準備 IT 基礎架構以安裝應用程式元件
本節介紹安裝應用程式之前必須配置的連接埠。為了應用程式元件在安裝後能夠正確運行,您必須配置防火牆規則。
在安裝應用程式前,請準備企業 IT 基礎架構以安裝 Kaspersky Anti Targeted Attack Platform 元件:
- 確保伺服器、要使用應用程式 Web 介面的電腦以及要安裝“Endpoint Agent”元件的電腦均符合硬體和軟體要求。
- 為了防護網路免受被分析物件的攻擊,拒絕管理網路介面和用於處理物件的網際網路存取的網路介面存取 Sandbox 伺服器的本機網路。
- 請依照下表準備企業 IT 基礎架構:
Kaspersky Anti Targeted Attack Platform 元件之間互動的連接埠
來源
方向
連接埠或協定
敘述
Central Node
傳入
TCP 22
透過 SSH 連線到伺服器
TCP 443
從 Endpoint Agent (KEDR) 接收資料
TCP 8085
從 Endpoint Agent (NDR) 接收資料
TCP 8443
存取應用程式的 Web 介面
TCP 9081
與 Sensor 伺服器的通信
TCP 7423、13520
UDP 53
傳出
TCP 80
TCP 443
TCP 1443與 KSN 伺服器和卡巴斯基更新伺服器的通信
TCP 443
將物件傳送到 Sandbox 進行掃描
TCP 601
向 SIEM 系統傳送訊息
UDP 53
與 Sensor 伺服器的通信
傳入和傳出
ESP
用於透過基於 IPSec 協定的安全鏈路在 Central Node 和 Sensor 之間進行互動
Sensor
傳入
TCP 22
透過 SSH 連線到伺服器
TCP 1344
從代理伺服器接收流量
TCP 25
從郵件伺服器接收 SMTP 流量
TCP 443
當 Sensor 用作代理伺服器,用於在具有 Endpoint Agent 的工作站和 Central Node 之間進行通訊時
TCP 8085
從 Endpoint Agent (NDR) 接收資料
TCP 9443
存取元件的 Web 介面。該連接埠預設是關閉的。
UDP 53
與 Central Node 伺服器的通信
傳出
TCP 80
TCP 443與 KSN 伺服器和卡巴斯基更新伺服器的通信
TCP 995
與郵件伺服器整合以實現安全連線
TCP 110
與郵件伺服器整合以輔助不安全的連線
TCP 7423, 8443, 9443, 13520
與 Central Node 伺服器的通信
UDP 53
傳入和傳出
ESP
用於透過基於 IPSec 協定的安全鏈路在 Central Node 和 Sensor 之間進行互動
Sandbox
傳入(管理 介面)
TCP 22
透過 SSH 連線到伺服器
TCP 443
與 Central Node 互動
TCP 8443
存取應用程式的 Web 介面
傳出(管理接口)
TCP 80
TCP 443與卡巴斯基更新伺服器通訊
傳出和對應的傳入(所處理物件的存取介面)
任何
存取網際網路以分析已處理物件的網路行為。
拒絕存取企業區域網路以防護網路免受被分析物件的攻擊。
SCN(使用分佈式解模式時)
傳出
TCP 8443、8444
用於透過基於 IPSec 協定的安全鏈路在 SCN 和 PCN 之間進行互動
傳入和傳出
TCP 443, 53, 11000:11006, UDP 53
ESPPCN(使用分佈式解決方案模式時)
傳入
TCP 8443、8444
傳入和傳出
TCP 443, 53, 11000:11006, UDP 53
ESP
如果在 VMware ESXi™ 虛擬環境中安裝僅接收映像流量的其他網路介面,請使用 E1000 網路介面卡或停用 VMXNET3 網路介面卡上的 LRO(大量接收減負)選項。
下圖展示了應用程式元件與應用程式所依賴的系統之間的網路通訊圖。圖中的箭頭表示連結的方向:每個箭頭從發起連線的物件指向回應的物件。
應用程式元件與應用程式所依賴的系統之間的網路通訊圖。用嵌入式 Sensor 部署的 Central Node
應用程式元件與應用程式所依賴的系統之間的網路通訊圖。部署在與 Central Node 不同的伺服器上的Sensor