Configurar firewall para dispositivo seguro da Web

Opções de download

  • PDF     (249.4 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:27 de abril de 2026
ID do documento:218441

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve as portas que precisam ser abertas para a operação do Cisco Secure Web Appliance (SWA).

Pré-requisitos

Conhecimento Geral do Protocolo TCP/IP.

Entender as diferenças e os comportamentos do Protocolo de Controle de Transmissão (TCP - Transmission Control Protocol) e do Protocolo de Datagrama de Usuário (UDP - User Datagram Protocol).

Regras de firewall

A tabela lista as portas possíveis que precisam ser abertas para a operação adequada do Cisco SWA.

Note: Os números de porta são valores padrão; se algum deles tiver sido alterado, considere o novo valor.

Porta padrão

Protocolo

Entrada/SaídaLigação

Nome do host

Propósito

20

21

TCP

InBound ou OutBound 

AsyncOS Management IP (IP de gerenciamento AsyncOS).   (entrada)

Servidor FTP (saída)

File Transfer Protocol (FTP) para agregação de arquivos de log.
Portas de dados TCP 1024 e superior
também deve ser aberto

22

TCP

Entrada 

IP de gerenciamento AsyncOS

Acesso ao protocolo Secure Shell (SSH) ao protocolo Secure Shell (SSH),
Agregação de arquivos de log

22

TCP

Saída

Servidor SSH

Agregação SSH de arquivos de log.

Envio do protocolo SCP (Secure Copy Protocol) para o servidor de registro.

25

TCP

Saída

IP do servidor SMTP (Simple Mail Transfer Protocol)

Enviar alertas por e-mail

53

UDP

Saída

Servidores DNS (Domain Name System)

DNS, se configurado para usar a Internet
servidores raiz ou outros servidores DNS
fora do firewall.

Também para consultas SenderBase.

8080

TCP

Entrada

Endereço IP de gerenciamento AsyncOS 

Acesso ao protocolo HTTP à interface gráfica do usuário (GUI) 

8443

TCP

Entrada

Endereço IP de gerenciamento AsyncOS 

Acesso seguro ao Hypertext Transfer Protocol (HTTPs) à GUI 

80

443

TCP

Saída

downloads.ironport.com

 Definições da McAfee

80

443

TCP

Saída

updates.ironport.com

Atualizações AsyncOS e definições McAfee

88

TCP e UDP 

Saída

Centro de Distribuição de Chaves Kerberos (KDC) / Servidor de Domínio do Ative Diretory 

Autenticação Kerberos 

88

UDP

Entrada

Centro de Distribuição de Chaves Kerberos (KDC) / Servidor de Domínio do Ative Diretory 

Autenticação Kerberos 

445

TCP

Saída

Microsoft SMB

Território de autenticação do Ative Diretory (NTLMSSP e Basic)

389

TCP e UDP

Saída

Servidor Lightweight Diretory Access Protocol (LDAP)

Autenticação LDAP

3268

TCP

Saída

Catálogo global LDAP (GC) 

LDAP GC

636 

TCP

Saída

LDAP sobre SSL (Secure Sockets Layer)

SSL LDAP 

3269

TCP

Saída

LDAP GC sobre SSL

LDAP GC SSL

135

TCP

LigaçãoEntrada eSaída

Resolução de ponto final - Mapeador de portas

Porta fixa de Logon de Rede

Resolução de ponto final

161

162

UDP

Saída

Servidor SNMP (Simple Network Management Protocol)

Consultas SNMP

161

UDP

Entrada

IP de gerenciamento AsyncOS

Armadilhas de SNMP

123

UDP

Saída

Servidor Network Time Protocol (NTP)

Sincronização de tempo NTP

443

TCP

Saída

update-manifests.ironport.com

Obter a lista dos arquivos mais recentes
a partir do servidor de atualização

(para hardware físico)

443

TCP

Saída

update-manifests.sco.cisco.com

Obter a lista dos arquivos mais recentes
a partir do servidor de atualização

(para hardware virtual)

