网络流矩阵

要执行安全监控，Tenable Identity Exposure 必须与每个域的主域控制器仿真器 (PDCe) 通信。您必须在每个 PDCe 上打开网络端口和传输协议，以确保有效监控。

除了这些网络流之外，您还必须考虑其他网络流，例如：

访问最终用户服务。
Tenable Identity Exposure 服务之间传输的网络流。
Tenable Identity Exposure 使用支持服务产生的网络流，例如更新管理基础设施和网络时间协议。

以下网络矩阵图提供了所涉及的不同服务的更多详细信息。

所需协议

在此图表的基础上，下表介绍了 Tenable Identity Exposure 需要使用的每个协议和端口。

网络流	从	至	Tenable Identity Exposure 的用法	流量类型	协议和端口
1.	Tenable Identity Exposure 的安全中继	域控制器	目录、复制、用户和计算机身份验证、组策略、信任	LDAP/LDAPS	TCP/389 和 TCP/636 ICMP/echo-request ICMP/echo-response
			复制、用户和计算机身份验证、组策略、信任	SMB、CIFS、SMB2、DFSN、LSARPC、NbtSS、NetLogonR、SamR、SrvSvc	TCP/445
			用户和计算机身份验证、林级信任	Kerberos	TCP/88、TCP/464 和 UDP/464
			用户和计算机身份验证、名称解析、信任	DNS	UDP/53 和 TCP/53
			复制、用户和计算机身份验证、组策略、信任	RPC、DCOM、EPM、DRSUAPI、NetLogonR、SamR、FRS	TCP 动态端口 (49152-65535) 注意：从 Windows Vista 和 Windows Server 2008 开始，默认的动态端口范围为 49152-65535。这与早期版本所使用的端口 1025-5000 相比有所不同。
			目录、复制、用户和计算机身份验证、组策略、信任	全局目录	TCP/3268 和 TCP/3269
			复制	RPC 端点映射程序	TCP/135
2.	Tenable Identity Exposure 的安全中继	Tenable Identity Exposure 的目录侦听器	Tenable Identity Exposure 的内部 API 流	HTTPS	TCP/443
2.	Tenable Identity Exposure 的安全中继	Tenable Identity Exposure 的目录侦听器	自动更新	HTTP	TCP/5049
3.	最终用户	Tenable Identity Exposure 的安全引擎节点	Tenable Identity Exposure 的最终用户服务（Web 门户、REST API 等）	HTTPS	TCP/443
4.	Tenable Identity Exposure	支持服务	时间同步	NTP	UDP/123
			更新基础设施（例如，WSUS 或 SCCM）	HTTP/HTTPS	TCP/80 或 TCP/443
			PKI 基础设施	HTTP/HTTPS	TCP/80 或 TCP/443
			身份提供程序 SAML 服务器	HTTPS	TCP/443
			身份提供程序 LDAP	LDAP/LDAPS	TCP/389 和 TCP/636
			身份提供程序 OAuth	HTTPS	TCP/443

其他流

除了 Active Directory 协议之外，某些 Tenable Identity Exposure 配置还需要使用其他流。您必须打开 Tenable Identity Exposure 与目标服务之间的这些协议和端口。

网络流	从	至	Tenable Identity Exposure 的用法（可选）	流量类型	协议和端口
5.	Tenable Identity Exposure 的安全中继	网络安全服务	电子邮件通知	SMTP	TCP/25、TCP/587、TCP/465、TCP/2525、TCP/25025 （取决于 SMTP 服务器的配置）
			Syslog 通知	Syslog	TCP/601、TCP/6515、UDP/514 （取决于事件日志服务器的配置）
			Tenable REST API	HTTP/TLS	TCP/443
		域控制器	特权分析	RPC 动态端口	TCP/49152-65535、UDP/49152-65535

内部端口

如果您将安全引擎节点和存储管理器拆分为两个不同的子网，Tenable Identity Exposure 需要拥有以下端口的访问权限。

注意：Tenable 不建议分隔不同网络上的安全引擎节点和存储管理器服务，以免发生性能问题。

网络流	从	至	Tenable Identity Exposure 的用法	流量类型	协议和端口
6.	Tenable Identity Exposure 的安全引擎节点	Tenable Identity Exposure 的存储管理器	MS SQL 服务器数据库访问	MS SQL 查询	TCP/1433
6.	Tenable Identity Exposure 的安全引擎节点	Tenable Identity Exposure 的存储管理器	EventLogStorage 数据库访问	EventLogStorage 查询	TCP/4244
6.	Tenable Identity Exposure 的目录侦听器	Tenable Identity Exposure 的安全引擎节点	Tenable Identity Exposure 的通信总线	高级消息队列协议	TCP/5671 和 TCP/5672
6.	Tenable Identity Exposure 的目录侦听器	Tenable Identity Exposure 的安全引擎节点	Tenable Identity Exposure 的内部 API 流	HTTP/HTTPS	TCP/80 或 TCP/443
7.	Tenable Identity Exposure 的安全引擎节点	Tenable Identity Exposure 的存储管理器	MS SQL 服务器数据库访问	MS SQL 查询	TCP/1433
7.	Tenable Identity Exposure 的安全引擎节点	Tenable Identity Exposure 的存储管理器	EventLogStorage 数据库访问	EventLogStorage 查询	TCP/4244
8.	Tenable Identity Exposure 的安全引擎节点	Tenable Cloud cloud.tenable.com sensor.cloud.tenable.com	Tenable Identity Exposure 云服务	HTTPS	TCP /443

支持服务

支持服务通常因供应商而高度不同或视配置而定。例如，6.2 及更高版本的 WSUS 服务默认监听端口 TCP/8530，但其他版本的 WSUS 服务则监听 TCP/80。您可以将此端口重新配置为任何其他端口。

网络地址转换 (NAT) 支持

Tenable Identity Exposure 会启动所有网络连接，最终用户的网络连接除外。您可以通过网络互连，使用网络地址转换 (NAT) 连接到 Tenable Identity Exposure。