ファイアウォール情報

この章は、次の項で構成されています。

ファイアウォール情報

次の表に示すポートは、 Cisco Secure Email Gateway を正常に動作させるために開く必要がある場合があります(デフォルト値を示す)。


(注)  

AsyncOS リリース 15.5.1 以降では、スマート ソフトウェア ライセンシングの使用は必須です。 Secure Email Gateway が、TCP ポート 443 を介して smartreceiver.cisco.com と通信できることを確認してください。

表 1. ファイアウォール ポート

デフォルト ポート

プロトコル

内外(In/Out)

ホストネーム

目的

20/21

TCP

入力または出力

AsyncOS IP、FTP サーバ

ログ ファイルのアグリゲーション用 FTP。

データ ポート TCP 1024 以上はすべて開いている必要があります。

詳細については、ナレッジ ベースの FTP ポート情報を検索してください。ナレッジ ベースを参照してください。

22

TCP

入力

AsyncOS IP

CLI への SSH アクセス、ログ ファイルのアグリゲーション。

22

TCP

発信

SSH サーバ

ログ ファイルの SSH アグリゲーション。

22

TCP

発信

SCP サーバ

ログ サーバへの SCP 配信。

25

TCP

発信

任意(Any)

電子メール送信用 SMTP。

25

TCP

入力

AsyncOS IP

バウンスされた電子メールを受信する SMTP または外部のファイアウォールから電子メールをインジェクトする場合。

53

UDP/TCP

発信

DNS サーバ

インターネット ルート サーバまたはファイアウォール外部の DNS サーバを使用するように設定されている場合の DNS。また、SenderBase クエリの場合。

80

HTTP

入力

AsyncOS IP

システム モニタリングのための GUI への HTTP アクセス。

80

HTTP

発信

downloads.ironport.com

McAfee 定義を除くサービス更新

80

HTTP

発信

updates.ironport.com

AsyncOS アップグレードおよび McAfee の定義

80

HTTP

発信

TAXII サーバ

E メールゲートウェイで外部脅威フィードを使用できるようにします。

82

HTTP

入力

AsyncOS IP

スパム隔離の表示に使用されます。

83

HTTPS

入力

AsyncOS IP

スパム隔離の表示に使用されます。

110

TCP

発信

POP サーバ

スパム隔離のためのエンド ユーザの POP 認証。

123

UDP

入力および出力

NTP サーバ

タイム サーバがファイアウォールの外側にある場合の NTP。

143

TCP

発信

IMAP サーバ

スパム隔離のためのエンド ユーザの IMAP 認証。

161

UDP

入力

AsyncOS IP

SNMP クエリ。

162

UDP

発信

管理ステーション

SNMP トラップ。

389 または

3268

LDAP

発信

LDAP サーバ

LDAP ディレクトリ サーバがファイアウォールの外側にある場合の LDAP。Cisco スパム隔離のための LDAP 認証。

636 または 3269

LDAPS

発信

LDAPS

LDAPS — ActiveDirectory のグローバル カタログ サーバ(SSL 使用)

443

TCP

入力

AsyncOS IP

システム モニタリングのための GUI への Secure HTTP(https)アクセス。

443

TCP

発信

res.cisco.com

アップデート サーバの最新のファイルを確認します。

443

TCP

発信

update-manifests.ironport.com

アップデートサーバから最新のファイルのリストを取得します(物理ハードウェア E メール ゲートウェイの場合)。

443

TCP

発信

update-manifests.sco.cisco.com

アップデートサーバから最新のファイルのリストを取得します(仮想 E メールゲートウェイの場合)。

443

TCP

発信

serviceconfig.talos.cisco.com

grpc.talos.cisco.com

email-sender-ip-rep-grpc.talos.cisco.com

IP ベースのファイアウォールの場合:

146.112.62.0/24

146.112.63.0/24

146.112.255.0/24

146.112.59.0/24

2a04:e4c7:ffff::/48

2a04: e4c7: fffe::/48

Cisco Talos インテリジェンスサービス:IP の評価、URL の評価およびカテゴリの取得とサービスログの詳細の送信を行います。

443

TCP

発信

kinesis.us-west-2.amazonaws.com

sensor-provisioner.ep.prod

.agari.com

houston.sensor.prod.agari.com

Cisco Advanced Phishing Protection クラウドサービスに登録し、ヘッダーの詳細を送信します。

443

TCP

入力および出力

outlook.office365.com login.microsoftonline.com。

メールボックス自動修復のために Office 365 サービスにアクセスします。

443

TCP

入力および出力

オンプレミス Microsoft Exchange Server のホスト名

メールボックスのメッセージを修復するには、オンプレミス Microsoft Exchange Server にアクセスします。

443

TCP

発信

aggregator.cisco.com

Cisco Aggregator サーバにアクセスします。

443

HTTPS

発信

logapi.ces.cisco.com

シスコ TAC によって収集されたデバッグ ログをアップロードするため。

443

HTTPS

発信

TAXII サーバ

E メールゲートウェイで外部脅威フィードを使用できるようにします。

443

HTTPS

入力および出力

api sse.cisco.com

に Cisco Secure Email Gateway を登録するために使用します。Cisco XDR または Cisco Cloud Services ポータル。

