Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

JSA 常用端口和服务器

JSA 要求某些端口已准备好接收来自 JSA 组件和外部基础架构的信息。为了确保 JSA 使用最新的安全信息,它还需要访问公共服务器和 RSS 源。

注意:

如果更改任何常用端口,JSA 部署可能会中断。

端口 22 上的 SSH 通信

JSA 控制台用来与受管主机通信的所有端口都可以通过加密通过端口 22 通过 SSH 建立隧道。

控制台通过使用加密的 SSH 会话连接到托管主机,以实现安全通信。这些 SSH 会话从控制台启动,以向受管主机提供数据。例如, JSA 控制台 可以启动到 事件处理器 设备的多个 SSH 会话以实现安全通信。此通信可能包括通过 SSH 的隧道端口,例如端口 443 的 HTTPS 数据和端口 32006 的 Ariel 查询数据。使用加密的 流处理器 可以启动与需要数据的流处理器设备的 SSH 会话。

JSA 不需要的开放端口

在以下情况下,您可能会发现其他开放端口:

  • 装载或导出网络文件共享时,您可能会看到动态分配的 RPC 服务所需的端口,如 rpc.mountdrpc.rquotad

JSA 端口使用情况

查看 JSA 服务和组件用于通过网络进行通信的常用端口列表。您可以使用端口列表来确定网络中必须打开哪些端口。例如,您可以确定 JSA 控制台 必须打开哪些端口才能与远程事件处理器进行通信。

注意:

如果更改任何常用端口,JSA 部署可能会中断。

WinCollect 远程轮询

远程轮询其他 Microsoft Windows 操作系统的 WinCollect 代理可能需要其他端口分配。

有关更多信息,请参阅瞻博网络安全分析 WinCollect 用户指南

JSA 侦听端口

下表显示了处于某种LISTEN状态的 JSA 端口。LISTEN仅当系统上启用了 iptables 时,端口才有效。除非另有说明,否则有关分配的端口号的信息适用于所有 JSA 产品。

表 1: JSA 服务和组件使用的侦听端口

港口

描述

协议

方向

要求

22

SSH

TCP

JSA 控制台 到所有其他组件的双向。

远程管理访问。

将远程系统添加为受管主机。

日志源协议以从外部设备检索文件,例如日志文件协议。

使用命令行界面从桌面与控制台进行通信的用户。

高可用性 (HA)。

25

SMTP

TCP

从所有受管主机到 SMTP 网关。

JSA 发送到 SMTP 网关的电子邮件。

将错误和警告电子邮件传递到管理电子邮件联系人。

111 和随机生成的端口

端口映射器

TCP/UDP

JSA 控制台通信的受管主机 (MH)。

连接到 JSA 控制台的用户。

所需服务(如网络文件系统 (NFS))的远程过程调用 (RPC)。

123

网络时间协议 (NTP)

UDP

JSA 控制台 出站 NTP 服务器

从 MH 到 JSA 控制台的出站

通过 Chrony 在以下方面进行时间同步:

  • JSA 控制台 和 NTP 服务器

  • 受管主机和 JSA 控制台

135 和动态分配的端口超过 1024 用于 RPC 调用。

DCOM

TCP

WinCollect 代理与远程轮询事件的 Windows 操作系统之间的双向流量。

使用安全事件日志协议或自适应日志导出程序代理程序代理Microsoft JSA 控制台 组件或 JSA 事件收集器与远程轮询事件的 Windows 操作系统之间的双向流量。

此流量由 WinCollect、Microsoft安全事件日志协议或自适应日志导出器生成。

注意:

DCOM 通常会为通信分配一个随机端口范围。您可以将Microsoft Windows 产品配置为使用特定端口。有关详细信息,请参阅 Microsoft Windows 文档。

137

Windows NetBIOS 名称服务

UDP

WinCollect 代理与远程轮询事件的 Windows 操作系统之间的双向流量。

使用安全事件日志协议或自适应日志导出程序代理程序的 JSA 控制台 组件或 JSA 事件收集器 与远程轮询事件的 Windows 操作系统之间的双向流量Microsoft。

此流量由 WinCollect、Microsoft安全事件日志协议或自适应日志导出器生成。

138

Windows NetBIOS 数据报服务

UDP

WinCollect 代理与远程轮询事件的 Windows 操作系统之间的双向流量。

使用安全事件日志协议或自适应日志导出程序代理程序的 JSA 控制台 组件或 JSA 事件收集器 与远程轮询事件的 Windows 操作系统之间的双向流量Microsoft。

