所需的 URL、IP 地址和端口
本主题概述了必须添加到防火墙允许列表(也称为白名单)中的 URL、IP 地址和端口,以确保 Ivanti Neurons 平台 及其代理可以通信。
概述首先介绍适用于所有环境的信息(所有环境的通用 URL,正下方),然后是根据您的环境托管位置决定的不同信息:景观。
所有出站网络流量通常通过端口 443 和 8883 产生。 从 Ivanti Neurons 到代理的网络通信是通过 MQTT 技术完成的。 Ivanti Neurons 代理上的各个服务可以通过安全端口 443 与 Ivanti Neurons 进行通信。
修订历史记录
此主题上次更新的时间为 2024 年 7 月 31 日。
变更列表
下表列出了此主题的变更及变更时间。
| 日期 | 更改 |
|---|---|
|
2024 年 10 月 10 日 |
在 访问并与 Neurons 平台门户 部分交互: |
|
2024 年 10 月 4 日 |
添加了 访问并与 Neurons 平台门户 交互部分。 |
|
通用部分的注册: |
|
|
更新了通用部分的证书撤销列表。 |
|
|
2024 年 8 月 1 日 |
关于新环境 TKU 和 TTU 的信息: |
| 2024 年 7 月 29 日 | 添加了修订历史记录部分。 |
|
通用部分的注册: |
|
| 2024 年 6 月 6 日 | 在通用 部分添加了应用程序分发云存储。 |
| 2024 年 5 月 31 日 | 通用部分的注册: 更新了 edgelocation.ivanticloud.com 的 IP 地址。 (2024 年 4 月 25 日公布) |
|
2024 年 5 月 9 日 |
环境特定部分的部署: |
|
2024 年 4 月 10 日 |
在环境特定部分添加了部署。 |
访问并与 Neurons 平台门户进行交互
下表概述了与 Neurons 平台门户交互所需的 URL。
这包括使用其他 Ivanti 解决方案的控制台来准备在 Neurons 平台中使用的数据,例如 UWM 混合部署。 有关详细信息,请参阅 代理策略功能中的 应用程序控制(混合)、 环境管理器(混合) 和 代理策略功能功能。
| URL | 备注 |
|---|---|
| https://app.launchdarkly.com https://events.launchdarkly.com |
功能可用性 |
|
dc.services.visualstudio.com |
遥测 |
| https://fonts.googleapis.com/css2 | 正确的布局 |
| https://www.recaptcha.net/recaptcha/api.js | 登录期间的额外安全性。 (仅当 reCAPTCHA 没有 被禁用时才需要) |
所有景观均适用
注册
下表列出了 Ivanti Neurons 代理注册 Neurons 平台并与其通信所需的基本 ivanticloud URL。
| URL (ivanticloud.com) | IP 地址 |
|---|---|
| https://agentreg.ivanticloud.com | 动态 IP(会经常更改) |
| https://agentsync.ivanticloud.com | 动态 IP(会经常更改) |
| https://download.ivanticloud.com | 动态 IP(会经常更改) |
|
https://edgelocation.ivanticloud.com |
20.77.156.110 |
Neurons 平台利用 Microsoft Azure 的一些功能,这些功能不允许静态 IP 地址。 Microsoft 有一个可用的 IP 地址池,可以公开使用这些功能。
如果您无法将上面列出的 URL 添加到防火墙的允许列表中,另一种方法是允许以下证书:
*.ivanticloud.com
下表列出了 Ivanti Neurons 代理注册 Neurons 平台并与其通信所需的 ivanticloud 域外部的 URL。
| URL(其他) | IP 地址 |
|---|---|
|
http://ocps.usertrust.com/ |
动态 IP(会经常更改) |
如果无法访问上表中的 URL,Neurons 代理可能无法注册或安装。
内容
下表列出了下载内容和更新所需的 URL。 安装 Neurons 代理需要访问其中一些 URL,因为代理必须加载更新的 .Net 库和 .NET UI SDK。
| URL | 备注 |
|---|---|
| download.visualstudio.microsoft.com | .NET 和 C++ 运行时更新的下载先决条件 |
| dc.services.visualstudio.com | |
| download.windowsupdate.com | |
| download.microsoft.com | Microsoft 提供的修补程序文件下载 |
|
content.ivanti.com |
Ivanti 修补程序数据 |
|
docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html |
提供用于 Ivanti Patch 内容的 CloudFront CDN 以及 Neurons 代理及其引擎的 IP 地址。 |
| d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips |
如果您使用 Ivanti Neurons 进行修补,还需要可以访问制造商下载门户。
示例:http://downloadarchive.documentfoundation.org/,适用于 LibreOffice
