ポート番号、URL、およびIPアドレス
Workload Security コンポーネントはネットワークを介して通信します。次のものを使用します。
インストール前に、ネットワーク管理者がファイアウォール、AWSセキュリティグループ、およびWebプロキシを設定して、これらのネットワークサービスを許可する必要がある場合があります。
初期設定が表示されます。多くのネットワーク設定は構成可能です。たとえば、 ネットワークにWebプロキシがある場合、Agentがポート443の Workload Security に直接接続する代わりに、ポート1443を介して接続するように設定できます。初期設定を変更する場合は、ファイアウォールで 新しい 設定を使用した通信を許可する必要があります。
基本的な概要については、次のネットワーク図を参照してください。詳細については、図の後の必要なポート番号、IPアドレス、およびURL の表を参照してください。
必要なWorkload SecurityのIPアドレスとポート番号
次の表は、送信元アドレス (TCP接続またはUDPセッションを開始する配信コンポーネント) 別にまとめたものです。通常、応答 (宛先アドレスからの同じ接続で逆方向のパケット) も許可する必要があります。
Workload Security サーバには通常、動的IPアドレスがあります (つまり、必要に応じて、配置内の他のコンピュータがDNSクエリを使用して Workload Security FQDNの現在のIPアドレスを検索します)。Workload Security ドメイン名のリストについては、必要なWorkload Security URLを参照してください。
一部のポートは、特定のコンポーネントおよび機能を使用する場合にのみ必要です。一部のサービスには静的IPアドレスが割り当てられている場合があります。これらの例外およびオプション機能が示されています。
表内のすべてのポートは送信先ポート (待機ポートとも呼ばれます) です。多くのソフトウェアと同様に、 Workload Security もソケットを開くときに動的なエフェメラル送信元ポート を使用します。まれに、エフェメラル送信元ポートがブロックされ、接続の問題が発生することがあります。その場合は、送信元ポートも開く必要があります。
| 送信元アドレス | 送信先アドレス | ポート(初期設定) | プロトコル |
|---|---|---|---|
| 管理者のコンピュータ | DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
|
Workload Security 2020年11月23日より前に作成されたアカウント: |
443 | HTTPS over TCP | |
|
Workload Security サブネット: 3.26.127.96/27 3.99.65.64/27 3.69.198.64/27 3.108.13.32/27 35.75.131.96/27 13.214.15.0/27 3.140.136.224/27 34.205.5.0/27 |
SIEMまたはSyslogサーバ (ある場合) |
514 | UDP経由のSyslog |
|
SIEMまたはSyslogサーバ (ある場合) |
6514 | Syslog over TLS | |
|
Agent、 双方向通信またはManagerからの通信を有効にする場合にのみ必要です。 |
4118 | HTTPS over TCP | |
| Agent | DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
| SIEMまたはSyslogサーバ (ある場合) |
514 | UDP経由のSyslog | |
|
Workload Security 2020年11月23日より前に作成されたアカウント:Workload Security またはDeep Security as a Serviceアカウントが2020年11月23日より前に作成された場合にのみ、送信接続で次の静的IPアドレスが使用されます。アカウントがいつ作成されたかを確認するには、コンソールの上部でテナント名を選択し、[アカウントの詳細]の順に選択します。作成日時の横に日付が表示されます。 コンソール (GUI) 34.196.38.94 34.198.27.224 34.198.6.142 34.205.210.199 34.205.219.175 34.205.239.162 34.226.116.82 34.233.153.57 35.153.222.175 35.169.254.68 35.169.43.208 35.172.176.62 50.17.162.194 52.0.124.201 52.0.33.128 52.202.124.22 52.207.138.122 52.22.162.229 52.3.171.31 52.72.111.249 52.72.211.36 52.87.46.150 54.175.211.84 54.80.120.113 アクティベーションとハートビート 34.192.67.219 34.196.25.105 34.199.44.254 34.204.244.61 34.206.23.113 34.206.95.140 34.206.146.6 34.206.215.233 52.23.102.52 52.54.141.100 52.54.240.176 54.86.2.200 高速ハートビート 34.192.145.157 34.199.111.255 34.204.221.63 34.206.179.241 52.44.129.132 52.45.95.227 