此流量由 WinCollect、Microsoft安全事件日志协议或自适应日志导出器生成。

139

Windows NetBIOS 会话服务

TCP

WinCollect 代理与远程轮询事件的 Windows 操作系统之间的双向流量。

使用安全事件日志协议或自适应日志导出程序代理程序的 JSA 控制台 组件或 JSA 事件收集器 与远程轮询事件的 Windows 操作系统之间的双向流量Microsoft。

此流量由 WinCollect、Microsoft安全事件日志协议或自适应日志导出器生成。

162

网络SNMP

UDP

连接到 JSA 控制台JSA 受管主机。

JSA 事件收集器的外部日志源。

侦听来自外部日志源的通信(v1、v2c 和 v3)的 NetSNMP 守护程序的 UDP 端口。仅当启用了 SNMP 代理时,端口才会打开。

199

网络SNMP

TCP

连接到 JSA 控制台JSA 受管主机。

JSA 事件收集器的外部日志源。

侦听来自外部日志源的通信(v1、v2c 和 v3)的 NetSNMP 守护程序的 TCP 端口。仅当启用了 SNMP 代理时,端口才会打开。

443

Apache/HTTPS

TCP

双向流量,用于从所有产品到 JSA 控制台的安全通信。

从应用程序主机到 JSA 控制台的单向流量。

配置从 JSA 控制台下载到受管主机。

连接到 JSA 控制台JSA 受管主机。

用户登录 JSA

JSA 控制台,用于管理 WinCollect 代理并提供配置更新。

需要访问 JSA API 的应用程序。

445

Microsoft目录服务

TCP

WinCollect 代理与远程轮询事件的 Windows 操作系统之间的双向流量。

使用 Microsoft 安全事件日志协议的 JSA 控制台 组件或 JSA 事件收集器 与远程轮询事件的 Windows 操作系统之间的双向流量。

自适应日志导出器代理与远程轮询事件的 Windows 操作系统之间的双向流量。

此流量由 WinCollect、Microsoft安全事件日志协议或自适应日志导出器生成。

514

系统日志

UDP/TCP

提供 TCP 系统日志事件的外部网络设备使用双向流量。

提供 UDP 系统日志事件的外部网络设备使用单向流量。

JSA 主机到 JSA 控制台的内部系统日志流量。

用于将事件数据发送到 JSA 组件的外部日志源。

系统日志流量包括能够向 JSA 发送 UDP 或 TCP 事件的 WinCollect 代理、事件收集器和自适应日志导出器代理。

762

网络文件系统 (NFS) 挂载守护程序(挂载)

TCP/UDP

JSA 控制台和 NFS 服务器之间的连接。

网络文件系统 (NFS) 挂载守护程序,用于处理在指定位置挂载文件系统的请求。

1514

Syslog-ng

TCP/UDP

本地 事件收集器 组件和本地 事件处理器 组件与 syslog-ng 守护程序之间的连接以进行日志记录。

用于 syslog-ng 的内部日志记录端口。

2049

NFS

TCP

JSA 控制台和 NFS 服务器之间的连接。

用于在组件之间共享文件或数据的网络文件系统 (NFS) 协议。

2055

NetFlow 数据

UDP

从流源(通常为路由器)上的管理接口到 JSA 流处理器

来自组件(如路由器)的 NetFlow 数据报。

2376

Docker 命令端口

TCP

内部沟通。此端口在外部不可用。

用于管理 JSA 应用程序框架资源。

3389

远程桌面协议 (RDP) 和 USB 以太网已启用

TCP/UDP

  

如果 Microsoft Windows 操作系统配置为支持 USB 上的 RDP 和以太网,则用户可以通过管理网络启动与服务器的会话。这意味着 RDP 的默认端口 3389 必须处于打开状态。

4333

重定向端口

TCP

 

此端口被分配为 JSA 攻击解析中地址解析协议 (ARP) 请求的重定向端口。

5000

用于允许与控制台上运行的 docker si-registry 进行通信。这允许所有托管主机从控制台拉取将用于创建本地容器的映像。

TCP

从 JSA 控制台到 JSA 应用程序主机的单向。

与应用程序主机一起使用。它允许控制台将应用程序部署到应用程序主机并管理这些应用程序。

5432

波斯特格雷斯

TCP

用于访问本地数据库实例的受管主机的通信。

“管理 ”选项卡置备受管主机是必需的。

6514

系统日志

TCP

提供加密 TCP 系统日志事件的外部网络设备使用双向流量。

用于将加密事件数据发送到 JSA 组件的外部日志源。

7676、7677 和 32000 以上的四个随机绑定端口。

消息传递连接 (IMQ)

