防火墙注意事项
在设置 OT Security 系统时,规划出开放的端口十分重要,这样做可以确保 Tenable 系统正确运行。下表列出了需要保留以供 OT Security ICP 和 OT Security 传感器使用的端口,以及运行主动查询和与 Tenable Vulnerability Management 和 Tenable Security Center集成所需的端口。
注意:有关必须允许通过防火墙的 Tenable 网站和域的列表的信息,请参阅知识库文章。
OT Security Core 平台
以下端口应保持打开状态,以便与 OT Security Core 平台通信。
注意:为使 EM 集中式更新生效,ICP 必须能够访问端口 28305 和 8000 (TCP)。
| 流向 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| 传入 | TCP 443 和 TCP 28304 | OT 传感器 | 传感器身份验证、配对和接收传感器信息。 |
| 传出 | TCP 443 和 TCP 28305 | OT Security EM | ICP 和 EM 配对 |
| 传入 | TCP 8000 | Tenable Core 的 Web 界面 | 通过浏览器访问 Tenable Core |
| 传入 | TCP 28304 | ICP/OT Security | 传感器通信 |
| 传入 | TCP 22 | SSH 访问设备 | 对操作系统或设备执行命令行访问 |
| 传出 | TCP 443 | Tenable Security Center | 发送用于集成的数据 |
| 传出* | TCP 443 | cloud.tenable.com | 发送用于集成的数据 |
| 传出* | 各种工业协议 | PLC/控制器 | 主动查询 |
| 传出* | TCP 25 或 587 | 用于发送警报的电子邮件服务器 | SMTP(警报电子邮件、报告) |
| 传出* | UDP 514 | Syslog 服务器 | 发送策略事件警报和 syslog 消息 |
| 传出* | UDP 53 | DNS 服务器 | 名称解析 |
| 传出* | UDP 123 | NTP 服务器 | 时间服务 |
| 传出* | TCP 389 或 636 | AD 服务器 | AD LDAP 身份验证 |
| 传出* | TCP 443 | SAML 提供程序 | 单点登录 |
| 传出* | UDP 161 | SNMP 服务器 | 对 Tenable Core 进行 SNMP 监控 |
| 传出* | TCP 443 |
*.tenable.com *.nessus.org |
自动插件、应用程序和操作系统更新** |
| 传出 |
TCP 10146(安全端口)
|
IoT 连接器 | 将 ICP 连接到 IoT 连接器代理 |
*可选服务
**可用的离线程序
OT Security 传感器
以下端口应保持打开状态,以便与 OT Security 传感器通信。
| 流向 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| 传入 | TCP 8000 | Web 界面 | 通过浏览器访问用户 GUI |
| 传入 | TCP 22 | SSH 访问设备 | 对操作系统或设备执行命令行访问 |
| 传出* | TCP 25 | 用于发送警报的电子邮件服务器 | SMTP(警报电子邮件、报告) |
| 传出* | UDP 53 | DNS 服务器 | 名称解析 |
| 传出* | UDP 123 | NTP 服务器 | 时间服务 |
| 传出* | UDP 161 | SNMP 服务器 | 对 Tenable Core 进行 SNMP 监控 |
| 传出 | TCP 28303 | ICP/OT Security 从传感器发送通信,在 ICP/OT Security 上接收 |
未经身份验证/仅被动传感器连接 |
| 传出 | TCP 443 和 TCP 28304 | ICP/OT Security 从传感器发送通信,在 ICP/OT Security 上接收 |
传感器和 ICP 之间经过身份验证/安全的隧道 |
*可选服务
主动查询
以下端口应保持打开状态,以便使用主动查询功能。
| 流向 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| 传出 | TCP 80 | OT 设备 | HTTP 指纹识别 |
| 传出 | TCP 102 | OT 设备 | S7/S7+ 协议 |
| 传出 | TCP 443 | OT 设备 | HTTP 指纹识别 |
| 传出 | TCP 445 | OT 设备 | WMI 查询 |
| 传出 | TCP 502 | OT 设备 | Modbus 协议 |
| 传出 | TCP 5432 | OT 设备 | PostgreSQL 查询 |
| 传出 | UDP 和 TCP 44818 | OT 设备 |
CIP 协议 |
| 传出 | TCP/UDP 53 | OT 设备 | DNS |
| 传出 | ICMP | OT 设备 | 资产发现 |
| 传出 | UDP 161 | OT 设备 | SNMP 查询 |
| 传出 | UDP 137 | OT 设备 | NBNS 查询 |
| 传出 | UDP 138 | OT 设备 | NetBIOS 查询 |
注意:设备使用的端口因供应商和产品线而异。有关确保主动查询成功所需的相关端口和协议的列表,请参阅“识别和详细信息查询”。
OT Security 集成
以下端口应保持打开状态,以便与 Tenable Vulnerability Management 和 Tenable Security Center 集成通信。
| 流向 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| 传出 | TCP 443 | cloud.tenable.com | Tenable Vulnerability Management 集成 |
| 传出 | TCP 443 | Tenable Security Center | Tenable Security Center 集成 |
识别和详细信息查询
您可以使用以下端口进行识别和详细信息查询:
注意:您可能需要打开防火墙上的端口,OT Security 或其传感器才能访问您的资产的相关端口。
| 端口 | 端口名称 |
|---|---|
|
21 |
FTP |
|
80 |
HTTP |
|
102 |
Step-7 / S7+ |
|
111 |
Emerson OVATION |
|
135 |
WMI |
| 161 | SNMP |
|
443 |
HTTPS |
|
502 |
MODBUS / MMS |
|
1911 |
Niagara FOX |
|
2001 |
Profibus |
|
2222 |
PCCC_AB-ETH |
|
2404 |
IEC 60870-5 |
|
3500 |
Bachmann |
|
4000 |
Emerson ROC |
|
4911 |
Niagara FOX TLS |
|
5002 |
Mitsubishi MELSEC |
|
5007 |
Mitsubishi MELSEC |
|
5432 |
PSQL / SEL |
|
18245 |
SRTP |
|
20000 |
DNP3 |
|
20256 |
PCOM |
|
44818 |
EthernetIP / CIP |
| 47808 | BACNET (udp) |
|
48898 |
ADS |
|
55553 |
Honeywell CEE |
| 55565 | Honeywell FTE |