52.55.183.116 52.73.88.81 52.202.143.169 52.206.208.21 54.208.106.230 54.152.108.196 54.85.86.247 18.204.77.2 54.84.198.181 52.0.58.66 52.6.19.160 18.233.125.165 34.227.134.223 52.73.122.26 34.233.252.54 34.236.163.142 52.44.40.85 3.209.15.127 52.70.113.18 3.210.118.160 54.175.77.19 3.225.117.164 54.224.63.108 52.72.213.26 18.235.177.174 34.203.45.194 54.165.185.17 |
443 | HTTPS over TCP | |
| Relay (ある場合) |
4122 | HTTPS over TCP | |
| Smart Protection Network | 80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
| Service Gateway (ファイルレピュテーション機能の場合、Smart Protection Networkの代わりに) |
8080 | HTTP over TCP | |
| Smart Protection Server (ファイルレピュテーション機能の場合、 Smart Protection Networkの代わりに) |
80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
| Smart Protection Server (Webレピュテーション機能の場合、 Smart Protection Networkの代わりに) |
5274 | HTTP over TCP | |
| 5275 | HTTPS over TCP | ||
|
Relay (ある場合) |
全てAgentが必要とする宛先アドレス、ポート、およびプロトコル(各RelayにはAgentが含まれます) | ||
| その他のリレー (ある場合) |
4122 | HTTPS over TCP | |
|
ローカルホスト サーバの他のソフトウェアが同じポートを使用している場合 (ポートの競合) や、iptablesやWindowsファイアウォールなどのホストファイアウォールでlocalhost接続がブロックされている場合 (サーバ自体に内部的に接続する場合) にのみ設定します。localhost接続はネットワークに到達しないため、ネットワークファイアウォールでこのポートを許可する必要はありません。 |
4123 | N/A | |
|
トレンドマイクロのアップデートサーバ/アクティブアップデート 2020年11月23日より前に作成されたアカウント:Workload Security またはDeep Security as a Serviceアカウントが2020年11月23日より前に作成された場合にのみ、送信接続で次の静的IPアドレスが使用されます。アカウントがいつ作成されたかを確認するには、コンソールの上部でテナント名を選択し、[アカウントの詳細]の順に選択します。作成日時の横に日付が表示されます。 3.210.17.243 3.222.238.73 18.205.30.1 18.210.96.90 34.193.172.66 34.194.74.60 34.196.197.189 34.204.219.38 34.204.220.78 34.205.83.195 34.227.254.106 34.232.200.81 52.2.63.133 52.3.39.108 52.4.197.109 52.20.8.32 52.21.149.243 52.44.144.238 52.55.188.35 52.201.199.128 52.204.10.77 52.206.54.30 52.206.193.178 52.207.18.27 54.86.152.157 54.87.173.241 54.144.77.16 54.156.82.102 54.160.187.232 54.165.40.223 54.165.117.76 54.174.156.3 54.175.39.189 54.210.11.136 54.211.23.144 54.221.238.214 174.129.163.104 |
80 | HTTP over TCP | |
| 443 | HTTP over TCP | ||
|
ダウンロードセンター、 2020年11月23日より前に作成されたアカウント:Workload Security またはDeep Security as a Serviceアカウントが2020年11月23日より前に作成された場合にのみ、送信接続で次の静的IPアドレスが使用されます。アカウントがいつ作成されたかを確認するには、コンソールの上部でテナント名を選択し、[アカウントの詳細]の順に選択します。作成日時の横に日付が表示されます。 3.210.17.243 3.222.238.73 18.205.30.1 18.210.96.90 34.193.172.66 34.194.74.60 34.196.197.189 34.204.219.38 34.204.220.78 34.205.83.195 34.227.254.106 34.232.200.81 52.2.63.133 52.3.39.108 52.4.197.109 52.20.8.32 52.21.149.243 52.44.144.238 52.55.188.35 52.201.199.128 52.204.10.77 52.206.54.30 52.206.193.178 52.207.18.27 54.86.152.157 54.87.173.241 54.144.77.16 54.156.82.102 54.160.187.232 54.165.40.223 54.165.117.76 54.174.156.3 54.175.39.189 54.210.11.136 54.211.23.144 54.221.238.214 174.129.163.104 |