TCP

受管主机上组件之间的消息队列通信。

用于受管主机上组件之间通信的消息队列代理。

注意:

您必须允许未加密主机从 JSA 控制台访问这些端口。

端口 7676 和 7677 是静态 TCP 端口,在随机端口上创建了四个额外的连接。

有关查找随机绑定端口的详细信息,请参阅 “查看 IMQ 端口关联”。

仅限 JSA 控制台:

5791、7700、7777、7778、7779、7780、7781、7782、7783、7787、7788、7790、7791、7792、7793、7794、7795、7799、8989 和 8990。

仅限 FIPS 模式:

7777、7778、7779、7780、7781、7782、7783、7788、7790、7791、7792、7793、7795、7799 和 8989

JMX 服务器端口

TCP

内部沟通。这些端口在外部不可用。

JMX 服务器(Java Management Beans)监视所有内部 JSA 进程以公开可支持性指标。

JSA 支持人员使用这些端口。

7789

HA 分布式复制块设备 (DRBD)

TCP/UDP

HA 群集中辅助主机和主要主机之间的双向连接。

分布式复制块设备 (DRBD),用于在 HA 配置中使驱动器在主要主机和辅助主机之间保持同步。

7800

阿帕奇雄猫

TCP

事件收集器JSA 控制台

事件的实时(流式传输)。

7801

阿帕奇雄猫

TCP

事件收集器JSA 控制台

流的实时(流式处理)。

7803

异常检测引擎

TCP

事件收集器JSA 控制台

异常检测引擎端口。

7804

JSA 风险管理弧生成器

TCP

JSA 流程和 ARC 生成器之间的内部控制通信。

此端口仅用于 JSA 风险管理器 。它在外部不可用。

7805

系统日志隧道通信

TCP

JSA 控制台和受管主机之间的双向

用于控制台和受管主机之间的加密通信。

8000

事件收集服务 (ECS)

TCP

事件收集器JSA 控制台

特定事件采集服务(ECS)的监听端口。

8001

SNMP 守护程序端口

TCP

JSA 控制台请求 SNMP 陷阱信息的外部 SNMP 系统。

外部 SNMP 数据请求的侦听端口。

8005

阿帕奇雄猫

TCP

内部沟通。外部不可用。

打开以控制雄猫。

此端口已绑定,仅接受来自本地主机的连接。

8009

阿帕奇雄猫

TCP

从 HTTP 守护程序 (HTTPd) 进程到 Tomcat。

Tomcat 连接器,其中请求用于和代理 Web 服务。

8080

阿帕奇雄猫

TCP

从 HTTP 守护程序 (HTTPd) 进程到 Tomcat。

Tomcat 连接器,其中请求用于和代理 Web 服务。

8082

JSA 风险管理器的安全通道

TCP

JSA 控制台和 JSA 风险管理器之间的双向流量

在 JSA 风险管理器和 JSA 控制台之间使用加密时是必需的。

8413

WinCollect 代理

TCP

WinCollect 代理和 JSA 控制台之间的双向流量。

此流量由 WinCollect 代理生成,通信已加密。需要向 WinCollect 代理提供配置更新,并在连接模式下使用 WinCollect。

8844

阿帕奇雄猫

TCP

JSA 控制台 到运行 JSA 漏洞管理器 处理器的设备单向。

由 Apache Tomcat 用于从运行 JSA 漏洞管理器 处理器的主机读取信息。

注意:

JSA 漏洞管理器扫描程序在 7.5.0 更新包 6 中已终止生命周期 (EOL),在任何版本的 JSA 中都不再受支持。在 JSA 7.5.0 更新软件包 6 及更高版本中,您可以继续在 JSA 漏洞管理器平台上使用第三方扫描程序,但无法在 DMZ 中进行扫描。

仅限 JSA 控制台:

