Basic steps – Network
Use secure and trusted networks connection
Network communications must be secure, whether or not you are on a closed network. By default, secure communications should be used when accessing the VMS. For example:
- VPN tunnels or HTTPS by default
- Latest version of the Transport Layer Security (https://datatracker.ietf.org/wg/tls/charter/) (TLS, currently 1.2) with valid certificates that meet industry best practices, such as from Public-Key Infrastructure (X.509) (https://datatracker.ietf.org/wg/ipsec/documents/) and CA/Browser Forum (https://cabforum.org/).
Otherwise, credentials may be compromised and intruders might use them to access the VMS.
Configure the network to allow client computers to establish secure HTTPS sessions or VPN tunnels between the client devices and the VMS servers.
Learn more
The following control(s) provide additional guidance:
- NIST SP 800-53 SI-2 Flaw remediation
- NIST SP 800-53 CM-6 Configuration Settings
- NIST SP 800-53 SC-23 Session Authenticity
Use firewalls to limit IP access to servers and computers
Milestone recommends that you use secure connections, and the following additional steps:
- Use secure device authentication
- Use TLS
- Use device whitelisting to authenticate devices
- Use firewalls to limit network communication between servers and client computers and programs.
All XProtect components and the ports needed by them are listed in individual sections below. To ensure, for example, that the firewall blocks only unwanted traffic, you need to specify the ports that the XProtect VMS uses. You should only enable these ports. The lists also include the ports used for local processes.
They are arranged in two groups:
- Server components (services)—Offer their service on particular ports which is why they need to listen for client requests on these ports. Therefore, these ports need to be opened in the Windows Firewall for inbound connections.
- Client components (clients)—Initiate connections to particular ports on server components. Therefore, these ports need to be opened for outbound connections. Outbound connections are typically open by default in the Windows Firewall.
If nothing else is mentioned, ports for server components must be opened for inbound connections, and ports for client components must be opened for outbound connections.
Do keep in mind that server components can act as clients to other server components as well.
The port numbers are the default numbers, but this can be changed. Contact Milestone Support, if you need to change ports that are not configurable through the Management Client.
Server components (inbound connections)
Each of the following sections list the ports which need to be opened for a particular service. In order to figure out which ports need to be opened on a particular computer, you need to consider all services running on this computer.
Restrict remote access to the Management Server by adding firewall rules to only allow Recording Servers to connect to TCP port 9000.
Management Serverサービスと関連プロセス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 80 | HTTP | IIS | すべてのサーバーおよびXProtect Smart Client、Management Client | 80 番ポートと 443 番ポートの目的は同じです。ただし、VMS がどのポートを使用するかは、通信の安全性を確保するために証明書を使用したかどうかによって異なります。
|
| 443 | HTTPS | IIS | ||
| 445 | TCP | Management Server サービス | Management Server Manager。 | Windows Active Directory ユーザーを役割に追加できるようにします。 |
| 6473 | TCP | Management Server サービス | Management Server Manager トレイアイコン、ローカル接続のみ。 | ステータスの表示とサービスの管理。 |
| 8080 | TCP | マネジメントサーバー | ローカル接続のみ。 | サーバー上の内部プロセス間の通信。 |
| 9000 | HTTP | マネジメントサーバー | Recording Serverサービス | サーバー間の内部コミュニケーション用 Web サービスです。 |
| 12345 | TCP | Management Server サービス | XProtect Smart Client | システムとMatrix受信者の間の通信。 Management Clientのポート番号は変更できます。 |
| 12974 | TCP | Management Server サービス | Windows SNMPサービス | SNMP 拡張エージェントとの通信。 システムが SNMP を適用しない場合でも、他の目的でこのポートを使用しないでください。 XProtect 2014 システム以前のポート番号は6475でした。 XProtect 2019 R2システム以前のポート番号は7475でした。 |
