本页内容
JSA 端口使用
查看 JSA 服务和组件用于通过网络进行通信的常用端口列表。您可以使用端口列表来确定在网络中必须打开的端口。例如,您可以确定 JSA 控制台 必须打开哪些端口才能与远程事件处理器进行通信。
WinCollect 远程轮询
远程轮询其他 Microsoft Windows 操作系统的 WinCollect 代理可能需要额外的端口分配。
有关更多信息,请参阅 《瞻博网络安全分析 WinCollect 用户指南》。
JSA 侦听端口
下表显示了处于打开LISTEN
状态的 JSA 端口。仅当系统上启用了 iptable 时,端口LISTEN
才有效。除非另有说明,否则有关分配的端口号的信息适用于所有 JSA 产品。
港口 |
描述 |
协议 |
方向 |
要求 |
---|---|---|---|---|
22 |
Ssh |
Tcp |
从 JSA 控制台 到所有其他组件的双向。 |
远程管理访问。 将远程系统添加为托管主机。 记录源协议,以检索外部设备中的文件,例如日志文件协议。 使用命令行界面从桌面到控制台通信的用户。 高可用性 (HA)。 |
25 |
Smtp |
Tcp |
从所有托管主机到 SMTP 网关。 |
从 JSA 到 SMTP 网关的电子邮件。 将错误和警告电子邮件发送给管理电子邮件联系人。 |
111 和随机生成的端口 |
端口映射器 |
TCP/UDP |
与 JSA 控制台通信的托管主机 (MH)。 连接到 JSA 控制台的用户。 |
网络文件系统 (NFS) 等必要服务的远程过程调用 (RPC)。 |
123 |
网络时间协议 (NTP) |
Udp |
从 JSA 控制台到 NTP 服务器的出站 从 MH 到 JSA 控制台的出站 |
通过 Chrony 实现的时间同步:
|
135 个,并动态分配的端口 1024 以上为 RPC 调用。 |
Dcom |
Tcp |
WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。 JSA 控制台组件或 JSA 事件收集器(使用 Microsoft 安全事件日志协议或自适应日志导出器代理)与远程轮询事件 Windows 操作系统之间的双向流量。 |
此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。
注意:
DCOM 通常为通信分配随机端口范围。您可以将 Microsoft Windows 产品配置为使用特定端口。有关更多信息,请参阅 Microsoft Windows 文档。 |
137 |
Windows NetBIOS 命名服务 |
Udp |
WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。 JSA 控制台组件或 JSA 事件收集器(使用 Microsoft 安全事件日志协议或自适应日志导出器代理)与远程轮询事件 Windows 操作系统之间的双向流量。 |
此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。 |
138 |
Windows NetBIOS 数据报服务 |
Udp |
WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。 JSA 控制台组件或 JSA 事件收集器(使用 Microsoft 安全事件日志协议或自适应日志导出器代理)与远程轮询事件 Windows 操作系统之间的双向流量。 |
此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。 |
139 |
Windows NetBIOS 会话服务 |
Tcp |
WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。 JSA 控制台组件或 JSA 事件收集器(使用 Microsoft 安全事件日志协议或自适应日志导出器代理)与远程轮询事件 Windows 操作系统之间的双向流量。 |
此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。 |
162 |
NetSNMP |
Udp |
连接到 JSA 控制台的 JSA 托管主机。 JSA 事件收集器的外部日志源。 |
NetSNMP 守护程序 UDP 端口,侦听来自外部日志源的通信 (v1、v2c 和 v3)。仅当 SNMP 代理启用时,端口才会打开。 |
199 |