下表列出了下载更新所需的端口。
| 端口 | 备注 |
|---|---|
| 33121、33122 | 对等下载需要。 TCP 和 UDP。 |
应用程序分发云存储
如果使用 Neurons 应用程序分发和云存储,则环境中的端点必须要能访问云存储。
要识别云存储使用的 IP 地址,请参阅以下文章:
端口 9000
Neurons 代理有一个名为 STAgentProxy 的引擎,该引擎使用端口 9000 进行引擎间通信。 如有其他程序需要端口 9000,则可以将 STAgentProxy 配置为使用其他端口。
-
使用注册表编辑器(例如 RegEdit),转到注册表中的以下路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Ivanti\Ivanti Cloud Agent\STAgentProxy -
找到键端口 (REG_DWORD) 并将值设置为所需端口。
-
保存设置。
-
例如,使用 Windows 任务管理器重新启动 STAgentProxy 服务。
证书撤销列表
下表列出了访问证书撤销列表 (CRL) 所需的 URL 及其适用的服务器。
| URL | 以下项目的 CRL |
|---|---|
| http://crl3.digicert.com/DigiCertTLSRSASHA2562020CA1-4.crl http://crl3.digicert.com/DigiCertTLSRSASHA2562020CA1-4.crl |
agentreg.ivanticloud.com agentsync.ivanticloud.com |
| http://crl.sectigo.com/SectigoRSAOrganizationValidationSecureServerCA.crl |
*.ivanticloud.com 也适用于特定于环境的以下项: |
| http://crl.r2m01.amazontrust.com/r2m01.crl http://crl.r2m03.amazontrust.com/r2m03.crl http://crl.r2m01.amazontrust.com/r2m01.crl http://crl.r2m03.amazontrust.com/r2m03.crl http://ocsp.r2m01.amazontrust.com |
content.ivanti.com |
| http://crl.r2m01.amazontrust.com/r2m01.crl | download.ivanticloud.com |
CRL 通常通过 HTTP 而不是 HTTPS 托管。 由于 CRL 本身已经过签名,因此这不被视为安全漏洞。
景观
Ivanti Neurons 租户可以位于不同的“环境”中,具体取决于您所在的地理位置。 租户所处的环境决定了您必须添加到允许列表中的内容。
要确定租户的环境,请转至租户的 Ivanti Neurons 登录页面并查看 URL。 前三个字符表示环境。
目前的环境是:
- FRU 适用于希望在欧盟境内托管数据的欧盟客户。
- 适用于亚太地区 (APAC) 客户的 MLU。
- 适用于美国 (AMER) 客户的 NVU。
- 适用于日本 (JPN) 客户的 TKU。
- 适用于加拿大 (CAN) 客户的 TTU。
- 适用于欧洲、中东或非洲 (EMEA) 客户的 UKU。
如果您需要帮助,以便了解您的环境托管在哪个环境中,请随时联系您的客户代表或 Ivanti 支持团队。
特定于环境
以下部分列出了每个 Ivanti Neurons 平台服务所需的特定于环境的 URL、IP 地址和端口。 您所在环境中可用的服务取决于您拥有的 Ivanti Neurons 许可证。
可以使用右侧的菜单跳转到所需的部分。
FRU 环境
| 服务 | URL | IP 地址 | 所需端口 |
|---|---|---|---|
| 代理(必需) | |||
| 骨干 Neurons 通信 | fruprd-sfc.ivanticloud.com | 动态 | 443 (TCP) |
| 代理通信 | fru-prd.mqtt.ivanticloud.com | 20.79.245.45 | 8883 |
| 连接器引擎 | 本地流量 | 本地流量 | 443 (TCP) |
| 连接器引擎 – SQL | 本地流量 | 本地流量 | 由您的 SQL Server 实例定义 |
| Edge Intelligence | |||
| 实时引擎 | fru-prd.mqtt.ivanticloud.com | 20.79.245.45 | 8883 (TCP) |
| 远程控制 | |||
| 端点机器上的远程控制 | fruprd-rc.ivanticloud.com | 20.79.146.18 | 端口范围 44345 至 44349 (TCP) |
| 分析师机器的远程控制 | 端口范围 45344 至 45348 (TCP) | ||
| 修补程序管理 | |||
| 修补程序引擎 - 供应商 | 请参阅 https://forums.ivanti.com 上的供应商列表 | 443/80(TCP,仅限出站) | |
| 修补程序引擎 - 侧载 | sapatchtenantfilesd467b8.blob.core.windows.net | 动态 | 443(TCP,仅限出站) |
| Discovery | |||
| 无代理引擎 | 本地流量 | 本地流量 | 445 (TCP) 135 (TCP) |
| IvantiCsepEngine | 本地流量 | 本地流量 | 33554(TCP 和 UDP) 33555 (UDP) |
