防火墙注意事项
在设置 OT Security 系统时,规划出开放端口十分重要,这样做可以确保 Tenable 系统正确运行。下表列出了需要保留以供 OT Security ICP 和 OT Security 传感器使用的端口,以及运行主动查询和与 Tenable Vulnerability Management 和 Tenable Security Center集成所需的端口。
注意:有关必须允许通过防火墙的 Tenable 网站和域的列表的信息,请参阅知识库文章。
OT Security Core 平台
以下端口应保持打开状态,以便与 OT Security Core 平台通信。
注意:为使 EM 集中式更新生效,ICP 必须能够访问端口 28305 和 8000 (TCP)。
| 流向 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| 传入 | TCP 443 | OT Security 设备的 Web 界面 | 通过浏览器访问 OT Security |
| 传入 | TCP 8000 | Tenable Core 的 Web 界面 | 通过浏览器访问 Tenable Core |
| 传入 | TCP 443 和 TCP 28304 | OT 传感器 | 传感器身份验证、配对和接收传感器信息。 |
| 传出 | TCP 443 和 TCP 28305 | OT Security EM | ICP 和 EM 配对 |
| 传入 | TCP 22 | SSH 访问设备 | 对操作系统或设备执行命令行访问 |
| 传出 | TCP 443 | Tenable Security Center | 发送用于集成的数据 |
| 传出* | TCP 443 | cloud.tenable.com | 发送用于集成的数据 |
| 传出* | 各种工业协议 | PLC/控制器 | 主动查询 |
| 传出* | TCP 25 或 587 | 用于发送警报的电子邮件服务器 | SMTP(警报电子邮件、报告) |
| 传出* | UDP 514 | Syslog 服务器 | 发送策略事件警报和 syslog 消息 |
| 传出* | UDP 53 | DNS 服务器 | 名称解析 |
| 传出* | UDP 123 | NTP 服务器 | 时间服务 |
| 传出* | TCP 389 或 636 | AD 服务器 | AD LDAP 身份验证 |
| 传出* | TCP 443 | SAML 提供程序 | 单点登录 |
| 传出* | UDP 161 | SNMP 服务器 | 对 Tenable Core 进行 SNMP 监控 |
| 传出* | TCP 443 |
*.tenable.com *.nessus.org |
自动插件、应用程序和操作系统更新** |
| 传出 |
TCP 10146(安全端口)
|
IoT 连接器 | 将 ICP 连接到 IoT 连接器代理 |
*可选服务
**可用的离线程序
OT Security 传感器
以下端口应保持打开状态,以便与 OT Security 传感器通信。
| 流向 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| 传入 | TCP 8000 | Web 界面 | 通过浏览器访问用户 GUI |
| 传入 | TCP 22 | SSH 访问设备 | 对操作系统或设备执行命令行访问 |
| 传出* | TCP 25 | 用于发送警报的电子邮件服务器 | SMTP(警报电子邮件、报告) |
| 传出* | UDP 53 | DNS 服务器 | 名称解析 |
| 传出* | UDP 123 | NTP 服务器 | 时间服务 |
| 传出* | UDP 161 | SNMP 服务器 | 对 Tenable Core 进行 SNMP 监控 |
| 传出 | TCP 28303 | ICP/OT Security 从传感器发送通信,在 ICP/OT Security 上接收 |
未经身份验证/仅被动传感器连接 |
| 传出 | TCP 443 和 TCP 28304 | ICP/OT Security 从传感器发送通信,在 ICP/OT Security 上接收 |
传感器和 ICP 之间经过身份验证/安全的隧道 |
*可选服务
主动查询
以下端口必须保持打开状态,以便使用主动查询功能。
注意:OT Security 支持跨这些协议进行查询,但并非所有协议都适用于您的环境。为获得最佳结果,请确保在 OT Security(或 OT Security 传感器)与附近的远程设备之间尽可能多打开所列的端口。此操作可实现准确识别和查询。
| 协议 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| ICMP | 通用/各种 | 网络级资产发现/ping | |
| TCP | 21 | 通用/各种 | FTP 文件传输 |
| TCP/UDP | 53 | DNS 服务器 | 域名系统 (DNS) 解析查询 |
| TCP | 80 | 通用/各种 | HTTP 指纹识别和 Web 界面访问 |
| TCP | 102 | Siemens 设备 | 制造消息规范 (MMS),与 IEC 61850 重叠 |
| TCP | 102 | Siemens 设备 | 适用于变电站和 SCADA 设备的 IEC 61850/MMS |
| TCP | 102 | Siemens 设备 | 适用于自动化设备的 S7/S7+/MMS 通信 |
| UDP | 111 | Emerson Ovation 设备 | 适用于 Ovation 的 RPC 服务注册/发现 |
| TCP | 135 | Windows 设备 | 适用于系统和网络管理的 WMI 查询 |
| UDP | 137 | 通用/各种 | 适用于 Windows 网络发现的 NetBIOS 名称服务 (NBNS) |
| UDP | 138 | 通用/各种 | 适用于 Windows 文件/打印机共享的 NetBIOS Datagram 服务 (NBT) |
| UDP | 161 | 通用/各种 | SNMP 轮询和陷阱通信 |
| TCP | 443 | 通用/各种 | HTTPS 指纹识别和安全 Web 服务 |
| TCP | 445 | Windows 设备 | 适用于系统管理的 WMI/SMB 查询(在某些情况下可替代 135) |
| TCP | 502 | OT 设备 | 与 PLC 和测量仪的 Modbus TCP 通信 |
| UDP | 1069 | Cognex 相机 | Cognex Visual 系统发现协议 |
| TCP | 1911 | BMS 控制器 | Niagara FOX 未加密的协议 |