NetSNMP |
Tcp |
连接到 JSA 控制台的 JSA 托管主机。 JSA 事件收集器的外部日志源。 |
NetSNMP 守护程序 TCP 端口,侦听来自外部日志源的通信(v1、v2c 和 v3)。仅当 SNMP 代理启用时,端口才会打开。 |
443 |
Apache/HTTPS |
Tcp |
用于从所有产品到 JSA 控制台的安全通信的双向流量。 从应用程序主机到 JSA 控制台的单向流量。 |
从 JSA 控制台将配置下载到托管主机。 连接到 JSA 控制台的 JSA 托管主机。 用户需要登录才能访问 JSA。 用于管理和提供 WinCollect 代理配置更新的 JSA 控制台。 需要访问 JSA API 的应用程序。 |
445 |
Microsoft Directory Service |
Tcp |
WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。 JSA 控制台组件或使用 Microsoft 安全事件日志协议的 JSA 事件收集器与远程轮询事件 Windows 操作系统之间的双向流量。 自适应日志导出代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。 |
此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。 |
514 |
Syslog |
UDP/TCP |
提供 TCP 系统日志事件的外部网络设备使用双向流量。 提供 UDP 系统日志事件的外部网络设备使用单向流量。 从 JSA 主机到 JSA 控制台的内部系统日志流量。 |
外部日志源,用于将事件数据发送到 JSA 组件。 系统日志流量包括 WinCollect 代理、事件收集器和自适应日志导出器代理,这些代理能够向 JSA 发送 UDP 或 TCP 事件。 |
762 |
网络文件系统 (NFS) 安装守护程序(安装) |
TCP/UDP |
JSA 控制台与 NFS 服务器之间的连接。 |
网络文件系统 (NFS) 安装守护程序,用于处理在指定位置安装文件系统的请求。 |
1514 |
系统日志-ng |
TCP/UDP |
本地 事件收集器 组件和本地 事件处理器 组件与 syslog-ng 守护程序之间的连接,以便进行日志记录。 |
syslog-ng 的内部日志记录端口。 |
2049 |
Nfs |
Tcp |
JSA 控制台与 NFS 服务器之间的连接。 |
在组件之间共享文件或数据的网络文件系统 (NFS) 协议。 |
2055 |
NetFlow 数据 |
Udp |
从流源上的管理接口(通常为路由器)到 JSA 流处理器。 |
来自组件(如路由器)的 NetFlow 数据报。 |
2376 |
Docker 命令端口 |
Tcp |
内部通信。此端口在外部不可用。 |
用于管理 JSA 应用程序框架资源。 |
3389 |
支持远程桌面协议 (RDP) 和 USB 以太网 |
TCP/UDP |
如果 Microsoft Windows 操作系统配置为支持 RDP 和通过 USB 的以太网,则用户可以通过管理网络对服务器发起会话。这意味着 RDP 的默认端口 3389 必须打开。 |
|
4333 |
重定向端口 |
Tcp |
此端口被分配为 JSA 攻击解析中地址解析协议 (ARP) 请求的重定向端口。 |
|
5000 |
用于允许与控制台上运行的 docker si-registry 进行通信。这允许所有托管主机从控制台中提取映像,用于创建本地容器。 |
Tcp |
从 JSA 托管主机到 JSA 控制台的单向。仅在控制台上打开端口。托管主机必须从控制台提取。 |
需要在应用程序主机上运行的应用程序。 |
5432 |
Postgres |
Tcp |
用于访问本地实例的托管主机的通信。 |
通过 Admin(管理员) 选项卡调配托管主机时需要。 |
6514 |
Syslog |
Tcp |
提供加密 TCP 系统日志事件的外部网络设备使用双向流量。 |
外部日志源,用于将加密事件数据发送到 JSA 组件。 |
7676、7677 和 32000 以上的四个随机绑定端口。 |
消息连接 (IMQ) |
Tcp |
托管主机上组件之间的消息队列通信。 |
用于托管主机上组件之间通信的消息队列代理。
注意:
您必须允许从 JSA 控制台访问未加密主机的这些端口。 端口 7676 和 7677 是静态 TCP 端口,在随机端口上创建四个附加连接。 有关查找随机绑定端口的更多信息,请参阅 查看 IMQ 端口关联。 |