| IvantiDiscoveryEngine | 本地流量 | 本地流量 | 137 (UDP) 53 (UDP) |
| 部署 | |||
|
DeploymentEngine |
fruprd-adpstat.ivanticloud.com |
动态 |
443 (TCP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
445 (TCP) 对于 NETBIOS 可选: 139 (TCP) 137-138 (UDP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
22 (TCP) macOS 和 Linux |
| 例如,部署和 Discovery 扫描的状态 | |||
| UI 实时更新 (而非刷新网页) |
https://rg-fru-prd-discoagentmgmtdisco-notifications-fru.service.signalr.net/client/negotiate |
|
|
|
wss://rg-fru-prd-discoagentmgmtdisco-notifications-fru.service.signalr.net/client/ |
|
|
|
MLU 环境
| 服务 | URL | IP 地址 | 所需端口 |
|---|---|---|---|
| 代理(必需) | |||
| 骨干 Neurons 通信 | mluprd-sfc.ivanticloud.com | 动态 | 443 (TCP) |
| 代理通信 | mlu-prd.mqtt.ivanticloud.com | 20.53.68.63 | 8883 |
| 连接器引擎 | 本地流量 | 本地流量 | 443 (TCP) |
| 连接器引擎 – SQL | 本地流量 | 本地流量 | 由您的 SQL Server 实例定义 |
| Edge Intelligence | |||
| 实时引擎 | mlu-prd.mqtt.ivanticloud.com | 20.53.68.63 | 8883 (TCP) |
| 远程控制 | |||
| 端点机器上的远程控制 | mluprd-rc.ivanticloud.com | 20.53.149.64 | 端口范围 44345 至 44349 (TCP) |
| 分析师机器的远程控制 | 端口范围 45344 至 45348 (TCP) | ||
| 修补程序管理 | |||
| 修补程序引擎 - 供应商 | 请参阅 https://forums.ivanti.com 上的供应商列表 | 443/80(TCP,仅限出站) | |
| 修补程序引擎 - 侧载 | sapatchtenantfiles0a0009.blob.core.windows.net | 动态 | 443(TCP,仅限出站) |
| Discovery | |||
| 无代理引擎 | 本地流量 | 本地流量 | 445 (TCP) 135 (TCP) |
| IvantiCsepEngine | 本地流量 | 本地流量 | 33554(TCP 和 UDP) 33555 (UDP) |
| IvantiDiscoveryEngine | 本地流量 | 本地流量 | 137 (UDP) 53 (UDP) |
| 部署 | |||
|
DeploymentEngine |
mluprd-adpstat.ivanticloud.com |
动态 |
443 (TCP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
445 (TCP) 对于 NETBIOS 可选: 139 (TCP) 137-138 (UDP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
22 (TCP) macOS 和 Linux |
| 例如,部署和 Discovery 扫描的状态 | |||
| UI 实时更新 (而非刷新网页) |
https://rg-mlz-prd-discoagentmgmtdisco-notifications-mlz.service.signalr.net/client/negotiate |
|
|
|
wss://rg-mlz-prd-discoagentmgmtdisco-notifications-mlz.service.signalr.net/client/ |
|
|
|
NVU 环境
| 服务 | URL | IP 地址 | 所需端口 |
|---|---|---|---|
| 代理(必需) | |||
| 骨干 Neurons 通信 | nvuprd-sfc.ivanticloud.com | 动态 | 443 (TCP) |
| 代理通信 | nvu-prd.mqtt.ivanticloud.com | 20.81.12.92 | 8883 |
| 连接器引擎 | 本地流量 | 本地流量 | 443 (TCP) |
| 连接器引擎 – SQL | 本地流量 | 本地流量 | 由您的 SQL Server 实例定义 |
| Edge Intelligence | |||
| 实时引擎 | nvu-prd.mqtt.ivanticloud.com | 20.81.12.92 | 8883 (TCP) |
| 远程控制 | |||
| 端点机器上的远程控制 | nvuprd-rc.ivanticloud.com | 20.75.194.96 | 端口范围 44345 至 44349 (TCP) |
| 分析师机器的远程控制 | 端口范围 45344 至 45348 (TCP) | ||
| 修补程序管理 | |||
