Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JSA 端口使用

查看 JSA 服务和组件用于通过网络进行通信的常用端口列表。您可以使用端口列表来确定在网络中必须打开的端口。例如,您可以确定 JSA 控制台 必须打开哪些端口才能与远程事件处理器进行通信。

WinCollect 远程轮询

远程轮询其他 Microsoft Windows 操作系统的 WinCollect 代理可能需要额外的端口分配。

有关更多信息,请参阅 《瞻博网络安全分析 WinCollect 用户指南》。

JSA 侦听端口

下表显示了处于打开LISTEN状态的 JSA 端口。仅当系统上启用了 iptable 时,端口LISTEN才有效。除非另有说明,否则有关分配的端口号的信息适用于所有 JSA 产品。

表 1:JSA 服务和组件使用的侦听端口

港口

描述

协议

方向

要求

22

Ssh

Tcp

JSA 控制台 到所有其他组件的双向。

远程管理访问。

将远程系统添加为托管主机。

记录源协议,以检索外部设备中的文件,例如日志文件协议。

使用命令行界面从桌面到控制台通信的用户。

高可用性 (HA)。

25

Smtp

Tcp

从所有托管主机到 SMTP 网关。

JSA 到 SMTP 网关的电子邮件。

将错误和警告电子邮件发送给管理电子邮件联系人。

111 和随机生成的端口

端口映射器

TCP/UDP

JSA 控制台通信的托管主机 (MH)。

连接到 JSA 控制台的用户。

网络文件系统 (NFS) 等必要服务的远程过程调用 (RPC)。

123

网络时间协议 (NTP)

Udp

从 JSA 控制台到 NTP 服务器的出站

从 MH 到 JSA 控制台的出站

通过 Chrony 实现的时间同步:

  • JSA 控制台和 NTP 服务器

  • JSA 托管主机和 JSA 控制台

135 个,并动态分配的端口 1024 以上为 RPC 调用。

Dcom

Tcp

WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。

JSA 控制台组件或 JSA 事件收集器(使用 Microsoft 安全事件日志协议或自适应日志导出器代理)与远程轮询事件 Windows 操作系统之间的双向流量。

此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。

注意:

DCOM 通常为通信分配随机端口范围。您可以将 Microsoft Windows 产品配置为使用特定端口。有关更多信息,请参阅 Microsoft Windows 文档。

137

Windows NetBIOS 命名服务

Udp

WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。

JSA 控制台组件或 JSA 事件收集器(使用 Microsoft 安全事件日志协议或自适应日志导出器代理)与远程轮询事件 Windows 操作系统之间的双向流量。

此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。

138

Windows NetBIOS 数据报服务

Udp

WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。

JSA 控制台组件或 JSA 事件收集器(使用 Microsoft 安全事件日志协议或自适应日志导出器代理)与远程轮询事件 Windows 操作系统之间的双向流量。

此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。

139

Windows NetBIOS 会话服务

Tcp

WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。

JSA 控制台组件或 JSA 事件收集器(使用 Microsoft 安全事件日志协议或自适应日志导出器代理)与远程轮询事件 Windows 操作系统之间的双向流量。