| TCP | 1962 | Phoenix Contact 设备 | PC Worx 工程和控制通信 |
| TCP/UDP | 2001 | Profinet 设备 | 控制器和 I/O 模块的 Profinet 设备通信 |
| TCP | 2001 | Siemens 设备 | SICAM/PROFINET(旧设备和变电站设备) |
| TCP | 2222 | Rockwell 设备 | 适用于 ControlLogix/PLC 通信的 PCCC 协议 |
| TCP | 2404 | SCADA 设备 | 适用于 RTU 和变电站通信的 IEC 60870-5-104 |
| TCP | 3389 | Windows 设备 | 远程桌面协议 (RDP) |
| TCP | 3500 | Bachmann M1 设备 | Bachmann M1 控制器通信 |
| TCP | 4000 | Emerson 设备 | Emerson ROC 4000 控制器数据/控制 |
| TCP | 4444 | Schneider Electric | SmartX 控制器(EcoStruxure 楼宇运营) |
| UDP | 4800 | Moxa 设备 | Moxa 设备发现协议 |
| TCP | 4911 | BMS 控制器 | Niagara FOX 安全 (TLS/SSL) 协议 |
| TCP | 5001 | Bosch 设备 | Bosch 可编程系统接口 (PSI) |
| TCP | 5002 | Mitsubishi 设备 | 通过 TCP 传输的 MELSEC PLC MC 协议 |
| TCP | 5007 | Mitsubishi 设备 | MELSEC PLC 附加通信端口 |
| UDP | 5009 | Mitsubishi 设备 | MELSEC Finder 广播(设备发现) |
| TCP | 5033 | Siemens 设备 | P2 协议(用于旧版 Siemens 自动化系统) |
| TCP | 5050 | Saia-Burgess 设备 | Saia PCD 控制器通信 |
| TCP | 5094 | HART-IP | 通过 TCP 传输的 HART-IP,用于智能仪表 |
| TCP | 5313 | Yokogawa DCS | CENTUM DCS 工程界面 |
| TCP | 5432 | SEL (Schweitzer) 设备 | 适用于能源设备的 PostgreSQL 数据库访问 |
| TCP | 6626 | WAGO 设备 | WAGO I/O 通信与编程 |
| TCP | 7700 | Schneider Electric | ION 功率计和能源管理系统 |
| TCP | 8000、8008、8080、8443、8800 | 通用/各种 | 通用 HTTP/HTTPS 备用端口 |
| TCP | 9940 | Yokogawa DCS | CENTUM 状态和诊断 |
| UDP | 12321 | Honeywell 设备 | Honeywell FTE UDP 发现/冗余 |
| TCP | 18245 | Schneider 设备 | 适用于 M340/M580 PLC 的 Schneider 实时协议 (SRTP) |
| TCP | 18507 | Emerson 设备 | Emerson ROC/流量计算机(FACE 协议) |
| TCP | 18508 | Emerson 设备 | Emerson 固件升级服务 (UPGD) |
| TCP | 20256 | GE 设备 | 适用于 Proficy iFIX/CIMPLICITY SCADA 的 PCOM 协议 |
| TCP | 20547 | Procon | PROCON OS 远程管理界面 |
| TCP | 24576 | ABB 设备 | 适用于变电站自动化的 ABB 网络控制 (ABB_NC) 协议 |
| TCP | 34964 | Siemens 设备 | PROFINET 连接管理 (PROFINET CM) |
| TCP | 39329 | Emerson 设备 | 基于 Ovation/VME 的控制系统 |
| TCP/UDP | 44818 | OT 设备 | 适用于 Rockwell 设备的通用工业协议 (CIP) |
| UDP | 47808 | BMS 控制器 | 适用于构建自动化设备的 BACnet/IP 通信 |
| TCP/UDP | 48898 | Beckhoff 设备 | 适用于控制器和工程通信的 ADS/TwinCAT 协议 |
| UDP | 48899 | Beckhoff 设备 | ADS/AMS 发现 (TwinCAT/Beckhoff IPC) |
| TCP | 50000 | Siemens 设备 | SIPROTEC 4 中继通信 |
| TCP | 51966 | Honeywell 设备 | Honeywell 容错以太网 (FTE) 通信 |
| TCP | 55553 | Honeywell 设备 | Experion PKS 中的控制执行环境 (CEE) 通信 |
| TCP | 55565 | Honeywell 设备 | 可在 Experion PKS 中实现冗余的容错以太网 (FTE) 通信 |
OT Security 集成
以下端口应保持打开状态,以便与 Tenable Vulnerability Management 和 Tenable Security Center 集成通信。
| 流向 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| 传出 | TCP 443 | cloud.tenable.com | Tenable Vulnerability Management 集成 |
| 传出 | TCP 443 | Tenable Security Center | Tenable Security Center 集成 |
OT 代理
| 流向 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| 传出 | 443 | OT Security | 首次与 OT 代理配对。 |
| 传出 | 28306 | OT Security | 与 OT 代理的连接。 |
IoT 连接器代理
| 流向 | 端口 | 通信对象 | 目的 |
|---|---|---|---|
| 传出 |
TCP 10146(安全端口)
|
IoT 连接器 | 将 ICP 连接到 IoT 连接器代理 |
| 传出 |
TCP 10104(不安全端口)
|
IoT 连接器 | 将 ICP 连接到 IoT 连接器代理 |