| 修补程序引擎 - 供应商 | 请参阅 https://forums.ivanti.com 上的供应商列表 | 443/80(TCP,仅限出站) | |
| 修补程序引擎 - 侧载 | sapatchtenantfilesc49a57.blob.core.windows.net | 动态 | 443(TCP,仅限出站) |
| Discovery | |||
| 无代理引擎 | 本地流量 | 本地流量 | 445 (TCP) 135 (TCP) |
| IvantiCsepEngine | 本地流量 | 本地流量 | 33554(TCP 和 UDP) 33555 (UDP) |
| IvantiDiscoveryEngine | 本地流量 | 本地流量 | 137 (UDP) 53 (UDP) |
| 部署 | |||
|
DeploymentEngine |
nvuprd-adpstat.ivanticloud.com |
动态 |
443 (TCP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
445 (TCP) 对于 NETBIOS 可选: 139 (TCP) 137-138 (UDP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
22 (TCP) macOS 和 Linux |
| 例如,部署和 Discovery 扫描的状态 | |||
| UI 实时更新 (而非刷新网页) |
https://rg-nvz-prd-discoagentmgmtdisco-notifications-nvz.service.signalr.net/client/negotiate |
|
|
|
wss://rg-nvz-prd-discoagentmgmtdisco-notifications-nvz.service.signalr.net/client/ |
|
|
|
TKU 环境
| 服务 | URL | IP 地址 | 所需端口 |
|---|---|---|---|
| 代理(必需) | |||
| 骨干 Neurons 通信 | tkuprd-sfc.ivanticloud.com | 动态 | 443 (TCP) |
| 代理通信 | tku-prd.mqtt.ivanticloud.com | 4.189.25.254 | 8883 |
| 连接器引擎 | 本地流量 | 本地流量 | 443 (TCP) |
| 连接器引擎 – SQL | 本地流量 | 本地流量 | 由您的 SQL Server 实例定义 |
| Edge Intelligence | |||
| 实时引擎 | tku-prd.mqtt.ivanticloud.com | 4.189.25.254 | 8883 (TCP) |
| 远程控制 | |||
| 端点机器上的远程控制 | tkuprd-rc.ivanticloud.com | 4.241.23.131 | 端口范围 44345 至 44349 (TCP) |
| 分析师机器的远程控制 | 端口范围 45344 至 45348 (TCP) | ||
| 修补程序管理 | |||
| 修补程序引擎 - 供应商 | 请参阅 https://forums.ivanti.com 上的供应商列表 | 443/80(TCP,仅限出站) | |
| 修补程序引擎 - 侧载 | Sapatchtenantfiles7d3d2f.blob.core.windows.net | 动态 | 443(TCP,仅限出站) |
| Discovery | |||
| 无代理引擎 | 本地流量 | 本地流量 | 445 (TCP) 135 (TCP) |
| IvantiCsepEngine | 本地流量 | 本地流量 | 33554(TCP 和 UDP) 33555 (UDP) |
| IvantiDiscoveryEngine | 本地流量 | 本地流量 | 137 (UDP) 53 (UDP) |
| 部署 | |||
|
DeploymentEngine |
tkuprd-adpstat.ivanticloud.com |
动态 |
443 (TCP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
445 (TCP) 对于 NETBIOS 可选: 139 (TCP) 137-138 (UDP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
22 (TCP) macOS 和 Linux |
| 例如,部署和 Discovery 扫描的状态 | |||
| UI 实时更新 (而非刷新网页) |
https://rg-tku-prd-discoagentmgmtdisco-notifications-tku.service.signalr.net/client/negotiate |
|
|
|
wss://rg-tku-prd-discoagentmgmtdisco-notifications-tku.service.signalr.net/client/ |
|
|
|
TTU 环境
| 服务 | URL | IP 地址 | 所需端口 |
|---|---|---|---|
| 代理(必需) | |||
| 骨干 Neurons 通信 | ttuprd-sfc.ivanticloud.com | 动态 | 443 (TCP) |
| 代理通信 | ttu-prd.mqtt.ivanticloud.com | 4.172.56.29 | 8883 |
| 连接器引擎 | 本地流量 | 本地流量 | 443 (TCP) |
| 连接器引擎 – SQL | 本地流量 | 本地流量 | 由您的 SQL Server 实例定义 |