此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。

162

NetSNMP

Udp

连接到 JSA 控制台的 JSA 托管主机。

JSA 事件收集器的外部日志源。

NetSNMP 守护程序 UDP 端口,侦听来自外部日志源的通信 (v1、v2c 和 v3)。仅当 SNMP 代理启用时,端口才会打开。

199

NetSNMP

Tcp

连接到 JSA 控制台的 JSA 托管主机。

JSA 事件收集器的外部日志源。

NetSNMP 守护程序 TCP 端口,侦听来自外部日志源的通信(v1、v2c 和 v3)。仅当 SNMP 代理启用时,端口才会打开。

443

Apache/HTTPS

Tcp

用于从所有产品到 JSA 控制台的安全通信的双向流量。

从应用程序主机到 JSA 控制台的单向流量。

JSA 控制台将配置下载到托管主机。

连接到 JSA 控制台的 JSA 托管主机。

用户需要登录才能访问 JSA

用于管理和提供 WinCollect 代理配置更新的 JSA 控制台

需要访问 JSA API 的应用程序。

445

Microsoft Directory Service

Tcp

WinCollect 代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。

JSA 控制台组件或使用 Microsoft 安全事件日志协议的 JSA 事件收集器与远程轮询事件 Windows 操作系统之间的双向流量。

自适应日志导出代理与 Windows 操作系统之间的双向流量,这些操作系统会远程轮询事件。

此流量由 WinCollect、Microsoft 安全事件日志协议或自适应日志导出器生成。

514

Syslog

UDP/TCP

提供 TCP 系统日志事件的外部网络设备使用双向流量。

提供 UDP 系统日志事件的外部网络设备使用单向流量。

JSA 主机到 JSA 控制台的内部系统日志流量。

外部日志源,用于将事件数据发送到 JSA 组件。

系统日志流量包括 WinCollect 代理、事件收集器和自适应日志导出器代理,这些代理能够向 JSA 发送 UDP 或 TCP 事件。

762

网络文件系统 (NFS) 安装守护程序(安装)

TCP/UDP

JSA 控制台与 NFS 服务器之间的连接。

网络文件系统 (NFS) 安装守护程序,用于处理在指定位置安装文件系统的请求。

1514

系统日志-ng

TCP/UDP

本地 事件收集器 组件和本地 事件处理器 组件与 syslog-ng 守护程序之间的连接,以便进行日志记录。

syslog-ng 的内部日志记录端口。

2049

Nfs

Tcp

JSA 控制台与 NFS 服务器之间的连接。

在组件之间共享文件或数据的网络文件系统 (NFS) 协议。

2055

NetFlow 数据

Udp

从流源上的管理接口(通常为路由器)到 JSA 流处理器

来自组件(如路由器)的 NetFlow 数据报。

2376

Docker 命令端口

Tcp

内部通信。此端口在外部不可用。

用于管理 JSA 应用程序框架资源。

3389

支持远程桌面协议 (RDP) 和 USB 以太网

TCP/UDP

 

如果 Microsoft Windows 操作系统配置为支持 RDP 和通过 USB 的以太网,则用户可以通过管理网络对服务器发起会话。这意味着 RDP 的默认端口 3389 必须打开。

4333

重定向端口

Tcp

 

此端口被分配为 JSA 攻击解析中地址解析协议 (ARP) 请求的重定向端口。

5000

用于允许与控制台上运行的 docker si-registry 进行通信。这允许所有托管主机从控制台中提取映像,用于创建本地容器。

Tcp

JSA 托管主机到 JSA 控制台的单向。仅在控制台上打开端口。托管主机必须从控制台提取。

需要在应用程序主机上运行的应用程序。

5432

Postgres

Tcp

用于访问本地实例的托管主机的通信。

通过 Admin(管理员) 选项卡调配托管主机时需要。

6514

Syslog

Tcp

提供加密 TCP 系统日志事件的外部网络设备使用双向流量。

外部日志源,用于将加密事件数据发送到 JSA 组件。

7676、7677 和 32000 以上的四个随机绑定端口。

消息连接 (IMQ)

Tcp

托管主机上组件之间的消息队列通信。

用于托管主机上组件之间通信的消息队列代理。

注意:

您必须允许从 JSA 控制台访问未加密主机的这些端口。

端口 7676 和 7677 是静态 TCP 端口,在随机端口上创建四个附加连接。

有关查找随机绑定端口的更多信息,请参阅 查看 IMQ 端口关联

5791、7700、7777、 7778、7779、7780、7781、7782、7783、7787、7788、7790、7791、7792、7793、7794、7795、7799、8989 和 8990。

