注意: 作为最佳做法,请在同一内部网络上实施传感器和 Manager 管理端口,以确保安全和管理的原因。
Port |
源
|
目标 |
描述 |
评论 |
80 |
客户端
|
Manager |
HTTP 端口 |
客户端到 Manager: Webstart/JNLP、控制台小程序
|
443
|
客户端
|
Manager |
HTTPS
|
客户端到 Manager
|
443 |
Manager |
NTBA Appliance |
命令通道(TCP) |
Manager 以 NTBA Appliance。通信是双向的 |
3306
|
内部 |
Manager |
Manager 数据库(MySQL 或 MarinaDB)
|
Manager 内部;可在外部用于连接到数据库
|
4166 |
Manager |
Sensor |
命令通道(UDP) |
IPv6 Manager 到传感器通信的来源端口(Manager Java 1.7 u45 及更高版本)
传感器与 Manager 之间的通信是双向的 |
4167 |
Manager |
Sensor |
命令通道(UDP) |
IPv4 管理器与传感器通信 的来源端口
传感器与 Manager 之间的通信是双向的 |
8005 |
内部 |
Manager |
Tomcat 关闭端口(TCP) |
Tomcat 使用此端口来侦听关机挂接 |
8007
|
内部 |
Manager |
Tomcat AJP 12 端口(TCP)
|
内部经理
|
8009
|
内部 |
Manager |
Tomcat AJP 13 端口(TCP)
|
内部经理
|
8500
|
Manager |
Sensor |
命令通道(UDP)
|
传感器与 Manager 之间的通信是双向的
|
8501
|
Sensor |
Manager |
安装端口/通道(TCP)
|
传感器与 Manager 之间的通信是双向的
|
8502
|
Sensor |
Manager |
警报通道(控制通道)(TCP)
|
传感器与 Manager 之间的通信是双向的
|
8503
|
Sensor |
Manager |
数据包日志通道(TCP)
|
传感器与 Manager 之间的通信是双向的
|
8504
|
Sensor |
Manager |
文件传输通道(TCP)
|
传感器与 Manager 之间的通信是双向的
|
8506
|
Sensor |
Manager |
安装通道(TCP)(2048位)
|
传感器与 Manager 之间的通信是双向的
|
8507
|
Sensor |
Manager |
警报通道(TCP)(2048位)
|
传感器与 Manager 之间的通信是双向的
|
8508
|
Sensor |
Manager |
数据包日志通道(TCP)(2048位)
|
传感器与 Manager 之间的通信是双向的
|
8509
|
Sensor |
Manager |
2048位证书的批量文件传输通道(TCP)
|
传感器与 Manager 之间的通信是双向的
|
8510
|
Sensor |
Manager |
1024位证书的批量文件传输通道(TCP)
|
传感器与 Manager 之间的通信是双向的
|
8551
|
内部 |
Manager |
Lumos Nameserver (TCP)
|
内部经理(RMI/IIOP)
|
8552
|
内部 |
Manager |
JONAS 名称服务器名称(TCP)
|
内部经理(RMI)
|
8555
|
客户端
|
Manager |
警报查看器(TCP)
|
客户端到 Manager SSL/TCP/IP
重要说明: 9.x仅适用于经理。
10.x 不再使用 RTTA,并且此端口不需要在 nsm 上 10.x 打开。 |
如果您配置电子邮件通知或
SNMP Forwarding manager,并在 manager 和
SMTP /或
SNMP 服务器之间拥有防火墙,则允许以下端口:
Port |
描述 |
评论 |
25
|
SMTP 端口
|
Manager 到 SMTP 服务器 |
162
|
SNMP 转发
|
Manager 到 SNMP 服务器 |
重要说明: 产品文档声明必须先禁用其他 web 服务,然后再安装 Manager。
Manager 服务器必须与 Manager 安装包附带的 Apache 服务器相集成。如果使用端口80和443的其他 web 服务未禁用,Manager 安装将会失败。发生故障的原因是 Manager 无法运行 Apache 服务器。
传感器使用的端口
Port |
描述 |
评论 |
22 |
SSH
|