443

HTTPS

入力および出力

api.eu.sse.itd.cisco.com

に Cisco Secure Email Gateway を登録するために使用します。Cisco XDR または Cisco Cloud Services ポータル。

443

HTTPS

入力および出力

api.apj.sse.itd.cisco.com

に Cisco Secure Email Gateway を登録するために使用します。Cisco XDR または Cisco Cloud Services ポータル。

443

HTTPS

入力および出力

est.sco.cisco.com

証明書をダウンロードする場合に使用し、 に登録するときに検証済みのサイトに Cisco Secure Email Gateway がアクセスしているかどうかを確認します。Cisco XDR または Cisco Cloud Services ポータル。

443

HTTPS

入力および出力

AsyncOS IP

trailblazerconfig CLI コマンドを使用した、GUI への HTTPS アクセス。

443

TCP

入力および出力

smartreceiver.cisco.com

スマート ソフトウェア ライセンシングの場合

514

UDP/TCP

発信

Syslog サーバ

Syslog ロギング。

628

TCP

入力および入力

AsyncOS IP

外部ファイアウォールから電子メールをインジェクトする場合の QMQP。

990

TCP/FTP

発信

cxd.cisco.com

シスコ TAC によって収集されたデバッグ ログをアップロードするため。

1024 以降

ポート 21(FTP)に関する上記の情報を参照してください。

2222

CCS

入力および入力

AsyncOS IP

クラスタ通信サービス(中央集中管理用)。

4431

HTTPS

入力および出力

新しい Web インターフェイス

新しい Web インターフェイスにアクセスするための trailblazer HTTPS ポート

TCP

発信

AsyncOS IP

Cisco スパム隔離.

7025

TCP

In および Out

AsyncOS IP

この機能が一元化されている場合、Cisco Secure Email Gateway と Cisco Secure Manager Email and Web Gateway 間でポリシー、ウイルス、およびアウトブレイク隔離データを渡します。

6080

HTTP

入力または出力

AsyncOS IP

HTTP サーバの API ポートへのアクセス

6443

HTTPS

入力または出力

AsyncOS IP

HTTPS サーバの API ポートへのアクセス

ファイルレピュテーションとファイル分析サービスに関するファイアウォール情報

次の表に示すポートは、電子メールゲートウェイで設定されているファイルレピュテーションとファイル分析サービスを正常に動作させるために開く必要がある場合があります(デフォルト値を示す)。

表 2. ファイアウォール ポート

リージョン(Region)

目的

ホストネーム

デフォルトポート

プロトコル(Protocol)

イン/アウト

米国および北米

ファイルレピュテーション

cloud-esa-asn。

amp.cisco.com

cloud-esa-est。

amp.cisco.com

443

TCP

アウト。

ファイル分析(File Analysis)

panacea.threatgrid.com

443

TCP

発信

API

api.amp.cisco.com

443

TCP

発信

イベント サーバ

intake.amp.cisco.com

443

TCP

発信

管理サーバー

mgmt.amp.cisco.com

443

TCP

発信

カナダ

[ファイル分析(File Analysis)]

panacea.threatgrid.ca

443

TCP

発信

欧州

ファイルレピュテーション

cloud-esa-asn。

eu.amp.cisco.com

cloud-esa-est。

eu.amp.cisco.com

443

TCP

発信

ファイル分析(File Analysis)

panacea.threatgrid.eu

443

TCP

発信

API

api.eu.amp.cisco.com

443

TCP

発信

イベント サーバ

intake.eu.amp.cisco.com

443

TCP

発信

管理サーバー

mgmt.eu.amp.cisco.com

443

TCP

発信

オーストラリア

[ファイル分析(File Analysis)]

panacea.threatgrid.com.au

443

TCP

発信

アジア太平洋地域、日本、中国

ファイルレピュテーション

cloud-esa-asn。

apjc.amp.cisco.com

cloud-esa-est。

apjc.amp.cisco.com

443

TCP

発信

ファイル分析(File Analysis)

ヨーロッパまたは北米のホスト名を使用する

443

TCP

発信

API

api.apjc.amp.cisco.com

443

TCP

発信

イベント サーバ

intake.apjc.amp.cisco.com

443

TCP

発信

管理サーバー

mgmt.apjc.amp.cisco.com

443

TCP

発信

ネットワーク攻撃からの電子メールゲートウェイの保護

電子メールゲートウェイをネットワーク攻撃から保護するには、次の前提条件を満たす必要があります。

  • ポート 22(SSH)を電子メールゲートウェイの外部 IP アドレスに公開しないこと。

  • Web インターフェイスと CLI 構成設定を使用して電子メールゲートウェイを管理する際、特定の IP アドレスのみを有効にすること。

  • (必要な場合)adminaccessconfig CLI コマンドを使用して Host ヘッダー対策機能を有効にすること。

  • adminaccessconfig CLIコマンドを使用して、クロスサイト スクリプティング対策機能を有効にすること。

  • パブリックリスナーにリレールールを設定しないこと。


    (注)  
    外部リスナーでリレールールが必要な場合は、通常のパブリックリスナーで「SMTP AUTH」を設定します。