JMX 服务器端口

Tcp

内部通信。这些端口在外部不可用。

对所有内部 JSA 进程进行 JMX 服务器(Java 管理 Bean)监控,以公开可支持性指标。

JSA 支持使用这些端口。

7789

HA 分布式复制块设备 (DRBD)

TCP/UDP

HA 群集中辅助主机和主主机之间的双向。

分布式复制块设备 (DRBD) 用于保持 HA 配置中主要主机和辅助主机之间的驱动器同步。

7800

Apache Tomcat

Tcp

事件收集器JSA 控制台

实时(流式)事件。

7801

Apache Tomcat

Tcp

事件收集器JSA 控制台

流的实时(流)。

7803

异常检测引擎

Tcp

事件收集器JSA 控制台

异常检测引擎端口。

7804

QRM Arc 生成器

Tcp

JSA 进程与 ARC 构建器之间的内部控制通信。

此端口仅用于 JSA Risk Manager 。外部不提供。

7805

系统日志隧道通信

Tcp

JSA 控制台和托管主机之间的双向

用于控制台和托管主机之间的加密通信。

8000

事件收集服务 (ECS)

Tcp

事件收集器JSA 控制台

侦听特定事件收集服务 (ECS) 的端口。

8001

SNMP 守护程序端口

Tcp

JSA 控制台请求 SNMP 陷阱信息的外部 SNMP 系统。

侦听外部 SNMP 数据请求的端口。

8005

Apache Tomcat

Tcp

内部通信。外部不可用。

开放以控制 tomcat。

此端口绑定,仅接受来自本地主机的连接。

8009

Apache Tomcat

Tcp

从 HTTP 守护程序 (HTTPd) 进程到 Tomcat。

Tomcat 连接器,用于 Web 服务并代理请求。

8080

Apache Tomcat

Tcp

从 HTTP 守护程序 (HTTPd) 进程到 Tomcat。

Tomcat 连接器,用于 Web 服务并代理请求。

8082

适用于 JSA 风险管理器的安全隧道

Tcp

JSA 控制台和 JSA Risk Manager 之间的双向流量

JSA Risk Manager 和 JSA控制台之间使用加密时需要。

8413

WinCollect 代理

Tcp

WinCollect 代理和 JSA 控制台之间的双向流量。

此流量由 WinCollect 代理生成,通信已加密。需要为 WinCollect 代理提供配置更新,并在连接模式下使用 WinCollect。

8844

Apache Tomcat

Tcp

JSA 控制台 到运行 JSA 漏洞管理器 处理器的设备的单向。

由 Apache Tomcat 从运行 JSA 漏洞管理器 处理器的主机中读取信息。

9000

Conman

Tcp

JSA 控制台到 JSA 应用程序主机的单向。

与应用程序主机配合使用。它允许控制台将应用程序部署到应用程序主机并管理这些应用程序。

9090

XForce IP 信誉数据库和服务器

Tcp

内部通信。外部不可用。

JSA 进程与 XForce 声誉 IP 数据库之间的通信。

9381

证书文件下载

Tcp

JSA 托管主机或外部网络到 JSA 控制台的单向

下载 JSA CA 证书和 CRL 文件,这些文件可用于验证 JSA 生成的证书。

9381

localca-server

Tcp

JSA 组件之间的双向。

用于持有 JSA 本地根证书和中间证书,以及关联的 CCL。

9393, 9394

保管库 qrd

Tcp

内部通信。外部不可用。

用于保密并允许安全访问它们以访问服务。

9913 加一个动态分配端口

Web 应用程序容器

Tcp

Java 虚拟机之间的双向 Java 远程方法调用 (RMI) 通信

注册 Web 应用程序后,将动态分配一个附加端口。

9995

NetFlow 数据

Udp

从流源上的管理接口(通常为路由器)到 JSA 流处理器