5791、7700、7777、 7778、7779、7780、7781、7782、7783、7787、7788、7790、7791、7792、7793、7794、7795、7799、8989 和 8990。 |
JMX 服务器端口 |
Tcp |
内部通信。这些端口在外部不可用。 |
对所有内部 JSA 进程进行 JMX 服务器(Java 管理 Bean)监控,以公开可支持性指标。 JSA 支持使用这些端口。 |
7789 |
HA 分布式复制块设备 (DRBD) |
TCP/UDP |
HA 群集中辅助主机和主主机之间的双向。 |
分布式复制块设备 (DRBD) 用于保持 HA 配置中主要主机和辅助主机之间的驱动器同步。 |
7800 |
Apache Tomcat |
Tcp |
从 事件收集器 到 JSA 控制台。 |
实时(流式)事件。 |
7801 |
Apache Tomcat |
Tcp |
从 事件收集器 到 JSA 控制台。 |
流的实时(流)。 |
7803 |
异常检测引擎 |
Tcp |
从 事件收集器 到 JSA 控制台。 |
异常检测引擎端口。 |
7804 |
QRM Arc 生成器 |
Tcp |
JSA 进程与 ARC 构建器之间的内部控制通信。 |
此端口仅用于 JSA Risk Manager 。外部不提供。 |
7805 |
系统日志隧道通信 |
Tcp |
JSA 控制台和托管主机之间的双向 |
用于控制台和托管主机之间的加密通信。 |
8000 |
事件收集服务 (ECS) |
Tcp |
从 事件收集器 到 JSA 控制台。 |
侦听特定事件收集服务 (ECS) 的端口。 |
8001 |
SNMP 守护程序端口 |
Tcp |
从 JSA 控制台请求 SNMP 陷阱信息的外部 SNMP 系统。 |
侦听外部 SNMP 数据请求的端口。 |
8005 |
Apache Tomcat |
Tcp |
内部通信。外部不可用。 |
开放以控制 tomcat。 此端口绑定,仅接受来自本地主机的连接。 |
8009 |
Apache Tomcat |
Tcp |
从 HTTP 守护程序 (HTTPd) 进程到 Tomcat。 |
Tomcat 连接器,用于 Web 服务并代理请求。 |
8080 |
Apache Tomcat |
Tcp |
从 HTTP 守护程序 (HTTPd) 进程到 Tomcat。 |
Tomcat 连接器,用于 Web 服务并代理请求。 |
8082 |
适用于 JSA 风险管理器的安全隧道 |
Tcp |
JSA 控制台和 JSA Risk Manager 之间的双向流量 |
JSA Risk Manager 和 JSA控制台之间使用加密时需要。 |
8413 |
WinCollect 代理 |
Tcp |
WinCollect 代理和 JSA 控制台之间的双向流量。 |
此流量由 WinCollect 代理生成,通信已加密。需要为 WinCollect 代理提供配置更新,并在连接模式下使用 WinCollect。 |
8844 |
Apache Tomcat |
Tcp |
从 JSA 控制台 到运行 JSA 漏洞管理器 处理器的设备的单向。 |
由 Apache Tomcat 从运行 JSA 漏洞管理器 处理器的主机中读取信息。 |
9000 |
Conman |
Tcp |
从 JSA 控制台到 JSA 应用程序主机的单向。 |
与应用程序主机配合使用。它允许控制台将应用程序部署到应用程序主机并管理这些应用程序。 |
9090 |
XForce IP 信誉数据库和服务器 |
Tcp |
内部通信。外部不可用。 |
JSA 进程与 XForce 声誉 IP 数据库之间的通信。 |
9381 |
证书文件下载 |
Tcp |
从 JSA 托管主机或外部网络到 JSA 控制台的单向 |
下载 JSA CA 证书和 CRL 文件,这些文件可用于验证 JSA 生成的证书。 |
9381 |
localca-server |
Tcp |
JSA 组件之间的双向。 |
用于持有 JSA 本地根证书和中间证书,以及关联的 CCL。 |
9393, 9394 |
保管库 qrd |
Tcp |
内部通信。外部不可用。 |
用于保密并允许安全访问它们以访问服务。 |
9913 加一个动态分配端口 |
Web 应用程序容器 |
Tcp |
Java 虚拟机之间的双向 Java 远程方法调用 (RMI) 通信 |
