GovCloud用のポート番号、URL、およびIPアドレス
GovCloud に Workload Security をデプロイする前に、ネットワーク管理者がファイアウォール、AWS セキュリティグループ、および Web プロキシを構成して、これらのネットワークサービスを許可する必要があります。これらのパラメータは、安全な接続を確保するために GovCloud で制限されています
デフォルト設定が表示されます。多くのネットワーク設定は構成可能です。例えば、ネットワークにウェブプロキシがある場合、エージェントをポート1443で接続するように構成することができ、ポート443で直接Workload Securityに接続する代わりになります。デフォルト設定を変更する場合、ファイアウォールは新しい設定を介した通信を許可する必要があります。
次のネットワーク図は概要を示しています:
必須のWorkload Security IPアドレスとポート番号
次の表は、送信元アドレス(TCP接続またはUDPセッションを開始するデプロイメントコンポーネント)によって整理されています。返信(同じ接続内で反対方向のパケット、宛先アドレスからのパケット)も通常許可する必要があります。
Workload Security サーバには通常、動的IPアドレスがあります (つまり、必要に応じて、配置内の他のコンピュータがDNSクエリを使用して Workload Security FQDNの現在のIPアドレスを検索します)。Workload Security ドメイン名のリストについては、必要なWorkload Security URLを参照してください。
一部のポートは、特定のコンポーネントおよび機能を使用する場合にのみ必要です。一部のサービスには静的IPアドレスが割り当てられている場合があります。これらの例外およびオプション機能が示されています。
表内のすべてのポートは宛先ポート(リスニングポートとも呼ばれます)です。多くのソフトウェアと同様に、Workload Security もソケットを開く際に動的で一時的なソースポートの範囲を使用します。まれに、一時的なソースポートがブロックされることがあり、それが原因で接続の問題が発生します。その場合は、ソースポートも開く必要があります。
| 送信元アドレス | 送信先アドレス | ポート(初期設定) | Protocol |
|---|---|---|---|
| 管理者のコンピュータ | DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
|
Workload Security |
443 | HTTPS over TCP | |
|
Workload Security Subnet: 3.30.186.224/27 |
SIEM または Syslog サーバー (該当する場合) |
514 | UDP経由のSyslog |
|
SIEM または Syslog サーバー (該当する場合) |
6514 | Syslog over TLS | |
|
エージェント, 双方向通信またはManagerからの通信を有効にする場合にのみ必要です。 |
4118 | HTTPS over TCP | |
| エージェント | DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
| SIEM または Syslog サーバー (該当する場合) |
514 | UDP経由のSyslog | |
|
Workload Security |
443 | HTTPS over TCP | |
| Relay (該当する場合) |
4122 | HTTPS over TCP | |
| Smart Protection Network | 80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
| Service Gateway (もしあれば、ファイルレピュテーション機能のためにSmart Protection Networkの代わりに) |
8080 | HTTP over TCP | |
| Smart Protection Server (もしあれば、ファイルレピュテーション機能のためにSmart Protection Networkの代わりに) |
80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
| Smart Protection Server (該当する場合、Smart Protection Networkの代わりに、Webレピュテーション機能用) |
5274 | HTTP over TCP | |
| 5275 | HTTPS over TCP | ||
|
Relay (該当する場合) |
全てAgentが必要とする宛先アドレス、ポート、およびプロトコル(各RelayにはAgentが含まれます) | ||
| その他のRelay (該当する場合) |
4122 | HTTPS over TCP | |
|
ローカルホスト サーバの他のソフトウェアが同じポートを使用している場合 (ポートの競合) や、iptablesやWindowsファイアウォールなどのホストファイアウォールでlocalhost接続がブロックされている場合 (サーバ自体に内部的に接続する場合) にのみ設定します。localhost接続はネットワークに到達しないため、ネットワークファイアウォールでこのポートを許可する必要はありません。 |
4123 | 該当なし | |
| 80 | HTTP over TCP | ||
| 443 | HTTP over TCP | ||
|
ダウンロードセンター, |
443 | HTTPS over TCP | |
|
データセンターゲートウェイ (該当する場合) |
DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
| Workload Security | 443 | HTTPS over TCP | |
| VMware vCenter | 443 | HTTPS over TCP | |
| Microsoft Active Directory | 389 | STARTTLSとLDAP over TCP and UDP | |
| 636 | LDAPS over TCPおよびUDP | ||
|
Service Gateway (該当する場合) |
DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
| Trend Micro Smart Protection Network (ファイルレピュテーション機能用) |
80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
|
API クライアント (該当する場合) |
Workload Security | 443 | HTTPS over TCP |
必要なWorkload SecurityのURL
Web プロキシと URL フィルターは、接続の HTTP レイヤーを検査できます: 有効な証明書、URL (例: /index)、完全修飾ドメイン名 (FQDN) (例: Host: store.example.com:8080) など。以下の表に記載されているすべての FQDN のすべての URL を許可します。
例えば、エージェントとリレーはポート80または443でfiles.trendmicro.comからソフトウェアアップデートをダウンロードできる必要があります。ファイアウォールでそのTCP/IP接続を許可しています。しかし、その接続にはHTTPまたはHTTPSプロトコルが含まれており、ファイアウォールだけでなく、ウェブプロキシやウェブフィルタによってもブロックされる可能性があります。したがって、https://files.trendmicro.com/またはhttp://files.trendmicro.com/およびすべてのサブURLを許可するようにそれらを構成する必要があります。
特定のコンポーネントおよび機能を使用する場合にのみ、いくつかのFQDNが必要です。
| 送信元アドレス | 送信先アドレス | ホストの完全修飾ドメイン名 | プロトコル |
|---|---|---|---|
| エージェント, Relay (該当する場合) |
Workload Security |
Agent 20.0以降:GovCloud の FQDN:
|
HTTPS HTTP |
|
ダウンロードセンター, |
|
HTTPS HTTP |
|
|
HTTPS HTTP |
||
|
Trend Micro Vision One |
|
HTTPS HTTP |
|
| Agents | Smart Protection Network |
|
HTTPS HTTP |
Agent 20.0以降:
Agent 12.0:
Agent 11.0:
Agent 10.0:
スマートフィードバックにのみ必要です。 |
HTTPS HTTP |
||
スマートスキャン機能にのみ必要です。 |
HTTPS HTTP |
||
機械学習型検索にのみ必要です。 |
HTTPS HTTP |
||
ファイルレピュテーション機能の挙動監視、機械学習型検索、およびプロセスメモリスキャンにのみ必要です。 |
HTTPS HTTP |
||
Webレピュテーション機能にのみ必要です。 |
HTTPS HTTP |
||
| Smart Protection Server (Smart Protection Networkの代わりに、該当する場合) |
ファイルレピュテーションおよびWebレピュテーション機能でのみ必要です。他の機能では引き続き Smart Protection Networkが必要であるため、このローカルサーバを使用することはできません。 |
HTTPS HTTP |
|
| Workload Security |
エージェント, 双方向またはマネージャーが開始する通信を有効にする場合にのみ必要です。 |
GovCloud の FQDN:
|
HTTPS |
| データセンターゲートウェイ (該当する場合) |
Workload Security |
GovCloud の FQDN:
|
HTTPS |
| API クライアント (該当する場合) |
Workload Security |
GovCloud の FQDN:
|
HTTPS |