来自组件(如路由器)的 NetFlow 数据报。

9999

JSA 漏洞管理器 处理器

Tcp

从扫描仪到运行 JSA 漏洞管理器 处理器的设备的单向

用于 JSA 漏洞管理器 (QVM) 命令信息。 JSA 控制台 连接到运行 JSA 漏洞管理器 处理器的主机上的此端口。仅在启用 QVM 时使用此端口。

10000

JSA 基于 Web 的系统管理界面

TCP/UDP

所有 JSA 主机的用户桌面系统。

JSA 2014.5 及更低版本中,此端口用于服务器更改,例如主机 root 密码和防火墙访问。

2014.6 中禁用端口 10000

10101, 10102

心跳命令

Tcp

主 HA 节点和辅助 HA 节点之间的双向流量。

确保 HA 节点仍然处于活动状态所必需的。

12500

索卡特二进制文件

Tcp

从 MH 到 JSA 控制台的出站

当 JSA 控制台或 MH 加密时,用于通过 tcp 隧道传输 chrony udp 请求的端口

14433

特劳夫克

Tcp

JSA 组件之间的双向。

应用服务发现需要。

15432

JSA Risk Manager 和 JSA 之间需要开放进行内部通信。

15433

Postgres

Tcp

用于访问本地实例的托管主机的通信。

用于 JSA 漏洞管理器 (QVM) 配置和存储。仅在启用 QVM 时使用此端口。

20000-23000

SSH 隧道

Tcp

JSA 控制台 到所有其他加密托管主机的双向连接。

用于与加密托管主机进行 Java 消息服务 (JMS) 通信的 SSH 隧道的本地侦听点。用于执行长期运行的异步任务,例如通过系统和许可证管理更新网络配置。

23111

SOAP Web 服务器

Tcp

 

事件收集服务 (ECS) 的 SOAP Web 服务器端口。

26000 特劳夫克 Tcp

JSA 之间的双向

组件。

与加密的应用程序主机一起使用。应用服务发现需要。

26001 Conman Tcp

从 JSA 控制台到 JSA 应用程序主机的单向。

与加密的应用程序主机一起使用。它允许控制台将应用程序部署到应用程序主机并管理这些应用程序。

32000

规范化流量转发

Tcp

JSA 组件之间的双向。

从异地源或 JSA 处理器之间通信的规范化流数据。

32004

规范化事件转发

Tcp

JSA 组件之间的双向。

从异地源或 JSA 事件收集器之间通信的标准化事件数据。

32005

数据流

Tcp

JSA 组件之间的双向。

JSA 事件收集器之间在单独的托管主机上的数据流通信端口。

32006

Ariel 查询

Tcp

JSA 组件之间的双向。

Ariel 代理服务器和 Ariel 查询服务器之间的通信端口。

32007

攻击数据

Tcp

JSA 组件之间的双向。

导致攻击或涉及全局关联的事件和流。

32009

身份数据

Tcp

JSA 组件之间的双向。

被动漏洞信息服务 (VIS) 和事件收集服务 (ECS) 之间通信的身份数据。

32010

流侦听源端口

Tcp

JSA 组件之间的双向。

JSA 流处理器收集数据的流侦听端口。

32011

Ariel 侦听端口

Tcp

JSA 组件之间的双向。

用于数据库搜索、进度信息和其他关联命令的 Ariel 侦听端口。

32000-33999

数据流(流、事件、流上下文)

Tcp

JSA 组件之间的双向。

数据流,例如事件、流、流上下文和事件搜索查询。

40799

PCAP 数据

Udp

从瞻博网络 SRX 系列设备到 JSA

从瞻博网络 SRX 系列设备收集传入数据包捕获 (PCAP) 数据。

注意:

设备上的数据包捕获可以使用不同的端口。有关配置数据包捕获的更多信息,请参阅瞻博网络 SRX 系列设备文档。

Icmp

Icmp

 

HA 群集中辅助主机与主主机之间的双向流量。

使用互联网控制消息协议 (ICMP) 测试 HA 群集中辅助主机与主主机之间的网络连接。