注册 Web 应用程序后,将动态分配一个附加端口。 |
9995 |
NetFlow 数据 |
Udp |
从流源上的管理接口(通常为路由器)到 JSA 流处理器。 |
来自组件(如路由器)的 NetFlow 数据报。 |
9999 |
JSA 漏洞管理器 处理器 |
Tcp |
从扫描仪到运行 JSA 漏洞管理器 处理器的设备的单向 |
用于 JSA 漏洞管理器 (QVM) 命令信息。 JSA 控制台 连接到运行 JSA 漏洞管理器 处理器的主机上的此端口。仅在启用 QVM 时使用此端口。 |
10000 |
JSA 基于 Web 的系统管理界面 |
TCP/UDP |
所有 JSA 主机的用户桌面系统。 |
在 JSA 2014.5 及更低版本中,此端口用于服务器更改,例如主机 root 密码和防火墙访问。 2014.6 中禁用端口 10000。 |
10101, 10102 |
心跳命令 |
Tcp |
主 HA 节点和辅助 HA 节点之间的双向流量。 |
确保 HA 节点仍然处于活动状态所必需的。 |
12500 |
索卡特二进制文件 |
Tcp |
从 MH 到 JSA 控制台的出站 |
当 JSA 控制台或 MH 加密时,用于通过 tcp 隧道传输 chrony udp 请求的端口 |
14433 |
特劳夫克 |
Tcp |
JSA 组件之间的双向。 |
应用服务发现需要。 |
15432 |
|
|
|
JSA Risk Manager 和 JSA 之间需要开放进行内部通信。 |
15433 |
Postgres |
Tcp |
用于访问本地实例的托管主机的通信。 |
用于 JSA 漏洞管理器 (QVM) 配置和存储。仅在启用 QVM 时使用此端口。 |
20000-23000 |
SSH 隧道 |
Tcp |
从 JSA 控制台 到所有其他加密托管主机的双向连接。 |
用于与加密托管主机进行 Java 消息服务 (JMS) 通信的 SSH 隧道的本地侦听点。用于执行长期运行的异步任务,例如通过系统和许可证管理更新网络配置。 |
23111 |
SOAP Web 服务器 |
Tcp |
事件收集服务 (ECS) 的 SOAP Web 服务器端口。 |
|
26000 | 特劳夫克 | Tcp | JSA 之间的双向 组件。 |
与加密的应用程序主机一起使用。应用服务发现需要。 |
26001 | Conman | Tcp | 从 JSA 控制台到 JSA 应用程序主机的单向。 |
与加密的应用程序主机一起使用。它允许控制台将应用程序部署到应用程序主机并管理这些应用程序。 |
32000 |
规范化流量转发 |
Tcp |
JSA 组件之间的双向。 |
从异地源或 JSA 处理器之间通信的规范化流数据。 |
32004 |
规范化事件转发 |
Tcp |
JSA 组件之间的双向。 |
从异地源或 JSA 事件收集器之间通信的标准化事件数据。 |
32005 |
数据流 |
Tcp |
JSA 组件之间的双向。 |
JSA 事件收集器之间在单独的托管主机上的数据流通信端口。 |
32006 |
Ariel 查询 |
Tcp |
JSA 组件之间的双向。 |
Ariel 代理服务器和 Ariel 查询服务器之间的通信端口。 |
32007 |
攻击数据 |
Tcp |
JSA 组件之间的双向。 |
导致攻击或涉及全局关联的事件和流。 |
32009 |
身份数据 |
Tcp |
JSA 组件之间的双向。 |
被动漏洞信息服务 (VIS) 和事件收集服务 (ECS) 之间通信的身份数据。 |
32010 |
流侦听源端口 |
Tcp |
JSA 组件之间的双向。 |
从 JSA 流处理器收集数据的流侦听端口。 |
32011 |
Ariel 侦听端口 |
Tcp |
JSA 组件之间的双向。 |
用于数据库搜索、进度信息和其他关联命令的 Ariel 侦听端口。 |
32000-33999 |
数据流(流、事件、流上下文) |
Tcp |
JSA 组件之间的双向。 |
数据流,例如事件、流、流上下文和事件搜索查询。 |
40799 |
PCAP 数据 |
Udp |
从瞻博网络 SRX 系列设备到 JSA。 |
从瞻博网络 SRX 系列设备收集传入数据包捕获 (PCAP) 数据。
注意:
设备上的数据包捕获可以使用不同的端口。有关配置数据包捕获的更多信息,请参阅瞻博网络 SRX 系列设备文档。 |
Icmp |
Icmp |
HA 群集中辅助主机与主主机之间的双向流量。 |
使用互联网控制消息协议 (ICMP) 测试 HA 群集中辅助主机与主主机之间的网络连接。 |