9000

康曼

从 JSA 控制台到 JSA 应用程序主机的单向。

与应用程序主机一起使用。它允许控制台将应用程序部署到应用程序主机并管理这些应用程序。

9090

XForce IP 信誉数据库和服务器

TCP

内部沟通。外部不可用。

JSA 进程与 XForce 信誉 IP 数据库之间的通信。

9381

证书文件下载

TCP

JSA 受管主机或外部网络到 JSA 控制台的单向。

下载 JSA CA 证书和 CRL 文件,这些文件可用于验证 JSA 生成的证书。

9381

localCA-server

TCP

JSA 组件之间的双向。

用于保存 JSA 本地根证书和中间证书,以及关联的 CRL。

9393, 9394

金库-QRD

TCP

内部沟通。外部不可用。

用于保存机密并允许对它们进行服务的安全访问。

9913 外加一个动态分配的端口

Web 应用程序容器

TCP

Java 虚拟机之间的双向 Java 远程方法调用 (RMI) 通信

注册 Web 应用程序时,将动态分配一个附加端口。

9995

NetFlow 数据

UDP

从流源(通常为路由器)上的管理接口到 JSA 流处理器

来自组件(如路由器)的 NetFlow 数据报。

9999

JSA 漏洞管理器处理器

TCP

从扫描程序到运行 JSA 漏洞管理器 处理器的设备的单向

用于 JSA 漏洞管理器 命令信息。 JSA 控制台 连接到运行 JSA 漏洞管理器 处理器的主机上的此端口。仅当启用了 JSA 漏洞管理器时,才使用此端口。

注意:

JSA 漏洞管理器扫描程序在 7.5.0 更新包 6 中已终止生命周期 (EOL),在任何版本的 JSA 中都不再受支持。在 JSA 7.5.0 更新软件包 6 及更高版本中,您可以继续在 JSA 漏洞管理器平台上使用第三方扫描程序,但无法在 DMZ 中进行扫描。

10000

JSA 基于 Web 的系统管理界面

TCP/UDP

所有 JSA 主机的用户桌面系统。

JSA 2014.5 及更早版本中,此端口用于服务器更改,例如主机 root 密码和防火墙访问。

端口 10000 在 2014.6 中被禁用。

10101, 10102

检测信号命令

TCP

主 HA 节点和辅助 HA 节点之间的双向流量。

需要确保 HA 节点仍处于活动状态。

12500

Socat 二进制

TCP

从 MH 出站 JSA 控制台

用于在 JSA 控制台或 MH 加密时通过 TCP 隧道发送 chrony udp 请求的端口

14433

特雷菲克

TCP

从 JSA 控制台到 JSA 应用程序主机的单向。

与应用程序主机一起使用。它允许控制台将应用程序部署到应用程序主机并管理这些应用程序。

15432

JSA 风险管理师和 JSA 之间的内部沟通需要开放。

15433

波斯特格雷斯

TCP

用于访问本地数据库实例的受管主机的通信。

用于 JSA 漏洞管理器 配置和存储。仅当启用了 JSA 漏洞管理器时,才使用此端口。

注意:

JSA 漏洞管理器扫描程序在 7.5.0 更新包 6 中已终止生命周期 (EOL),在任何版本的 JSA 中都不再受支持。在 JSA 7.5.0 更新软件包 6 及更高版本中,您可以继续在 JSA 漏洞管理器平台上使用第三方扫描程序,但无法在 DMZ 中进行扫描。

20000-23000

SSH 隧道

TCP

从 JSA 控制台双向到所有其他加密的受管主机。

用于与加密受管主机进行 Java 消息服务 (JMS) 通信的 SSH 隧道的本地侦听点。用于执行长时间运行的异步任务,例如通过系统和许可证管理更新网络配置。

23111

SOAP Web 服务器

TCP

 

事件收集服务 (ECS) 的 SOAP Web 服务器端口。

23333 Emulex 光纤通道 TCP 使用光纤通道卡连接到 JSA 装置的用户台式机系统。 Emulex 光纤通道 HBAnywhere 远程管理服务 (elxmgmt)。
26000 特雷菲克 TCP

JSA 组件之间的双向。

 与加密的应用程序主机一起使用。应用服务发现需要。
26001 康曼 TCP 从 JSA 控制台到 JSA 应用程序主机的单向。 与加密的应用程序主机一起使用。它允许控制台将应用程序部署到应用程序主机并管理这些应用程序。

