セキュアWebアプライアンス用のファイアウォールの設定
はじめに
このドキュメントでは、Cisco Secure Web Appliance(SWA)の運用のために開く必要があるポートについて説明します。
前提条件
Transmission Control Protocol/Internet Protocol(TCP/IP;伝送制御プロトコル/インターネットプロトコル)に関する一般知識。
伝送制御プロトコル(TCP)とユーザデータグラムプロトコル(UDP)の相違点と動作を理解する。
Firewall Rules
次の表に、Cisco SWAが正しく動作するために開く必要があるポートを示します。
| デフォルト ポート |
プロトコル |
インバウンド/アウトバウンド |
Host name |
目的 |
| 20 21 |
TCP |
着信または発信 |
AsyncOS Management IP(着信) FTPサーバ(アウトバウンド) |
ログファイルを集約するためのファイル転送プロトコル(FTP)。 |
| 22 |
TCP |
Inbound |
AsyncOS管理IP |
Secure Shell Protocol(SSH)へのSecure Shell Protocol(SSH)アクセス |
| 22 |
TCP |
Outbound |
SSHサーバ |
ログファイルのSSH集約。 Secure Copy Protocol(SCP)をログサーバにプッシュ |
| 25 |
TCP |
Outbound |
シンプルメール転送プロトコル(SMTP)サーバIP |
電子メールによるアラートの送信 |
| 53 |
UDP |
Outbound |
ドメインネームシステム(DNS)サーバ |
DNS(インターネットを使用するように設定されている場合) SenderBaseクエリの場合も同様です。 |
| 8080 |
TCP |
Inbound |
AsyncOS管理IPアドレス |
グラフィカルユーザインターフェイス(GUI)へのハイパーテキスト転送プロトコル(HTTP)アクセス |
| 8443 |
TCP |
Inbound |
AsyncOS管理IPアドレス |
GUIへのHypertext Transfer Protocol Secure(HTTPs)アクセス |
| 80 443 |
TCP |
Outbound |
downloads.ironport.com |
McAfee定義 |
| 80 443 |
TCP |
Outbound |
updates.ironport.com |
AsyncOSアップグレードとMcAfee定義 |
| 88 |
TCPおよびUDP |
Outbound |
Kerberos鍵発行局(KDC)/Active Directoryドメインサーバ |
Kerberos 認証 |
| 88 |
UDP |
Inbound |
Kerberos鍵発行局(KDC)/Active Directoryドメインサーバ |
Kerberos 認証 |
| 445 |
TCP |
Outbound |
Microsoft SMB |
Active Directory認証レルム(NTLMSSPおよびBasic) |
| 389 |
TCPおよびUDP |
Outbound |
Lightweight Directory Access Protocol(LDAP)サーバ |
[LDAP Authentication] |
| 3268 |
TCP |
Outbound |
LDAPグローバルカタログ(GC) |
LDAP GC |
| 636 |
TCP |
Outbound |
LDAP over Secure Sockets Layer(SSL) |
LDAP SSL |
| 3269 |
TCP |
Outbound |
SSL経由のLDAP GC |
LDAP GC SSL |
| 135 |
TCP |
インバウンドとアウトバウンド |
エンドポイント解決:ポートマッパ ネットログオン固定ポート |
エンドポイントの解決 |
| 161 162 |
UDP |
Outbound |
簡易ネットワーク管理プロトコル(SNMP)サーバ |
SNMPクエリ |
| 161 |
UDP |
Inbound |
AsyncOS管理IP |
SNMP トラップ |
| 123 |
UDP |
Outbound |
ネットワークタイムプロトコル(NTP)サーバ |
NTP時刻同期 |
| 443 |
TCP |
Outbound |
update-manifests.ironport.com |
最新ファイルのリストを取得する (物理ハードウェア用) |
| 443 |
TCP |
Outbound |
update-manifests.sco.cisco.com |
最新ファイルのリストを取得する (仮想ハードウェア用) |
| 443 |
TCP |
Outbound |
regsvc.sco.cisco.com IPv4 IPv6 |
Cisco Talosインテリジェンスサービス Uniform Resource Locator(URL)カテゴリおよびレピュテーションデータを取得します。 |
| 443 |
TCP |
Outbound |
cloud-sa.amp.cisco.com api.amp.cisco.com api.amp.sourcefire.com |
高度なマルウェア防御(AMP)パブリッククラウド |
| 443 |
TCP |
Outbound |
AMERICAS mx01.sse.itd.cisco.com dex.sse.itd.cisco.com api.eu.ss e.itd.cisco.com mx01.eu.ss e.itd.cisco.com dex.eu.ss e.itd.cisco.com アジア/太平洋 dex.apj.sse.itd.cisco.com |
Cisco Cloud Services on Secure Web Appliance』を参照してください。 必要なURLは、Secure Cloud Serversリージョンごとに異なります。 |
| 443 |
TCP |
Outbound |
panacea.threatgrid.com panacea.threatgrid.eu(日本) |
Secure Malware Analyticsポータルと統合デバイス |
| 80 3128 |
TCP |
Inbound |
プロキシクライアント |
HTTP/HTTPSプロキシへのデフォルトクライアント接続 |
| 80 443 |
TCP |
Outbound |
デフォルト ゲートウェイ |
発信HTTPおよびHTTPSプロキシトラフィック |
| 514 |
UDP |
Outbound |
Syslog サーバー |
ログを収集するsyslogサーバ |
| 990 |
TCP |
Outbound |
cxd.cisco.com |
次のデバッグログをアップロードします。 SSL を使ったファイル転送プロトコル(FTPS)暗黙モード. |
| 21 |
TCP |
Outbound |
cxd.cisco.com |
次のデバッグログをアップロードします。 FTPS明示的またはFTP |
| 443 |
TCP |
Outbound |
cxd.cisco.com |
次のデバッグログをアップロードします。 |
| 22 |
TCP |
Outbound |
cxd.cisco.com |
次のデバッグログをアップロードします。 |
| 22 |
TCP |
Outbound |
s.tunnels.ironport.com |
バックエンドへのリモートアクセス |
| 443 |
TCP |
Outbound |
smartreceiver.cisco.com |
Smart Licensing |
参照資料
ADドメインと信頼のファイアウォールの設定 – Windows Server | Microsoft詳細情報
セキュリティ、インターネットアクセス、通信ポート – Cisco
Cisco Technical Assistance Center にファイルをアップロードする方法 - Cisco
Cisco ESA/WSA/SMAのリモートアクセスに関するFAQのテクニカルノート:シスコ
Cisco Email & Webセキュリティ(ESA、WSA、SMA)のスマートライセンスの概要とベストプラクティス – シスコ
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
4.0 |
27-Apr-2026
|
ホストテーブル内のAMPおよびクラウドサービスのセクションを更新。 |
3.0 |
31-Oct-2023
|
再認定 |
2.0 |
20-Apr-2023
|
初版リリース |
1.0 |
30-Nov-2022
|
初版 |
フィードバック