通过 SSH 连接将传感器和安全副本从传感器复制到 SCP 服务器,以实现手动加载映像或加载配置的命令。行访问。 |
用于查找和更新的端口
Port |
源
|
目标(早于 10.1 M10 的版本) |
目标( 10.1 M10 及更高版本) |
评论 |
443 TCP |
Sensor |
nsp.rest.gti.mcafee.com
(通过 REST JSON 格式) |
nsp.rest.gti.trellix.com |
Trellix GTI 文件信誉查询 |
443 TCP |
Manager/传感器 |
tunnel.web.trustedsource.org
|
|
Trellix GTI IP/URL 信誉查询 |
80 TCP |
Manager |
download.nai.com |
download.nai.com |
用于下载 Botnet Detectors |
443 TCP |
NSM (仅 MLOS) |
download.nai.com |
download.nai.com |
用于下载防病毒 DAT 签名 |
443 TCP |
Manager |
menshen.intruvert.com
menshen1.intruvert.com
nspupdate.mcafee.com |
nspupdate.trellix.com |
IPS 更新(也可以下载到带外并手动应用) |
443 TCP |
Manager |
gti-api.mcafee.com |
nsp.repl.gti.trellix.com |
Trellix GTI 僵尸网络 detectors 更新;GTI 参与信息 |
443 TCP |
Sensor |
tau-usa.mcafee.com
tau-europe.mcafee.com
tau-usa2.mcafee.com
tau-usa1.mcafee.com
tau-usa.mcafee.com
tau-asia.mcafee.com
mwg-update.mcafee.com |
要查看最新的主机名/Url,请
请参阅 KB65496 |
Gateway 防恶意软件引擎(GAM)下载 |
443 TCP |
Manager |
iam.mcafee-cloud.com
|
尚不可用。 |
IPS 管理器产品注册和激活 |
443 TCP |
Manager |
iam-rs.mcafee-cloud.com |
尚不可用。 |
IPS 管理器产品注册和激活 |
443 TCP |
Manager |
telemetry.mcafee-cloud.com |
尚不可用。 |
IPS 管理器产品注册和激活 |
第三方通信:
除了 NSP 组件之间的通信通道之外,其他通信也可以与第三方系统进行通信。这些第三方系统包括外部
syslog 服务器、
SNMP 监控系统和身份验证服务。
端口/协议 |
来源 |
目标 |
目的 |
25 TCP
|
NSM |
$smtp-mta-server
|
电子邮件通知 |
49 TCP
|
Sensor |
$tacacs+-server
|
对于命令。行接口,传感器的基于 TACACS + 的身份验证 |
69 UDP |
Sensor |
$tftp-server |
用于的 TFTP 服务器
loadimage/netboot 安装/更新传感器软件
|
162 UDP |
NSM |
$snmp-server |
SNMP 陷阱通知 |
389 TCP |
NSM |
$ldap-server |
基于 LDAP 的身份验证以
NSM for GUI 客户端
|
514 TCP/UDP |
NSM |
$syslog-server |
通过 syslog、标准 UDP 或其他可选 TCP 的通知 |
636 TCP |
NSM |
$ldaps-server |
基于 LDAPS 的身份验证用于
NSM for GUI 客户端
|
1812 UDP |
NSM |
$radius-server |
NSM for GUI 的基于 RADIUS 的身份验证客户端 |
NTBA 通信:
NTBA 装置(虚拟或物理)与 NSP 传感器相似。但是,它们提供了一个专门分析网络流的功能,它支持总体分析。
Port |
源
|
目标 |
目的 |
22 TCP |
任何 |
NTBA
|
用于命令。行访问传感器的 SSH 连接 |
22 TCP |
NTBA |
$netflow-exporter |
路由器 ACL 通道 |
53 UDP |
NTBA |
$dns-server |
DNS 查询 |
80 TCP |
NTBA |
tunnel.web.trustedsource.org
