Bereitstellung: Netzwerkarchitektur und Ports

Document created by RSA Information Design and Development on May 10, 2018•Last modified by RSA Information Design and Development on Oct 18, 2018

Version 2Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

Mit den Informationen im folgenden Diagramm und in der Porttabelle können Sie sicherstellen, dass alle relevanten Ports für Komponenten in Ihrer NetWitness Suite-Bereitstellung geöffnet sind und miteinander kommunizieren können.

Einzelne Endpunkt-Architekturdiagramme finden Sie unter NetWitness Endpoint Insights-Architektur am Ende dieses Themas.

Diagramm der NetWitness Suite-Netzwerkarchitektur

Das folgende Diagramm veranschaulicht die Netzwerkarchitektur von NetWitness Suite mit allen zugehörigen Produktkomponenten.

Hinweis: NetWitness Suite-Core-Hosts müssen mit dem NetWitness-Server (dem primären Server in einer Bereitstellung mit mehreren Servern) über UDP-Port 123 kommunizieren können, um eine NTP-Synchronisation (Network Time Protocol) durchzuführen.

Umfassende Liste der Host- und Serviceports von NetWitness Suite

Hinweis: 1.) Informationen zu Ports, die in der Ereignissammlung über die RSA NetWitness Logs verwendet werden, finden Sie unter „Grundlagen“ im RSA NetWitness Suite Leitfaden zur Bereitstellung der Protokollsammlung. Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.

Dieser Abschnitt enthält die Portspezifikationen für die folgenden Hosts.

NW-Serverhost	Log Collector-Host
Archiver-Host	Log Decoder-Host
Broker-Host	Log Hybrid-Host
Concentrator-Host	Malware-Host
Endpoint Hybrid/Endpoint Log Hybrid Host	Packet Decoder-Host
Event Stream Analysis-Host	Packet Hybrid-Host

NW-Serverhost

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	NW-Server	TCP 443, 80	NGINX – NetWitness-Benutzeroberfläche
Admin-Workstation	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
NW-Hosts	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	NW-Server	TCP 22	SSH
NW-Hosts	NW-Server	TCP 4505, 4506	Salt Master-Ports
NW-Server	NW-Server	TCP 50003, 50103, 56003	Broker-Ports
NW-Server	NW-Server	TCP 5671	RabbitMQ-amqp
NW-Server	NW-Server	UDP 50514	Auditports
NW-Server	NW-Server	TCP 7000, 7003, 7009, 7010	Start-Ports
NW-Server	NW-Server	TCP 50006, 50106, 56006	NetWitness-Appliance-Ports
NW-Hosts	NW-Server	UDP 123	NTP
NW-Hosts	NW-Server	TCP 27017	MongoDB
NW-Server	NW-Server	UDP 123	NTP
NW-Server	NFS-Server	TCP 111 2049 UDP 111 204	iDRAC-Installationen
NW-Server	NW Endpoint	TCP 443, 9443	Für NW-Endpoint 4.x-Integrationen

Archiver-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	Archiver	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Archiver	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	Archiver	TCP 22	SSH
NW-Server	Archiver	TCP 56008 (SSL), 50008 (Nicht-SSL), 50108 (REST)	Archiver-Anwendungsports
NW-Server	Archiver	TCP 56006 (SSL), 50006 (Nicht-SSL), 50106 (REST)	NetWitness-Appliance-Ports
NW-Server	Archiver	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
NW-Server	Archiver	TCP 514, 6514, 56007 (SSL), 50007 (Nicht-SSL), 50107 (REST), UDP 514	Workbench-Anwendungsports
Archiver	Archiver	UDP 50514	Auditdaten
Archiver	Archiver	UDP 123	NTP
Archiver	NFS-Server	TCP 111 2049 UDP 111 204	iDRAC-Installationen

Broker-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	Broker	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Broker	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	Broker	TCP 22	SSH
NW-Server	Broker	TCP 56003 (SSL), 50003 (Nicht-SSL), 50103 (REST)	Broker-Anwendungsports
NW-Server	Broker	TCP 56006 (SSL), 50006 (Nicht-SSL), 50106 (REST)	NetWitness-Appliance-Ports
NW-Server	Broker	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
Broker	Broker	UDP 50514	Auditdaten
Broker	Broker	UDP 123	NTP
Broker	NW-Server	TCP 111 2049 UDP 111 2049	iDRAC-Installationen

Concentrator-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	Concentrator	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Concentrator	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	Concentrator	TCP 22	SSH
NW-Server	Concentrator	TCP 56005 (SSL), 50005 (Nicht-SSL), 50105 (REST)	Concentrator-Anwendungsports
Malware	Concentrator	TCP 56005 (SSL)	Malware
NW-Server	Concentrator	TCP 56006 (SSL), 50006 (Nicht-SSL), 50106 (REST)	NetWitness-Appliance-Ports
NW-Server	Concentrator	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
Concentrator	NFS-Server	TCP 111 2049 UDP 111 204	iDRAC-Installationen
Concentrator	Concentrator	UDP 50514	Auditdaten
Concentrator	Concentrator	UDP 123	NTP