SQL Server サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 1433 | TCP | SQL Server | Management Server サービス | Identity Provider経由で構成を保存&取得中。 |
| 1433 | TCP | SQL Server | Event Server サービス | Identity Provider経由でイベントを保存&取得中。 |
| 1433 | TCP | SQL Server | Log Server サービス | Identity Provider経由でログエントリを保存&取得中。 |
Data Collector サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 7609 | HTTP | IIS | マネジメントサーバーコンピュータ上:他の全サーバー上のData Collectorサービス。 その他のコンピュータ上:マネジメントサーバー上のData Collectorサービス。 | システムモニター。 |
Event Server サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 1234 | TCP/UDP | Event Serverサービス | XProtect システムにジェネリックイベントを送信するサーバーすべて。 | 外部のシステムまたはデバイスからのジェネリックイベントをリスンします。 関連のデータソースが有効な場合のみ。 |
| 1235 | TCP | Event Server サービス | XProtect システムにジェネリックイベントを送信するサーバーすべて。 | 外部のシステムまたはデバイスからのジェネリックイベントをリスンします。 関連のデータソースが有効な場合のみ。 |
| 9090 | TCP | Event Server サービス | XProtectシステムにアナリティクスイベントを送信するすべてのシステムまたはデバイス。 | 外部システムまたはデバイスからのアナリティクスイベントをリスンします。 アナリティクスイベント機能が有効な場合のみ関連。 |
| 22331 | TCP | Event Server サービス | XProtect Smart ClientおよびManagement Client | 構成、イベント、アラーム、およびマップデータ。 |
| 22332 | WS/WSS HTTP/HTTPS* | Event Server サービス | API GatewayおよびManagement Client | イベント/ステータス購読、イベントREST API、Websockets Messaging API、アラーム REST API。 |
| 22333 | TCP | Event Server サービス | MIPプラグインおよびアプリケーション。 | MIPメッセージング。 |
*HTTPS専用エンドポイントにアクセスするために HTTP にアクセスすると、403 エラーが返されます。
Recording Server サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 25 | SMTP | Recording Serverサービス | カメラ、エンコーダー、および I/O デバイス。 | デバイスからのイベントメッセージをリスンします。 このポートはデフォルトでは無効になっています。 (非推奨)これを有効にすると暗号化されていない接続用にポートが開かれるため、この操作は推奨されません。 |
| 5210 | TCP | Recording Serverサービス | フェールオーバー レコーディングサーバー。 | フェールオーバー レコーディング サーバーが実行された後のデータベースの統合。 |
| 5432 | TCP | Recording Serverサービス | カメラ、エンコーダー、および I/O デバイス。 | デバイスからのイベントメッセージをリスンします。 このポートはデフォルトでは無効になっています。 |
| 7563 | TCP | Recording Serverサービス | XProtect Smart Client, Management Client | ビデオおよび音声ストリーム、PTZ コマンドの取得。 |
| 8966 | TCP | Recording Serverサービス | Recording Server Manager トレイアイコン、ローカル接続のみ。 | ステータスの表示とサービスの管理。 |
| 9001 | HTTP | Recording Serverサービス | マネジメントサーバー | サーバー間の内部コミュニケーション用 Web サービスです。 複数のレコーディングサーバーインスタンスが使用されている場合は、それぞれのインスタンスに独自のポートが必要です。追加ポートは9002、9003、などとなります。 |
| 11000 | TCP | Recording Serverサービス | フェールオーバー レコーディングサーバー | レコーディングサーバーのステータスのポーリング。 |
| 12975 | TCP | Recording Serverサービス | Windows SNMP サービス | SNMP 拡張エージェントとの通信。 システムが SNMP を適用しない場合でも、他の目的でこのポートを使用しないでください。 XProtect 2014システム以前のポート番号は6474でした。 XProtect 2019 R2システム以前のポート番号は7474でした。 |
| 65101 | UDP | Recording Server サービス | ローカル接続のみ | ドライバーからのイベント通知をリスンします。 |
Recording Serverサービスによって上記のRecording Serverサービスへの着信接続に加え、以下への発信接続も確立されます。
- カメラ
- NVR
- リモート相互接続サイト(Milestone相互接続ICP)
Failover Server サービスと Failover Recording Server サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 25 | SMTP | Failover Recording Serverサービス | カメラ、エンコーダー、および I/O デバイス。 | デバイスからのイベントメッセージをリスンします。 このポートはデフォルトでは無効になっています。 (非推奨)これを有効にすると暗号化されていない接続用にポートが開かれるため、この操作は推奨されません。 |
| 5210 | TCP | Failover Recording Serverサービス | フェールオーバー レコーディングサーバー | フェールオーバー レコーディング サーバーが実行された後のデータベースの統合。 |
| 5432 | TCP | Failover Recording Serverサービス | カメラ、エンコーダー、および I/O デバイス。 | デバイスからのイベントメッセージをリスンします。 このポートはデフォルトでは無効になっています。 |
| 7474 | TCP | Failover Recording Serverサービス | Windows SNMP サービス | SNMP 拡張エージェントとの通信。 システムが SNMP を適用しない場合でも、他の目的でこのポートを使用しないでください。 |
| 7563 | TCP | Failover Recording Serverサービス | XProtect Smart Client | ビデオおよび音声ストリーム、PTZ コマンドの取得。 |
| 8844 | UDP | Failover Recording Serverサービス | Failover Recording Server サービス間の通信 | 2つのサーバーの間の通信。 |
| 8966 | TCP | Failover Recording Serverサービス | Failover Recording Server Manager トレイアイコン、ローカル接続のみ。 | ステータスの表示とサービスの管理。 |
| 8967 | TCP | Failover Serverサービス | Failover Server Manager トレイアイコン、ローカル接続のみ。 | ステータスの表示とサービスの管理。 |
| 8990 | HTTP | Failover Serverサービス | Management Server サービス | Failover Serverサービスのステータスをモニター。 |
| 9001 | HTTP | Failover Serverサービス | マネジメントサーバー | サーバー間の内部コミュニケーション用 Web サービスです。 |
上記のフェールオーバー サーバー / Failover Recording Serverサービスへの受信接続に加えて、フェールオーバー サーバー / