Configuración del firewall para el dispositivo web seguro
Introducción
Este documento describe los puertos que deben estar abiertos para el funcionamiento de Cisco Secure Web Appliance (SWA).
Prerequisites
Conocimiento general del protocolo de control de transmisión/protocolo de Internet (TCP/IP).
Comprender las diferencias y comportamientos del protocolo de control de transmisión (TCP) y del protocolo de datagramas de usuario (UDP).
Reglas de firewall
La tabla enumera los puertos posibles que se necesitan abrir para el funcionamiento correcto de Cisco SWA.
| Puerto predeterminado |
Protocolo |
InBound/OutBound |
Nombre del host |
Propósito |
| 20 21 |
TCP |
InBound o OutBound |
IP de administración de AsyncOS. (entrantes) servidor FTP ( saliente ) |
Protocolo de transferencia de archivos (FTP) para agregar archivos de registro. |
| 22 |
TCP |
Entrantes |
IP de administración AsyncOS |
Acceso mediante el protocolo Secure Shell (SSH) al protocolo Secure Shell (SSH), |
| 22 |
TCP |
Salientes |
Servidor SSH |
Agregación SSH de archivos de registro. Transferencia de protocolo de copia segura (SCP) al servidor de registro. |
| 25 |
TCP |
Salientes |
IP de servidor de protocolo simple de transferencia de correo (SMTP) |
Enviar alertas por correo electrónico |
| 53 |
UDP |
Salientes |
Servidores del Sistema de nombres de dominio (DNS) |
DNS si se configura para utilizar Internet También para consultas de SenderBase. |
| 8080 |
TCP |
Entrantes |
Dirección IP de administración de AsyncOS |
Acceso mediante el protocolo de transferencia de hipertexto (HTTP) a la interfaz gráfica de usuario (GUI) |
| 8443 |
TCP |
Entrantes |
Dirección IP de administración de AsyncOS |
Acceso seguro al protocolo de transferencia de hipertexto (HTTP) a la interfaz gráfica de usuario |
| 80 443 |
TCP |
Salientes |
downloads.ironport.com |
Definiciones de McAfee |
| 80 443 |
TCP |
Salientes |
updates.ironport.com |
Actualizaciones de AsyncOS y definiciones de McAfee |
| 88 |
TCP y UDP |
Salientes |
Centro de distribución de claves Kerberos (KDC) / Servidor de dominio de Active Directory |
Autenticación Kerberos |
| 88 |
UDP |
Entrantes |
Centro de distribución de claves Kerberos (KDC) / Servidor de dominio de Active Directory |
Autenticación Kerberos |
| 445 |
TCP |
Salientes |
Microsoft SMB |
Dominio de autenticación de Active Directory (NTLMSSP y Basic) |
| 389 |
TCP y UDP |
Salientes |
Servidor LDAP (protocolo ligero de acceso a directorios) |
Autenticación LDAP |
| 3268 |
TCP |
Salientes |
Catálogo global de LDAP (GC) |
LDAP GC |
| 636 |
TCP |
Salientes |
LDAP sobre capa de conexión segura (SSL) |
SSL LDAP |
| 3269 |
TCP |
Salientes |
LDAP GC sobre SSL |
LDAP GC SSL |
| 135 |
TCP |
InBound y OutBound |
Resolución de terminales: mapeo de puertos Puerto fijo de Net Log-on |
Resolución de terminal |
| 161 162 |
UDP |
Salientes |
Servidor con protocolo simple de administración de red (SNMP) |
Consultas SNMP |
| 161 |
UDP |
Entrantes |
IP de administración AsyncOS |
Trampas del protocolo SNMP |
| 123 |
UDP |
Salientes |
Servidor de protocolo de tiempo de la red (NTP) |
sincronización de hora NTP |
| 443 |
TCP |
Salientes |
update-manifests.ironport.com |
Obtener la lista de los archivos más recientes (para hardware físico) |
| 443 |
TCP |
Salientes |
update-manifests.sco.cisco.com |
Obtener la lista de los archivos más recientes (para hardware virtual) |
| 443 |
TCP |
Salientes |
regsvc.sco.cisco.com IPv4 IPv6 |
Cisco Talos Intelligence Services Obtenga datos de reputación y categoría de Localizador uniforme de recursos (URL). |
| 443 |
TCP |
Salientes |
cloud-sa.amp.cisco.com api.amp.cisco.com api.amp.sourcefire.com |
Nube pública de protección frente a malware avanzado (AMP) |
| 443 |
TCP |
Salientes |
AMÉRICA mx01.sse.itd.cisco.com dex.sse.itd.cisco.com api.eu.sse.itd.cisco.com mx01.eu.sse.itd.cisco.com dex.eu.sse.itd.cisco.com ASIA/PACÍFICO dex.apj.sse.itd.cisco.com |
Servicios en la nube de Cisco en un dispositivo web seguro. Las URL necesarias son diferentes según la región de Secure Cloud Servers. |
| 443 |
TCP |
Salientes |
panacea.threatgrid.com panacea.threatgrid.eu |
Para Secure Malware Analytics Portal y dispositivos integrados |
| 80 3128 |
TCP |
Entrantes |
Clientes proxy |
Conectividad predeterminada de clientes con proxy HTTP/HTTPS |
| 80 443 |
TCP |
Salientes |
Gateway predeterminado |
Tráfico de salida de proxy HTTP y HTTPS |
| 514 |
UDP |
Salientes |
servidor Syslog |
Servidor Syslog para recopilar registros |
| 990 |
TCP |
Salientes |
cxd.cisco.com |
Para cargar los registros de depuración que son Protocolo de transferencia de archivo de SSL (FTPS) implícito. |
| 21 |
TCP |
Salientes |
cxd.cisco.com |
Para cargar los registros de depuración que son FTPS explícito o FTP |
| 443 |
TCP |
Salientes |
cxd.cisco.com |
Para cargar los registros de depuración que son |
| 22 |
TCP |
Salientes |
cxd.cisco.com |
Para cargar los registros de depuración que son |
| 22 |
TCP |
Salientes |
s.tunnels.ironport.com |
Acceso remoto al backend |
| 443 |
TCP |
Salientes |
smartreceiver.cisco.com |
Licencias inteligentes |
Referencias
Configuración del firewall para el dominio y las confianzas de AD: Windows Server | Microsoft Learn
Seguridad, acceso a Internet y puertos de comunicación - Cisco
IP y puertos necesarios para el análisis seguro de malware - Cisco
Cargas de archivos del cliente al Centro de Asistencia Técnica de Cisco - Cisco
Nota técnica sobre preguntas frecuentes sobre acceso remoto en Cisco ESA/WSA/SMA - Cisco
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
4.0 |
27-Apr-2026
|
Se han actualizado las secciones de AMP y servicios en la nube de la tabla de hosts. |
3.0 |
31-Oct-2023
|
Recertificación |
2.0 |
20-Apr-2023
|
Versión inicial |
1.0 |
30-Nov-2022
|
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)