Endpoint Hybrid oder Endpoint Log Hybrid

Quellhost	Zielhost	Zielports	Anmerkungen
Endpoint 11.1 Agent	Endpoint Hybrid oder Endpoint Log Hybrid	TCP 443	NGINX HTTPS
Endpoint 11.1 Agent	Log Decoder oder Virtual Log Collector	TCP 514 (Syslog) UDP 514 (Syslog) TLS 6514	Windows-Protokollsammlung
Endpoint-Server	Log Decoder (extern)	TCP 50102, 56202, 50202	Um Metadaten an einen externen Log Decoder weiterzuleiten
NW-Server	Endpoint Hybrid oder Endpoint Log Hybrid	TCP 7050	Webdatenverkehr über die Benutzeroberfläche
Endpoint Hybrid oder Endpoint Log Hybrid	NW-Server	TCP 5672	Nachrichtenbus
Endpoint-Server	NW-Server	TCP 27017	MongoDB

Endpoint Hybrid oder Endpoint Log Hybrid mit NetWitness Endpoint 4.4

Quellhost	Zielhost	Zielports	Anmerkungen
NW-Konsolenserver (ab 4.4.0.2)	Endpoint Hybrid	TCP 443	NGINX HTTPS
Metadatenservice	Log Decoder	TCP 50102, 56202, 50202	NGINX HTTPS Um Metadaten an einen Log Decoder weiterzuleiten Endpoint Hybrid oder Endpoint Log Hybrid mit NWE 4.4

Quellhost

Zielhost

Zielports

Anmerkungen

NW-Konsolenserver (ab 4.4.0.2)

Endpoint Hybrid

TCP 443

NGINX HTTPS

Metadatenservice

Log Decoder

TCP 50102, 56202, 50202

NGINX HTTPS

Um Metadaten an einen Log Decoder weiterzuleiten

Endpoint Hybrid oder Endpoint Log Hybrid mit NWE 4.4

Event Stream Analysis (ESA)-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	ESA	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
ESA	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	ESA	TCP 22	SSH
NW-Server, ESA Secondary	ESA Primary	TCP 27017	MongoDB
NW-Server	ESA Primary	TCP 7005	Context Hub Launch-Port – (ESA Primary)
NW-Server	ESA	TCP 50030 (SSL)	ESA-Anwendungsport
NW-Server	ESA	TCP 50035 (SSL)	ESA-Anwendungsport
NW-Server	ESA	TCP 50036 (SSL)	ESA-Anwendungsport
NW-Server	ESA	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
ESA	cms.netwitness.com	TCP 443	Live
ESA	NFS-Server	TCP 111 2049 UDP 111 2049	NTP
ESA	Active Directory	636 (SSL)/389 (Nicht-SSL)
NW-Server	ESA	80 (HTTP)/443 (HTTPS)(REST)
ESA Primary	Archer	443 (SSL)/80 (Nicht-SSL)
ESA Primary	ESA Primary	TCP 7007	Start-Port
ESA Primary	ESA Primary	UDP 50514	Auditdaten
ESA Primary	ESA Primary	UDP 123	NTP

Log Collector-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	Log Collector	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Log Collector	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	Log Collector	TCP 22	SSH
Log Collector	Protokollereignisquellen	Siehe Protokollsammlung-Konfigurationsleitfaden. Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.
Protokollereignisquellen	Log Collector	TCP 514 (Syslog) UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow)"	Protokollsammlungsports
Protokollereignisquellen	Log Collector	TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008,64009	Protokollsammlungs-FTP/S-Ports
NW-Server	Log Collector	TCP 56001 (SSL), 50001 (Nicht-SSL), 50101 (REST)	Log Collector-Anwendungsports
NW-Server	Log Collector	TCP 56006 (SSL), 50006 (Nicht-SSL), 50106 (REST)	NetWitness-Appliance-Ports
NW-Server	Log Collector	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
Log Collector	Log Collector	UDP 50514	Auditdaten
Log Collector	Log Collector	UDP 123	NTP
Log Collector	NFS-Server	TCP 111 2049 UDP 111 2049	iDRAC-Installationen

Log Decoder-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	Log Decoder	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Log Decoder	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	Log Decoder	TCP 22	SSH
Log Decoder	Protokollereignisquellen	Siehe Protokollsammlung-Konfigurationsleitfaden. Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.
Protokollereignisquellen	Log Decoder	TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow)	Protokollsammlungsports
Protokollereignisquellen	Log Decoder	TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009	Protokollsammlungs-FTP/S-Ports
NW-Server	Log Decoder	TCP 56001 (SSL), 50001 (Nicht-SSL), 50101 (REST)	Log Collector-Anwendungsports
NW-Server	Log Decoder	TCP 56002 (SSL), 50002 (Nicht-SSL), 56202 (Endpunkt), 50102 (REST)	Log Decoder-Anwendungsports
NW-Server	Log Decoder	TCP 56006 (SSL), 50006 (Nicht-SSL), 50106 (REST)	NetWitness-Appliance-Ports
NW-Server	Log Decoder	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts.
Log Decoder	Log Decoder	UDP 50514	Auditdaten
Log Decoder	Log Decoder	UDP 123	NTP
Log Decoder	Log Collector	TCP 6514
Log Decoder	NFS-Server	TCP 111 2049 UDP 111 204	iDRAC-Installationen

Log Hybrid-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	Log Hybrid	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Log Hybrid	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	Log Hybrid	TCP 22	SSH
Log Collector	Protokollereignisquellen	Siehe Protokollsammlung-Konfigurationsleitfaden. Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.
Protokollereignisquellen	Log Hybrid	TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow)	Protokollsammlungsports
Protokollereignisquellen	Log Hybrid	TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009	Protokollsammlungs-FTP/S-Ports
NW-Server	Log Hybrid	TCP 56001 (SSL), 50001 (Nicht-SSL), 50101 (REST)	Log Collector-Anwendungsports
NW-Server	Log Hybrid	TCP 56002 (SSL), 50002 (Nicht-SSL), 56202 (Endpunkt), 50102 (REST)	Log Decoder-Anwendungsports
NW-Server	Log Hybrid	TCP 56005 (SSL), 50005 (Nicht-SSL), 50105 (REST)	Concentrator-Anwendungsports
NW-Server	Log Hybrid	TCP 56006 (SSL), 50006 (Nicht-SSL), 50106 (REST)	NetWitness-Appliance-Ports
NW-Server	Log Hybrid	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
Log Hybrid	NFS-Server	TCP 111 2049 UDP 111 204	iDRAC-Installationen

Malware-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	Malware	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Malware	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	Malware	TCP 22	SSH
NW-Server	Malware	TCP 60007	Malware-Anwendungsports
NW-Server	Malware	TCP 56006 (SSL), 50006 (Nicht-SSL), 50106 (REST)	NetWitness-Appliance-Ports
NW-Server	Malware	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
NW-Server	Malware	TCP 5432	PostgreSQL
NW-Server	Malware	TCP 56003 (SSL), 50003 (Nicht-SSL), 50103 (REST)	Broker-Anwendungsports
Malware	panacea.threatgrid.com	TCP 443	Threatgrid
Malware	cloud.netwitness.com	TCP 443	Community-Bewertung/Opswat
Malware	Malware	UDP 50514	Auditdaten
Malware	Malware	UDP 123	NTP
Malware	NFS-Server	TCP 111 2049 UDP 111 204	iDRAC-Installationen

Packet Decoder-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	Packet Decoder	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Packet-Decoder	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	Packet Decoder	TCP 22	SSH
NW-Server	Packet Decoder	TCP 56004 (SSL), 50004 (Nicht-SSL), 50104 (REST)	Packet Decoder-Anwendungsports
NW-Server	Packet Decoder	TCP 56006 (SSL), 50006 (Nicht-SSL), 50106 (REST)	NetWitness-Appliance-Ports
NW-Server	Packet Decoder	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
Packet Decoder	Packet Decoder	UDP 50514	Auditdaten
Packet Decoder	Packet Decoder	UDP 123	NTP
Packet Decoder	NFS-Server	TCP 111 2049 UDP 111 204	iDRAC-Installationen

Packet Hybrid-Host

Quellhost	Zielhost	Zielports	Anmerkungen
Admin-Workstation	Packet Hybrid	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Packet Hybrid	NW-Server	TCP 15671	RabbitMQ-Managementbenutzeroberfläche
Admin-Workstation	Packet Hybrid	TCP 22	SSH
NW-Server	Packet Hybrid	TCP 56004 (SSL), 50004 (Nicht-SSL), 50104 (REST)	Packet Decoder-Anwendungsports
NW-Server	Packet Hybrid	TCP 56005 (SSL), 50005 (Nicht-SSL), 50105 (REST)	Concentrator-Anwendungsports
NW-Server	Packet Hybrid	TCP 56006 (SSL), 50006 (Nicht-SSL), 50106 (REST)	NetWitness-Appliance-Ports
NW-Server	Packet Hybrid	TCP 5671	RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
Packet Hybrid	NFS-Server	TCP 111 2049 UDP 111 204	iDRAC-Installationen

NetWitness Endpoint Insights-Architektur

Die folgenden Diagramme zeigen die Netzwerkarchitektur von NetWitness Endpoint Insights.

NetWitness Endpoint Insights 11.1

NetWitness Endpoint Insights 11.1 mit Log Decoder

Integration von NetWitness Endpoint 4.4 in NetWitness Endpoint Insights 11.1

Weitere Informationen zu Services, die auf Endpoint Hybrid ausgeführt werden, finden Sie unter Konfigurationsleitfaden für RSA NetWitness Endpoint Insights.Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.

Previous Topic:Die Grundlagen

Next Topic:Anforderungen an den Standort und Sicherheit

You are here

Table of Contents > Netzwerkarchitektur und Ports