Workload Security コンポーネントは、次の方法でネットワーク上で通信します:
インストール前に、ネットワーク管理者がファイアウォール、AWSセキュリティグループ、およびWebプロキシを設定して、これらのネットワークサービスを許可する必要がある場合があります。
デフォルト設定が表示されます。多くのネットワーク設定は構成可能です。例えば、ネットワークにウェブプロキシがある場合、エージェントをポート443ではなくポート1443で接続するように構成できます。デフォルト設定を変更する場合、ファイアウォールは新しい設定を介した通信を許可する必要があります。
次のネットワーク図に概要を示します。
必要なWorkload SecurityのIPアドレスとポート番号
次の表は、送信元アドレス (TCP接続またはUDPセッションを開始する配信コンポーネント) 別にまとめたものです。通常、応答 (宛先アドレスからの同じ接続で逆方向のパケット)
も許可する必要があります。
Workload Securityサーバーは通常、動的IPアドレスを持っています (つまり、展開内の他のコンピュータは、必要に応じてDNSクエリを使用してWorkload
Security FQDNの現在のIPアドレスを見つけます)。Workload Securityドメイン名のリストについては、必要なWorkload Security URLを参照してください。
一部のポートは、特定のコンポーネントおよび機能を使用する場合にのみ必要です。一部のサービスには静的IPアドレスが割り当てられている場合があります。これらの例外およびオプション機能が示されています。
表内のすべてのポートは宛先ポート (リスニングポートとも呼ばれます) です。多くのソフトウェアと同様に、Workload Securityもソケットを開く際に動的で一時的なソースポートの範囲を使用します。まれに、一時的なソースポートがブロックされることがあり、それが原因で接続の問題が発生することがあります。その場合は、ソースポートも開放する必要があります。
| 送信元アドレス | 宛先アドレス | ポート (デフォルト) | プロトコル | |
| 管理者のコンピュータ | DNSサーバ | 53 | DNS over UDP | |
| NTPサーバ | 123 | UDP経由のNTP | ||
|
Workload Security
|
443 | HTTPS over TCP | ||
|
Workload Security
サブネット:
|
SIEMまたはSyslogサーバ (該当する場合) | 514 | UDP経由のSyslog | |
| SIEMまたはSyslogサーバ (該当する場合) | 6514 | Syslog over TLS | ||
|
エージェント,
|
4118 | HTTPS over TCP | ||
| Agents | DNSサーバ | 53 | DNS over UDP | |
| NTPサーバ | 123 | UDP経由のNTP | ||
| SIEMまたはSyslogサーバ (該当する場合) | 514 | UDP経由のSyslog | ||
|
Workload Security
|
443 | HTTPS over TCP | ||
| リレー (該当する場合) | 4122 | HTTPS over TCP | ||
| Smart Protection Network | 80 | HTTP over TCP | ||
| 443 | HTTPS over TCP | |||
| Smart Protection Server (該当する場合、Smart Protection Networkの代わりに、ファイルレピュテーション機能用) | 8080 | HTTP over TCP | ||
| Smart Protection Server (該当する場合、Smart Protection Networkの代わりに、ファイルレピュテーション機能用) | 80 | HTTP over TCP | ||
| 443 | HTTPS over TCP | |||
| Webレピュテーション機能のためのSmart Protection Server (該当する場合、Smart Protection Networkの代わりに) | 5274 | HTTP over TCP | ||
| 5275 | HTTPS over TCP | |||
| リレー (該当する場合) | エージェントによって必要とされるすべての宛先アドレス、ポート、およびプロトコル (各Relayにはエージェントが含まれています) | |||
| 他のリレー (該当する場合) | 4122 | HTTPS over TCP | ||
|
ローカルホスト
(Relay上では、そのエージェントはリモートRelayではなくローカルに接続します)
サーバの他のソフトウェアが同じポートを使用する場合 (ポートの競合)、またはiptablesやWindowsファイアウォールなどのホストファイアウォールがlocalhost接続 (サーバが内部的に自分自身に接続する) をブロックする場合にのみ構成してください。ネットワークファイアウォールは、localhost接続がネットワークに到達しないため、このポートを許可する必要はありません。
|
4123 | なし | ||
| 80 | HTTP over TCP | |||
| 443 | HTTPS over TCP | |||
|
ダウンロードセンター、
またはローカルウェブサーバ上のミラー (該当する場合)
|
443 | HTTPS over TCP | ||
| DNSサーバ | 53 | DNS over UDP | ||
| NTPサーバ | 123 | UDP経由のNTP | ||
| Workload Security | 443 | HTTPS over TCP | ||
|
VMware vCenter
|
443 | HTTPS over TCP | ||
| Microsoft Active Directory | 389 | STARTTLSとLDAP over TCP and UDP | ||