443 | HTTPS over TCP | |
|
データセンターゲートウェイ (存在する場合) |
DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
| Workload Security | 443 | HTTPS over TCP | |
| VMware vCenter | 443 | HTTPS over TCP | |
| Microsoft Active Directory | 389 | STARTTLSとLDAP over TCP and UDP | |
| 636 | LDAPS over TCPおよびUDP | ||
|
Service Gateway (存在する場合) |
DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
| Trend Micro Smart Protection Network (ファイルレピュテーション機能用) |
80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
|
APIクライアント (ある場合) |
Workload Security | 443 | HTTPS over TCP |
必須の Workload Security URL
WebプロキシとURLフィルタは、有効な証明書、URL (/indexなど) 、完全修飾ドメイン名 (FQDN) (Host: store.example.com:8080など) など、接続のHTTPレイヤを検査できます。以下の各FQDNですべてのURLを許可します。
たとえば、AgentとRelayは、ポート80または443で files.trendmicro.com からソフトウェアアップデートをダウンロードできる必要があります。ファイアウォールでそのTCP/IP接続が許可されています。ただし、接続にHTTPまたはHTTPSプロトコルが含まれているため、ファイアウォールだけでなく、WebプロキシやWebフィルタもブロックできます。したがって、 https://files.trendmicro.com/ または http://files.trendmicro.com/ とすべてのサブURLを許可するように、それらも設定する必要があります。
一部のFQDNは、特定のコンポーネントおよび機能を使用する場合にのみ必要です。これらのオプションのコンポーネントおよび機能が示されています。
| 送信元アドレス | 送信先アドレス | ホストの完全修飾ドメイン名 | プロトコル |
|---|---|---|---|
| Agent、 Relay (ある場合) |
Workload Security |
Agent 20.0ビルド1541以降:リージョンの完全修飾ドメイン名:
ファイアウォールがワイルドカードFQDN (
|
HTTPS HTTP |
|
ダウンロードセンター、 |
|
HTTPS HTTP |
|
|
HTTPS HTTP |
||
|
Trend Micro Vision One |
|
HTTPS HTTP |
|
| Agent | Smart Protection Network |
|
HTTPS HTTP |
Agent 20.0以降:
Agent 12.0:
Agent 11.0:
Agent 10.0:
スマートフィードバックでのみ必要です。 |
HTTPS HTTP |
||
スマートスキャン機能でのみ必要です。 |
HTTPS HTTP |
||
予測機械学習でのみ必要です。 |
HTTPS HTTP |
||
ファイルレピュテーション機能の動作監視、予測機械学習、および プロセスメモリスキャンでのみ必要です。 |
HTTPS HTTP |
||
Webレピュテーション機能でのみ必要です。 |
HTTPS HTTP |
||
| Smart Protection Server (存在する場合は、 Smart Protection Networkの代わりに) |
ファイルレピュテーションおよびWebレピュテーション機能でのみ必要です。他の機能では引き続き Smart Protection Networkが必要であるため、このローカルサーバを使用することはできません。 |
HTTPS HTTP |
|
| Workload Security |
Agent、 双方向通信またはManagerからの通信を有効にする場合にのみ必要です。 |
Agent 20.0ビルド1559以降:リージョンの完全修飾ドメイン名:
ファイアウォールがワイルドカードFQDN (
|
HTTPS |
| データセンターゲートウェイ (ある場合) |
Workload Security |
リージョンの完全修飾ドメイン名: オーストラリア:
カナダ:
ドイツ:
インド:
日本:
シンガポール:
英国:
米国:
|
HTTPS |
| APIクライアント (ある場合) |
Workload Security |
リージョンの完全修飾ドメイン名:
使用するAPIに応じて、次のいずれかの従来のドメイン名:
Webフィルタが
|
HTTPS |