防火墙注意事项

在设置 OT 安全 系统时,规划出开放的端口十分重要,这样做可以确保 Tenable 系统正确运行。下表列出了需要保留以供 OT 安全 ICP 和 OT 安全 传感器使用的端口,以及运行主动查询和与 Tenable Vulnerability ManagementTenable Security Center集成所需的端口。

注意:有关必须允许通过防火墙的 Tenable 网站和域的列表的信息,请参阅知识库文章

OT 安全 Core 平台

以下端口应保持打开状态,以便与 OT 安全 Core 平台通信。

流向 端口 通信对象 目的
传入 TCP 443 和 TCP 28304 OT 传感器 传感器身份验证、配对和接收传感器信息。
传入 TCP 443 和 TCP 28305 OT Security EM ICP 和 EM 配对
传入 TCP 8000 Tenable Core 的 Web 界面 通过浏览器访问 Tenable Core
传入 TCP 28304 ICP/OT 安全 传感器通信
传入 TCP 22 SSH 访问设备 对操作系统或设备执行命令行访问
传出 TCP 443 Tenable Security Center 发送用于集成的数据
传出* TCP 443 cloud.tenable.com 发送用于集成的数据
传出* 各种工业协议 PLC/控制器 主动查询
传出* TCP 25 或 587 用于发送警报的电子邮件服务器 SMTP(警报电子邮件、报告)
传出* UDP 514 Syslog 服务器 发送策略事件警报和 syslog 消息
传出* UDP 53 DNS 服务器 名称解析
传出* UDP 123 NTP 服务器 时间服务
传出* TCP 389 或 636 AD 服务器 AD LDAP 身份验证
传出* TCP 443 SAML 提供程序 单点登录
传出* UDP 161 SNMP 服务器 对 Tenable Core 进行 SNMP 监控
传出* TCP 443

*.tenable.com

*.nessus.org

自动插件、应用程序和操作系统更新**

*可选服务

**可用的离线程序

OT 安全 传感器

以下端口应保持打开状态,以便与 OT 安全 传感器通信。

流向 端口 通信对象 目的
传入 TCP 8000 Web 界面 通过浏览器访问用户 GUI
传入 TCP 22 SSH 访问设备 对操作系统或设备执行命令行访问
传出* TCP 25 用于发送警报的电子邮件服务器 SMTP(警报电子邮件、报告)
传出* UDP 53 DNS 服务器 名称解析
传出* UDP 123 NTP 服务器 时间服务
传出* UDP 161 SNMP 服务器 Tenable Core 进行 SNMP 监控
传出 TCP 28303 ICP/OT 安全
从传感器发送通信,在 ICP/OT 安全 上接收
未经身份验证/仅被动传感器连接
传出 TCP 443 和 TCP 28304 ICP/OT 安全
从传感器发送通信,在 ICP/OT 安全 上接收
传感器和 ICP 之间经过身份验证/安全的隧道

*可选服务

主动查询

以下端口应保持打开状态,以便使用主动查询功能。

流向 端口 通信对象 目的
传出 TCP 80 OT 设备 HTTP 指纹识别
传出 TCP 102 OT 设备 S7/S7+ 协议
传出 TCP 443 OT 设备 HTTP 指纹识别
传出 TCP 445 OT 设备 WMI 查询
传出 TCP 502 OT 设备 Modbus 协议
传出 TCP 5432 OT 设备 PostgreSQL 查询
传出 TCP 44818 OT 设备

CIP 协议

传出 TCP/UDP 53 OT 设备 DNS
传出 ICMP OT 设备 资产发现
传出 UDP 161 OT 设备 SNMP 查询
传出 UDP 137 OT 设备 NBNS 查询
传出 UDP 138 OT 设备 NetBIOS 查询

注意:设备使用的端口因供应商和产品线而异。有关确保主动查询成功所需的相关端口和协议的列表,请参阅“识别和详细信息查询”。

OT 安全 集成

以下端口应保持打开状态,以便与 Tenable Vulnerability ManagementTenable Security Center 集成通信。

流向 端口 通信对象 目的
传出 TCP 443 cloud.tenable.com Tenable Vulnerability Management 集成
传出 TCP 443 Tenable Security Center Tenable Security Center 集成

识别和详细信息查询

您可以使用以下端口进行识别和详细信息查询:

注意:您可能需要打开防火墙上的端口,OT 安全 或其传感器才能访问您的资产的相关端口。
端口 端口名称

21

FTP

80

HTTP

102

Step-7 / S7+

111

Emerson OVATION

135

WMI
161 SNMP

443

HTTPS

502

MODBUS / MMS

1911

Niagara FOX

2001

Profibus

2222

PCCC_AB-ETH

2404

IEC 60870-5

3500

Bachmann

4000

Emerson ROC

4911

Niagara FOX TLS

5002

Mitsubishi MELSEC

5007

Mitsubishi MELSEC

5432

PSQL / SEL

18245

SRTP

20000

DNP3

20256

PCOM

44818

EthernetIP / CIP
47808 BACNET (udp)

48898

ADS

55553

Honeywell CEE
55565 Honeywell FTE