443

TCP

Saída

regsvc.sco.cisco.com
est.sco.cisco.com
updates-talos.sco.cisco.com
updates.ironport.com
serviceconfig.talos.cisco.com
grpc.talos.cisco.com

IPv4
146.112.62.0/24
146.112.63.0/24
146.112.255.0/24
146.112.59.0/24

IPv6
2a04:e4c7:ffff::/48
2a04:e4c7:fffe::/48

Serviços de inteligência Cisco Talos 

Obtenha a categoria Uniform Resource Locator (URL) e os dados de reputação.

443

TCP

Saída

cloud-sa.amp.cisco.com
cloud-sa.amp.sourcefire.com
cloud-sa.eu.amp.cisco.com

api.amp.cisco.com

api.amp.sourcefire.com

Nuvem pública de proteção avançada contra malware (AMP) 

443

TCP

Saída

AMÉRICAS
api-sse.cisco.com

mx01.sse.itd.cisco.com

dex.sse.itd.cisco.com

EUROPA

api.eu.sse.itd.cisco.com

mx01.eu.sse.itd.cisco.com

dex.eu.sse.itd.cisco.com

ÁSIA/PACÍFICO
api.apj.sse.itd.cisco.com
mx01.apj.sse.itd.cisco.com

dex.apj.sse.itd.cisco.com

Serviços em nuvem da Cisco em dispositivo seguro da Web.

Os URLs necessários são diferentes por região de Secure Cloud Servers.

443

TCP

Saída

panacea.threatgrid.com

panacea.threatgrid.eu

Para Secure Malware Analytics Portal e dispositivos integrados 

80

3128

TCP

Entrada

Clientes Proxy

Conectividade de Clientes Padrão com Proxy HTTP/HTTPS

80

443

TCP

Saída

Gateway padrão

Tráfego de saída de proxy HTTP e HTTPS

514

UDP

Saída

Servidor Syslog

Servidor syslog para coletar logs

990

TCP

Saída

cxd.cisco.com

Para carregar os logs de depuração que estão
coletados pelo Cisco Technical Assistance Collaborative (TAC).

File Transfer Protocol of SSL (FTPS) implícito.

21

TCP

Saída

cxd.cisco.com

Para carregar os logs de depuração que estão
coletados pelo Cisco TAC.

FTP ou FTPS explícito

443

TCP

Saída

cxd.cisco.com

Para carregar os logs de depuração que estão
coletado pelo Cisco TAC sobre HTTPS

22

TCP

Saída

cxd.cisco.com

Para carregar os logs de depuração que estão
coletado pelo Cisco TAC sobre SCP e SFTP (Secure File Transfer Protocol)

22
25 (Padrão)
53
80
443
4766

TCP

Saída

s.tunnels.ironport.com

Acesso remoto ao back-end

443

TCP

Saída

smartreceiver.cisco.com

Smart Licensing 


Referências 

Configurar Firewall para Domínio e Relações de Confiança do AD - Windows Server | Aprendizado da Microsoft

Portas de segurança, acesso à Internet e comunicação - Cisco

IP e portas necessários para análise segura de malware - Cisco

Carregamentos de arquivo do cliente no Technical Assistance Center - Cisco

Nota técnica sobre perguntas frequentes sobre acesso remoto no Cisco ESA/WSA/SMA - Cisco

Visão geral do Smart Licensing e práticas recomendadas para Cisco Email and Web Security (ESA, WSA, SMA) - Cisco

Histórico de revisões

Revisão Data de publicação Comentários
4.0
27-Apr-2026
Seções AMP e serviços em nuvem atualizadas na tabela de hosts.
3.0
31-Oct-2023
Recertificação
2.0
20-Apr-2023
Versão inicial
1.0
30-Nov-2022
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Amirhossein Mojarrad
    TAC da Cisco
  • Zaid Alali
    TAC da Cisco
  • Sarah Ayman Al Madi
    TAC da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos