简介
本文档概述了需要在防火墙上实施的基本网络配置,以确保安全恶意软件分析的无缝操作。
由思科 TAC 工程师撰稿。
安全恶意软件分析云
美国(美国)云
访问URL: https://panacea.threatgrid.com
| 主机名 |
IP |
端口 |
详细信息 |
| panacea.threatgrid.com |
IPv4: 63.97.201.67 63.162.55.67 IPv6: 2602:811:9007:6::61 2602:811:900b:6::6e |
443 |
适用于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.chi.threatgrid.com |
IPv4:200.194.241.35 IPv6: 2602:811:900f:6::6e |
443 |
“示例交互”窗口 |
| glovebox.rcn.threatgrid.com |
IPv4: 63.97.201.67 IPv6: 2602:811:9007:6::61 |
443 |
“示例交互”窗口 |
| glovebox.scl.threatgrid.com |
IPv4: 63.162.55.67
IPv6: 2602:811:900b:6::6e |
443 |
“示例交互”窗口 |
| fmc.api.threatgrid.com |
IPv4: 63.97.201.67 63.162.55.67 IPv6: 2602:811:9007:6::61 2602:811:900b:6::6e |
443 |
FMC/FTD文件分析服务 |
EU(欧洲)云
访问URL: https://panacea.threatgrid.eu
| 主机名 |
IP |
端口 |
详细信息 |
| panacea.threatgrid.eu |
62.67.214.195 200.194.242.35 |
443 |
适用于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.muc.threatgrid.eu |
62.67.214.195 |
443 |
“示例交互”窗口 |
| glovebox.fam.threatgrid.eu
|
200.194.242.35 |
443 |
“示例交互”窗口
|
| fmc.api.threatgrid.eu |
62.67.214.195 200.194.242.35 |
443 |
FMC/FTD文件分析服务 |
旧的IP 89.167.128.132已停用,请使用上述IP更新您的防火墙规则。
CA(加拿大)云
访问URL: https://panacea.threatgrid.ca
| 主机名 |
IP |
端口 |
详细信息 |
| panacea.threatgrid.ca |
200.194.240.35 |
443 |
适用于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.kam.threatgrid.ca |
200.194.240.35 |
443 |
“示例交互”窗口 |
| fmc.api.threatgrid.ca |
200.194.240.35 |
443 |
FMC/FTD文件分析服务 |
澳大利亚(澳大利亚)云
访问URL: https://panacea.threatgrid.com.au
| 主机名 |
IP |
端口 |
详细信息 |
| panacea.threatgrid.com.au |
124.19.22.171 |
443 |
适用于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.syd.threatgrid.com.au |
124.19.22.171 |
443 |
“示例交互”窗口 |
| fmc.api.threatgrid.com.au |
124.19.22.171 |
443 |
FMC/FTD文件分析服务 |
安全恶意软件分析设备
以下是安全恶意软件分析设备每个接口的建议防火墙规则。
脏接口
虚拟机用它来与互联网通信,以便样本可以解析DNS并与命令和控制(C&C)服务器通信。
允许:
|
方向
|
协议
|
端口
|
目的地
|
主机名
|
详细信息
|
|
出站
|
IP
|
ANY
|
ANY
|
|
建议(但此处的拒绝部分中指定的除外)。
用于允许连接进行分析。
|
|
出站
|
TCP
|
22
|
63.97.201.98 2
63.162.55.98 2
|
support-snapshots.threatgrid.com
|
用于自动支持诊断上传
注意:需要软件版本1.2+
|
|
出站
|
TCP
|
22
|
54.173.181.217 1
54.173.182.46 1
63.162.55.97 2
63.97.201.97 2
|
appliance-updates.threatgrid.com
|
设备更新
|
|
出站
|
TCP
|
19791
|
54.164.165.137 1
34.199.44.202 1
63.97.201.96 2
63.162.55.96 2
|
|
远程支持/设备支持模式
|
|
出站
|
TCP
|
22
|
54.173.124.172 1 63.97.201.99 2 63.162.55.99 2 |
appliance-licensing.threatgrid.com
|
许可证管理
|
1这些IP将在不久的将来被禁用。
2以下是将会替换1中的IP地址。我们建议添加两个IP,直到在不久的将来完成有关IP更改的通信。
远程网络退出
设备使用此功能将VM流量通过隧道传送到远程出口(以前称为tg-tunnel)。
| 方向 |
协议 |
端口 |
目的地 |
| 出站 |
TCP |
21413 |
173.198.252.53 |
| 出站 |
TCP |
21413 |
163.182.175.193 ** |
| 出站 |
TCP |
21417 |
69.55.5.250 |
| 出站 |
TCP |
21415 |
69.55.5.250 |
| 出站 |
TCP |
21413 |
76.8.60.91 |
注意:远程出口4.14.36.142已删除,并且不再生产。确保将提及的所有IP都添加到您的防火墙例外列表。
**173.198.252.53将取代远程出口163.182.175.193
拒绝:
|
方向
|
协议
|
端口
|
目的地
|
详细信息
|
|
出站
|
SMTP
|
ANY |
ANY
|
防止恶意软件发送垃圾邮件。
|
|
入站
|
IP
|
ANY
|
安全恶意软件分析设备脏界面
|
建议(但上面允许部分中指定的除外)。
用于允许通信进行分析。
|
清理接口
各种连接的服务用它来提交示例和分析人员的UI访问。
允许:
|
方向
|
协议
|
端口
|
目的地
|
详细信息
|
|
入站
|
TCP
|
443 和 8443
|
安全恶意软件分析设备安全接口
|
WebUI和API访问
|
|
入站
|
TCP
|
9443
|
安全恶意软件分析设备安全接口
|
用于Glovebox
|
|
入站
|
TCP
|
22
|
安全恶意软件分析设备安全接口 |
|
|
出站
|
TCP
|
19791
|
主机:rash.threatgrid.com
54.164.165.137 1
34.199.44.202 1
63.97.201.96 2
63.162.55.96 2
|
安全恶意软件分析支持的恢复模式。
|
1这些IP将在不久的将来被禁用。
2以下是将会替换1中的IP地址。我们建议添加两个IP,直到在不久的将来完成有关IP更改的通信。
允许:
|
方向
|
协议
|
端口
|
目的地
|
详细信息
|
|
入站
|
TCP
|
443 和 8443
|
安全恶意软件分析设备管理界面
|
用于配置硬件和许可的设置。 |
|
入站
|
TCP
|
22
|
安全恶意软件分析设备管理界面 |
通过SSH进行管理员TUI访问 |
反馈