| 636 | LDAPS over TCPおよびUDP | |||
| Service Gateway (存在する場合) | DNSサーバ | 53 | DNS over UDP | |
| NTPサーバ | 123 | UDP経由のNTP | ||
| トレンドマイクロSmart Protection Network (ファイルレピュテーション機能用) | 80 | HTTP over TCP | ||
| 443 | HTTPS over TCP | |||
| APIクライアント (該当する場合) | Workload Security | 443 | HTTPS over TCP | |
必須の Workload Security URL
WebプロキシとURLフィルタは、接続のHTTPレイヤーを検査できます: 有効な証明書、URL (例:
/index)、完全修飾ドメイン名 (FQDN)(例: Host: store.example.com:8080) など。以下の表に記載されているすべてのFQDNのすべてのURLを許可します。例えば、エージェントとリレーはポート80または443で
files.trendmicro.comからソフトウェアアップデートをダウンロードできる必要があります。ファイアウォールでそのTCP/IP接続を許可しています。しかし、その接続にはHTTPまたはHTTPSプロトコルが含まれており、ファイアウォールだけでなく、ウェブプロキシやウェブフィルターによってもブロックされる可能性があります。したがって、https://files.trendmicro.com/またはhttp://files.trendmicro.com/およびすべてのサブURLを許可するように設定する必要があります。一部のFQDNは、示されている特定のコンポーネントおよび機能を使用する場合にのみ必要です。
| 送信元アドレス | 送信先アドレス | ホストの完全修飾ドメイン名 | プロトコル | ||
| エージェント、リレー (該当する場合) | Workload Security | Agent 20.0ビルド1541以降:
お客様の地域のFQDN:
お使いのファイアウォールがワイルドカードFQDN(例:
*workload.<region>.cloudone.trendmicro.com) をサポートしていない場合、必要なFQDNを個別に許可する必要があります。 |
HTTPS
HTTP
|
||
|
Agent 20.0ビルド1540以前:
お客様の地域のFQDN:
および従来のドメイン名:
お使いのファイアウォールがワイルドカードFQDN(例:
*workload.<region>.cloudone.trendmicro.com) をサポートしていない場合、必要なFQDNを個別に許可する必要があります。 |
HTTPS
HTTP
|
||||
|
ダウンロードセンター、
またはローカルウェブサーバ上のミラー (該当する場合)
|
|
HTTPS
HTTP
|
|||
| トレンドマイクロアップデートサーバ / アクティブアップデート |
|
HTTPS
HTTP
|
|||
|
Trend Vision One
|
|
HTTPS
HTTP
|
|||
| Agents | Smart Protection Network |
|
HTTPS
HTTP
|
||
Agent 20.0以降:
Agent 12.0:
Agent 11.0:
Agent 10.0:
スマートフィードバックにのみ必要です。
|
HTTPS
HTTP
|
||||
スマートスキャンにのみ必要です。
|
HTTPS
HTTP
|
||||
機械学習型検索にのみ必要です。
|
HTTPS
HTTP
|
||||
|
HTTPS
HTTP
|
||||
Webレピュテーションにのみ必要です。
|
HTTPS
HTTP
|
||||
| Smart Protection Server (該当する場合はSmart Protection Networkの代わりに) |
ファイルレピュテーションとWebレピュテーションにのみ必要です。他の機能は引き続きSmart Protection Networkを必要とし、このローカルサーバを使用することはできません。
|
HTTPS
HTTP
|
|||
| Workload Security
エージェント,
|
Agent 20.0ビルド1559以降:
お客様の地域のFQDN:
お使いのファイアウォールがワイルドカードFQDN(例:
*workload.<region>.cloudone.trendmicro.com) をサポートしていない場合、必要なFQDNを個別に許可する必要があります。 |
HTTPS | |||
|
Agent 20.0ビルド1558以前:
お客様の地域のFQDN:
および従来のドメイン名:
お使いのファイアウォールがワイルドカードFQDN(例:
*workload.<region>.cloudone.trendmicro.com) をサポートしていない場合、必要なFQDNを個別に許可する必要があります。 |
HTTPS | ||||
| データセンターゲートウェイ (該当する場合) | Workload Security |
お客様の地域のFQDN:
オーストラリア:
カナダ:
ドイツ:
インド:
日本:
シンガポール:
英国:
米国:
|
HTTPS | ||
| APIクライアント (該当する場合) | Workload Security |
お客様の地域のFQDN:
使用するAPIに応じて、次のいずれかの従来のドメイン名:
お使いのWebフィルタがワイルドカードFQDN(例:
*workload.<region>.cloudone.trendmicro.com) をサポートしていない場合、必要なFQDNを個別に許可する必要があります。 |
HTTPS | ||
| 通知サービス | Workload Security |
お客様の地域のFQDN:
ファイアウォールが
c1ws-notification.<region>.cloudone.trendmicro.comのようなワイルドカードFQDNをサポートしていない場合、すべてのFQDNを個別に許可する必要があります。 |
HTTPS | ||