (GC) |
LDAP-GC |
636 |
TCP |
OutBound |
LDAP über Secure Sockets Layer (SSL) |
LDAP-SSL |
3269 |
TCP |
OutBound |
LDAP GC über SSL |
LDAP-GC-SSL |
135 |
TCP |
InBound und OutBound |
Endpunktauflösung - Port Mapper Fester Net Log-on-Port |
Endpunktauflösung |
161 162 |
UDP |
OutBound |
Simple Network Management Protocol (SNMP)-Server |
SNMP-Abfragen |
161 |
UDP |
InBound |
AsyncOS Management-IP |
SNMP-Traps |
123 |
UDP |
OutBound |
Network Time Protocol (NTP)-Server |
NTP-Zeitsynchronisierung |
443 |
TCP |
OutBound |
update-manifests.ironport.com |
Abrufen der Liste der neuesten Dateien vom Update-Server (für physische Hardware) |
443 |
TCP |
OutBound |
update-manifests.sco.cisco.com |
Abrufen der Liste der neuesten Dateien vom Update-Server (für virtuelle Hardware) |
443 |
TCP |
OutBound |
regsvc.sco.cisco.com est.sco.cisco.com updates-talos.sco.cisco.com updates.ironport.com serviceconfig.talos.cisco.com grpc.talos.cisco.com IPv4 146.112.62.0/24 146.112.63.0/24 146.112.255.0/24 146.112.59.0/24 IPv6 2a04:e4c7:ffff::/48 2a04:e4c7:fffe::/48 |
Cisco Talos Intelligence Services Abrufen von URL-Kategorie- und Reputationsdaten |
443 |
TCP |
OutBound |
cloud-sa.amp.cisco.com cloud-sa.amp.sourcefire.com cloud-sa.eu.amp.cisco.com |
Advanced Malware Protection (AMP) Public Cloud |
443 |
TCP |
OutBound |
panacea.threatgrid.com panacea.bedrohgrid.eu |
Für Secure Malware Analytics-Portal und integrierte Geräte |
80 3128 |
TCP |
InBound |
Proxy-Clients |
Verbindung der Standard-Clients mit dem HTTP/HTTPS-Proxy |
80 443 |
TCP |
OutBound |
Default gateway (Standardgateway) |
HTTP- und HTTPS-Proxy-Datenverkehr ausgehend |
514 |
UDP |
OutBound |
Syslog-Server |
Syslog-Server zum Erfassen von Protokollen |
990 |
TCP |
OutBound |
cxd.cisco.com |
So laden Sie die Debug-Protokolle hoch, die erfasst vom Cisco Technical Assistance Collaborative (TAC). File Transfer Protocol über SSL (FTPS) implizit. |
21 |
TCP |
OutBound |
cxd.cisco.com |
So laden Sie die Debug-Protokolle hoch, die vom Cisco TAC abgeholt. FTPS Explizit oder FTP |
443 |
TCP |
OutBound |
cxd.cisco.com |
So laden Sie die Debug-Protokolle hoch, die erfasst von Cisco TAC über HTTPS |
22 |
TCP |
OutBound |
cxd.cisco.com |
So laden Sie die Debug-Protokolle hoch, die vom Cisco TAC über SCP und Secure File Transfer Protocol (SFTP) erfasst |
22 25 (Standard) 53 80 443 4766 |
TCP |
OutBound |
s.tunnels.ironport.com |
Remote-Zugriff auf das Backend |
443 |
TCP |
OutBound |
smartreceiver.cisco.com |
smart licensing |
Referenzen
Konfigurieren der Firewall für die AD-Domäne und Vertrauenswürdigkeit - Windows Server | Microsoft - Informationen
Sicherheits-, Internetzugriffs- und Kommunikationsports (cisco.com)
Erforderliche IP-Adressen und Ports für sichere Malwareanalysen - Cisco
Kundendateien werden an das Cisco Technical Assistance Center (TAC) hochgeladen
Technische Informationen zu FAQs für Remote-Zugriff auf Cisco ESA/WSA/SMA - Cisco
Smart Licensing - Überblick und Best Practices für Cisco Email und Web Security (ESA, WSA, SMA) - Cisco