准备 IT 基础架构以安装应用程序组件
本节介绍安装应用程序之前必须配置的端口。为了应用程序组件在安装后能够正确运行,您必须配置防火墙规则。
在安装应用程序前,请准备企业 IT 基础构架以安装 Kaspersky Anti Targeted Attack Platform 组件:
- 确保服务器、要使用应用程序 Web 界面的计算机以及要安装“Endpoint Agent”组件的计算机均满足硬件和软件要求。
- 为了保护网络免受被分析对象的攻击,拒绝管理网络接口和用于处理对象的互联网访问的网络接口访问 Sandbox 服务器的本地网络。
- 按照下表准备企业 IT 基础设施:
Kaspersky Anti Targeted Attack Platform 组件之间交互的端口
来源
方向
端口或协议
描述
Central Node
入站
TCP 22
通过 SSH 连接到服务器
TCP 443
从 Endpoint Agent (KEDR) 接收数据
TCP 8085
从 Endpoint Agent (NDR) 接收数据
TCP 8443
访问应用程序的 Web 界面
TCP 9081
与 Sensor 服务器的通信
TCP 7423、13520
UDP 53
传出
TCP 80
TCP 443
TCP 1443与 KSN 服务器和卡巴斯基更新服务器的通信
TCP 443
将对象发送到 Sandbox 进行扫描
TCP 601
向 SIEM 系统发送消息
UDP 53
与 Sensor 服务器的通信
入站和出站
ESP
用于通过基于 IPSec 协议的安全链路在 Central Node 和 Sensor 之间进行交互
Sensor
入站
TCP 22
通过 SSH 连接到服务器
TCP 1344
从代理服务器接收流量
TCP 25
从邮件服务器接收 SMTP 流量
TCP 443
当 Sensor 用作代理服务器,用于在具有 Endpoint Agent 的工作站和 Central Node 之间进行通信时
TCP 8085
从 Endpoint Agent (NDR) 接收数据
TCP 9443
访问组件的 Web 界面。该端口默认是关闭的。
UDP 53
与 Central Node 服务器的通信
传出
TCP 80
TCP 443与 KSN 服务器和卡巴斯基更新服务器的通信
TCP 995
与邮件服务器集成以实现安全连接
TCP 110
与邮件服务器集成以辅助不安全的连接
TCP 7423, 8443, 9443, 13520
与 Central Node 服务器的通信
UDP 53
入站和出站
ESP
用于通过基于 IPSec 协议的安全链路在 Central Node 和 Sensor 之间进行交互
Sandbox
入站(管理 接口)
TCP 22
通过 SSH 连接到服务器
TCP 443
与 Central Node 交互
TCP 8443
访问应用程序的 Web 界面
出站(管理接口)
TCP 80
TCP 443与卡巴斯基更新服务器通信
出站和对应的入站(所处理对象的访问接口)
任何
访问互联网以分析已处理对象的网络行为。
拒绝访问企业局域网以保护网络免受被分析对象的攻击。
SCN(使用分布式解决方案模式时)
传出
TCP 8443、8444
用于通过基于 IPSec 协议的安全链路在 SCN 和 PCN 之间进行交互
入站和出站
TCP 443, 53, 11000:11006, UDP 53
ESPPCN(使用分布式解决方案模式时)
入站
TCP 8443、8444
入站和出站
TCP 443, 53, 11000:11006, UDP 53
ESP
如果在 VMware ESXi™ 虚拟环境中安装仅接收镜像流量的其他网络接口,请使用 E1000 网络适配器或禁用 VMXNET3 网络适配器上的 LRO(大量接收减负)选项。
下图展示了应用程序组件与应用程序所依赖的系统之间的网络通信图。图中的箭头表示链接的方向:每个箭头从发起连接的对象指向响应的对象。
应用程序组件与应用程序所依赖的系统之间的网络通信图。用嵌入式 Sensor 部署的 Central Node
应用程序组件与应用程序所依赖的系统之间的网络通信图。部署在与 Central Node 不同的服务器上的 Sensor