1.1.6.1. 自研设备接入和联动部分
在和深信服自研产品对接准备前,需要对以下端口进行放通。
|
接入产品 |
最低版本要求 |
端口要求 |
配置模式 |
|
STA |
推荐深信服社区最新版本 |
STA到SIP:443、4430、4488(TCP) |
STA发送日志到SIP,以及从SIP上更新软件版本与规则库。 |
|
AF |
8.0.8 |
AF到SIP:4430(TCP)SIP到AF:7443(TCP) |
AF单向配置(标准) AF+SIP双向配置(高安全性) |
|
8.0.50 |
AF到SIP:4430(TCP)SIP到AF: 443(TCP) |
||
|
EDR |
3.2.33 |
EDR到SIP:7443(TCP)SIP到EDR:443(TCP) |
EDR/SIP单向配置 |
|
SSL VPN |
M763 |
VPN到SIP:514(UDP) |
VPN+SIP双向配置 |
|
AC |
12.0.27 |
AC到SIP:1775(UDP)同步用户信息,9443(TCP)同步心跳; SIP到AC:7443,9998(TCP) |
AC+SIP双向配置 |
|
DAS |
2.0.3 |
DAS到SIP:7443(TCP) |
DAS+SIP双向配置 |
|
WAC |
3.7.1 |
WAC到SIP:443(TCP)SIP到WAC:443(TCP) |
WAC+SIP双向配置 |
|
IDTrust |
2.0.4 |
IDTrust到SIP:1775(UDP) |
IDTrust+SIP双向配置 |
|
HCI |
6.1.0 |
SIP到HCI:4433(TCP) |
HCI+SIP双向配置 【注意事项】 从SIP3.0.67版本开始,兼容HCI6.1.0以后的版本; |
|
AD |
7.0.8R3 |
SIP到AD:443 |
AD+SIP双向配置 |
|
SASE EDR |
3.5.10 |
参见下方“SASE EDR联动部分” |
SASE EDR和SIP双向配置 |
|
NGSOC |
3.0.16 |
SIP到NGSOC:6667(TCP) |
SIP到NGSOC单向配置 |
|
CWPP |
3.3.38 |
MGR到STA:9981、443(TCP) MGR到SIP:7443(TCP) |
MGR到STA单向配置 MGR到SIP双向配置 |
|
SIG |
6.0.7 |
SIG到SIP:7443(TCP)、4430(TCP) SIP到SIG:9998(TCP) |
SIG和SIP双向配置 |
SASE EDR联动部分
SIP和云端SASE EDR联动时,需要放通如下端口矩阵。
|
序号 |
源端 |
源端口 |
目的端 |
目的端口 |
备注 |
|
1 |
SIP |
any |
x.sangfor.com.cn |
TCP 5000 |
|
|
2 |
license.sangfor.com.cn |
|
|||
|
3 |
partner.sangfor.com.cn |
|
|||
|
4 |
device.sangfor.com.cn |
|
|||
|
5 |
remote1.sangfor.com.cn |
|
|||
|
6 |
remote2.sangfor.com.cn |
|
|||
|
7 |
remote1.scloud.sangfor.com.cn |
|
|||
|
8 |
edrsaas.sangfor.com.cn |
|
|||
|
9 |
agent.edrsaas.sangfor.com.cn |
|
|||
|
10 |
edragent.sangfor.com.cn |
|
XDR联动部分
SAAS XDR
SIP和云端SAAS XDR上报时,需要放通如下域名和端口。
|
源端 |
源端口 |
目的端 |
目的端口 |
实现方式 |
备注 |
|
SIP |
any |
device.scloud.sangfor.com.cn device.sangfor.com.cn |
TCP: 443和5000 |
https协议 tcp协议 |
用于xdr进行设备租户绑定 |
|
dlauth.sangfor.com.cn |
TCP:443 |
https协议 |
用于数据网关认证 |
||
|
datalake.sangfor.com.cn |
TCP:443 |
https协议 |
用于数据上网 |
本地XDR
SIP在对接本地XDR的时候需要放通的地址端口如下。
|
源端 |
源端口 |
目的端(本地 XDR) |
目的端口 |
备注 |
|
SIP |
any |
本地XDR集群业务口 IP |
TCP:443 |
用于数据上报 |
|
TCP:4488 |
用于单点登录 |
|||
|
TCP:19666 |
用于数据上网 |
BBC云端升级部分
|
源端 |
源端口 |
目的端 |
目的端口 |
备注 |
|
SIP |
any |
remote1.sangfor.com.cn remote2.sangfor.com.cn |
TCP 443 |
设备单点登录 |
|
device.sangfor.com.cn |
设备寻址 |
|||
|
auth.sangfor.com.cn |
用于设备认证 |
|||
|
sp.sangfor.com.cn |
获取升级包信息 |
|||
|
dld.sangfor.com |
下载包文件 |
|||
|
x.sangfor.com.cn |
部署/接入寻址 |
云端订阅中心
|
源端 |
源端口 |
目的端 |
目的端口 |
备注 |
|
SIP |
any |
auth.sangfor.com.cn |
TCP:443 |
|
|
analysis.sangfor.com.cn |
TCP:443 |
|
||
|
|
|
intelligence.sangfor,com.cn |
TCP:443 |
|
版本&补丁&引擎&规则库&威胁情报部分
产品版本、补丁、分析引擎、规则库和威胁情报部分在线直通升级时,需要分别放通的域名/IP列表如下表所示。
|
序号 |
在线升级部件 |
需放通域名/IP |
端口 |
|
1 |
SIP版本 |
sp.sangfor.com.cn |
443 |
|
sp1.sangfor.com.cn |
|||
|
sp2.sangfor.com.cn |
|||
|
sp3.sangfor.com.cn |
|||
|
auth.sangfor.com.cn |
|||
|
STA版本 |
从对接的安全感知平台IP获取 |
443 |
|
|
2 |
SIP旧补丁(.sp或者.zip) |
update1.sangfor.net |
80 |
|
update2.sangfor.net |
|||
|
update3.sangfor.net |
|||
|
SIP新补丁(.bin) |
sp.sangfor.com.cn |
4488 |
|
|
sp1.sangfor.com.cn |
|||
|
sp2.sangfor.com.cn |
|||
|
sp3.sangfor.com.cn |
|||
|
auth.sangfor.com.cn |
|||
|
STA补丁 |
从对接的安全感知平台IP获取 |
4488 |
|
|
3 |
SIP分析引擎 |
update1.sangfor.net |
80 |
|
update2.sangfor.net |
|||
|
update3.sangfor.net |
|||
|
4 |
SIP规则库 |
update1.sangfor.net |
80 |
|
update2.sangfor.net |
|||
|
update3.sangfor.net |
|||
|
upd.sangfor.com.cn |
443 |
||
|
download.sangfor.com.cn |
|||
|
intelligence.sangfor.com.cn |
|||
|
STA规则库 |
从对接的安全感知平台IP获取 |
4488 |
|
|
5 |
SIP威胁情报在线更新 |
upd.sangfor.com.cn |
443 |
|
download.sangfor.com.cn |
|||
|
ti.sangfor.com.cn |
|||
|
sec.sangfor.com.cn |
|||
|
intelligence.sangfor.com.cn |
:
1.上表仅列出最低要求版本,不同接入设备版本及SIP版本对应数据上报及联动功能略有差异,可参考平台《帮助文档-操作指引》内容。
2.设备到SIP的端口通常用为日志上报,SIP到设备端口通常用为联动响应。
建议使用Chrome浏览器访问!