32000

规范化流转发

TCP

JSA 组件之间的双向。

从异地源或在 JSA 流处理器之间通信的规范化流数据。

32004

规范化事件转发

TCP

JSA 组件之间的双向。

从异地源或在 JSA 事件收集器之间通信的规范化事件数据。

32005

数据流

TCP

JSA 组件之间的双向。

JSA 事件收集器之间的数据流通信端口(位于不同的受管主机上)。

32006

爱丽儿查询

TCP

JSA 组件之间的双向。

Ariel 代理服务器和 Ariel 查询服务器之间的通信端口。

32007

进攻数据

TCP

JSA 组件之间的双向。

导致犯罪或涉及全局关联的事件和流程。

32009

身份数据

TCP

JSA 组件之间的双向。

被动漏洞信息服务 (VIS) 和事件收集服务 (ECS) 之间通信的身份数据。

32010

流侦听源端口

TCP

JSA 组件之间的双向。

流侦听端口,用于从 JSA 流处理器收集数据。

32011

Ariel 侦听端口

TCP

JSA 组件之间的双向。

Ariel 侦听端口,用于数据库搜索、进度信息和其他关联命令。

32000-33999

数据流(流、事件、流上下文)

TCP

JSA 组件之间的双向。

数据流,例如事件、流、流上下文和事件搜索查询。

ICMP

ICMP

  

HA 群集中辅助主机和主要主机之间的双向流量。

使用互联网控制消息协议 (ICMP) 测试 HA 群集中辅助主机和主要主机之间的网络连接。

查看 IMQ 端口关联

JSA 使用的多个端口分配额外的随机端口号。例如,消息队列 (IMQ) 为受管主机上的组件之间的通信打开随机端口。您可以通过使用 telnet 连接到本地主机并查找端口号来查看 IMQ 的随机端口分配。

随机端口关联不是静态端口号。如果重新启动服务,则会重新分配为该服务生成的端口,并为服务提供一组新的端口号。

  1. 使用 SSH 以 root 用户身份登录 JSA 控制台

  2. 要显示 IMQ 消息连接的关联端口列表,请键入以下命令:

    telnet localhost 7676

    telnet 命令的结果可能类似于以下输出:

    telnet 输出显示 IMQ 的 4 个随机高编号 TCP 端口中的 3 个。未显示的第四个端口是 JMX 远程方法调用 (RMI) 端口,可通过输出中显示的 JMX URL 使用。

    如果 telnet 连接被拒绝,则表示 IMQ 当前未运行。系统可能正在启动或关闭,或者服务已手动关闭。

搜索 JSA 正在使用的端口

使用 netstat 命令确定 JSA 控制台或受管主机上正在使用哪些端口。使用 netstat 命令查看系统上所有侦听和已建立的端口。

  1. 使用 SSH 以 root 用户身份登录到 JSA 控制台

  2. 若要显示计算机正在侦听的所有活动连接以及 TCP 和 UDP 端口,请键入以下命令:

  3. 要从 netstat 端口列表中搜索特定信息,请键入以下命令:

    • 若要显示与 199 匹配的所有端口,请键入以下命令:

    • 若要显示所有侦听端口上的信息,请键入以下命令:

JSA 公共服务器

为了向您提供最新的安全信息, JSA 需要访问多个公共服务器。

表 2 列出了 JSA 访问的 IP 地址或主机名的说明。

公共服务器

表 2:JSA 必须访问的公共服务器

IP 地址或主机名

描述

194.153.113.31

JSA 漏洞管理器DMZ 扫描仪

注意:

JSA 漏洞管理器扫描程序在 7.5.0 更新包 6 中已终止生命周期 (EOL),在任何版本的 JSA 中都不再受支持。在 JSA 7.5.0 更新软件包 6 及更高版本中,您可以继续在 JSA 漏洞管理器平台上使用第三方扫描程序,但无法在 DMZ 中进行扫描。

194.153.113.32

JSA 漏洞管理器DMZ 扫描仪

注意:

JSA 漏洞管理器扫描程序在 7.5.0 更新包 6 中已终止生命周期 (EOL),在任何版本的 JSA 中都不再受支持。在 JSA 7.5.0 更新软件包 6 及更高版本中,您可以继续在 JSA 漏洞管理器平台上使用第三方扫描程序,但无法在 DMZ 中进行扫描。

download.juniper.net

JSA 自动更新服务器。

update.xforce-security.com

X力威胁源更新服务器

license.xforce-security.com

X力威胁源许可服务器

相关文档