| Edge Intelligence | |||
| 实时引擎 | ttu-prd.mqtt.ivanticloud.com | 4.172.56.29 | 8883 (TCP) |
| 远程控制 | |||
| 端点机器上的远程控制 | ttuprd-rc.ivanticloud.com | 20.220.252.197 | 端口范围 44345 至 44349 (TCP) |
| 分析师机器的远程控制 | 端口范围 45344 至 45348 (TCP) | ||
| 修补程序管理 | |||
| 修补程序引擎 - 供应商 | 请参阅 https://forums.ivanti.com 上的供应商列表 | 443/80(TCP,仅限出站) | |
| 修补程序引擎 - 侧载 | Sapatchtenantfilesa1aefe.blob.core.windows.net | 动态 | 443(TCP,仅限出站) |
| Discovery | |||
| 无代理引擎 | 本地流量 | 本地流量 | 445 (TCP) 135 (TCP) |
| IvantiCsepEngine | 本地流量 | 本地流量 | 33554(TCP 和 UDP) 33555 (UDP) |
| IvantiDiscoveryEngine | 本地流量 | 本地流量 | 137 (UDP) 53 (UDP) |
| 部署 | |||
|
DeploymentEngine |
fruprd-adpstat.ivanticloud.com |
动态 |
443 (TCP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
445 (TCP) 对于 NETBIOS 可选: 139 (TCP) 137-138 (UDP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
22 (TCP) macOS 和 Linux |
| 例如,部署和 Discovery 扫描的状态 | |||
| UI 实时更新 (而非刷新网页) |
https://rg-ttu-prd-discoagentmgmtdisco-notifications-ttu.service.signalr.net/client/negotiate |
|
|
|
wss://rg-ttu-prd-discoagentmgmtdisco-notifications-ttu.service.signalr.net/client/ |
|
|
|
UKU 环境
| 服务 | URL | IP 地址 | 所需端口 |
|---|---|---|---|
| 代理(必需) | |||
| 骨干 Neurons 通信 | ukuprd-sfc.ivanticloud.com | 动态 | 443 (TCP) |
| 代理通信 | uku-prd.mqtt.ivanticloud.com | 20.49.172.247 | 8883 |
| 连接器引擎 | 本地流量 | 本地流量 | 443 (TCP) |
| 连接器引擎 – SQL | 本地流量 | 本地流量 | 由您的 SQL Server 实例定义 |
| Edge Intelligence | |||
| 实时引擎 | uku-prd.mqtt.ivanticloud.com | 20.49.172.247 | 8883 (TCP) |
| 远程控制 | |||
| 端点机器上的远程控制 | ukuprd-rc.ivanticloud.com | 20.77.156.96 | 端口范围 44345 至 44349 (TCP) |
| 分析师机器的远程控制 | 端口范围 45344 至 45348 (TCP) | ||
| 修补程序管理 | |||
| 修补程序引擎 - 供应商 | 请参阅 https://forums.ivanti.com 上的供应商列表 | 443/80(TCP,仅限出站) | |
| 修补程序引擎 - 侧载 | sapatchtenantfiles8061b2.blob.core.windows.net | 动态 | 443(TCP,仅限出站) |
| Discovery | |||
| 无代理引擎 | 本地流量 | 本地流量 | 445 (TCP) 135 (TCP) |
| IvantiCsepEngine | 本地流量 | 本地流量 | 33554(TCP 和 UDP) 33555 (UDP) |
| IvantiDiscoveryEngine | 本地流量 | 本地流量 | 137 (UDP) 53 (UDP) |
| 部署 | |||
|
DeploymentEngine |
ukuprd-adpstat.ivanticloud.com |
动态 |
443 (TCP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
445 (TCP) 对于 NETBIOS 可选: 139 (TCP) 137-138 (UDP) |
|
DeploymentEngine |
本地流量 |
本地流量 |
22 (TCP) macOS 和 Linux |
| 例如,部署和 Discovery 扫描的状态 | |||
| UI 实时更新 (而非刷新网页) |
https://rg-uks-prd-discoagentmgmtdisco-notifications-uks.service.signalr.net/client/negotiate |
|
|
|
wss://rg-uks-prd-discoagentmgmtdisco-notifications-uks.service.signalr.net/client/ |
|
|
|