list.smartfilter.com |
GTO 数据库下载 |
111 TCP/UDP |
NTBA |
$backup-server |
NFS (可选)端口映射器,用于备份 |
137 UDP |
NTBA |
<any> |
NetBIOS 查找 |
161 UDP |
NTBA |
$netflow-exporter |
SNMP 查询(2c/3) |
443 TCP |
NTBA |
tunnel.web.trustedsource.org |
McAfee GTI IP 信誉查询 |
443 TCP |
NTBA |
tau-usa.mcafee.com |
Gateway Anti-Malware engine (GAM)下载 |
443 TCP |
NTBA |
tau.mcafee.com |
反恶意软件下载 |
445 TCP |
NTBA |
$backup-server |
CIFS 备份(可选) |
2049 TCP |
NTBA |
$backup-server |
NFS (可选)用于备份 |
8444 TCP |
NTBA |
ePO |
对于证书签名 |
8501 TCP |
NTBA |
NSM |
安装/控制通道 |
8502 TCP |
NTBA |
NSM |
警报通道 |
8504 TCP |
NTBA |
NSM |
文件传输通道 |
8505 TCP |
Sensor |
NTBA |
IPS 通道(SSL AES-128
SHA-1)
|
9008 UDP |
EIA |
NTBA |
EIA 服务(DTLS) |
9996 UDP |
$netflowexporter |
NTBA |
NetFlow 通道 |
注意: 列出的某些端口和协议是可选的;它们的使用取决于您的特定配置。
ePolicy Orchestrator (ePO)通信
Port |
源
|
目标 |
评论 |
8501 TCP |
ePO
|
NSM
|
HIPS为 HIPS 推送通知建立信任 |
8502 TCP |
ePO |
NSM |
HIPSHIPS 事件推送通知 |
8503 TCP |
ePO |
NSM |
HIPSHIPS 事件推送通知 |
3306 TCP |
ePO |
NSM |
[NSM-> ePO 集成]
在 ePO 控制台中启用与 NSM 相关的信息显示板的数据库连接
|
8443 TCP |
NSM |
ePO |
[ePO-> NSM integration]
NSM 从 ePO 提取主机信息或对其进行查询;需要
NSM 扩展安装在 ePO
|
Logon Collector
Port |
源
|
目标 |
评论 |
61641 |
NSM
|
MLC 服务器
|
Logon Collector 与 NSM 之间的 JMS 通信 |
Vulnerability Manager (MVM)通信
Port |
源
|
目标 |
评论 |
1433 TCP |
NSM
|
MVM
|
Microsoft 用于计划提取扫描结果的 SQL Server 连接 |
3801 TCP |
NSM |
MVM |
用于启动按需扫描的 NSM 命令。通道
(SSL 加密 propriety 连接)
|
Advanced Threat Defense/智能沙箱(ATD/IS)通信
Port |
源
|
目标 |
评论 |
443 TCP |
NSM
|
ATD
|
REST API 通信 |
8505 TCP |
Sensor |
ATD |
的通信通道
传感器数据
|
SIEM Enterprise 安全/Security Manager (ESM)通信
Port |
源
|
目标 |
评论 |
443 TCP |
ESM
|
NSM
|
对 NSM 数据的访问 |
3306 TCP |
ESM |
NSM |
数据库查询 |
Network Security Central Manager (NSCM)通信
Port |
源
|
目标 |
评论 |
443 TCP |
NSM
|
NSCM
|
HTTPS |
443 TCP |
NSCM |
NSM |
HTTPS |
TIE/DXL 通信
Port |
源
|
目标 |
8443 TCP |
Sensor
|
ePO
|
443 TCP |
Sensor |
ePO |
8081 TCP |
ePO |
Sensor |
8883 TCP |
Sensor |
DXL 代理 |
注意: 如果您有多个 DXL 代理,则传感器会连接到 8883 TCP 上的每个代理。如果 DXL 代理部署在 ePO 服务器上,则传感器会连接到 8883 TCP 上的 ePO 服务器。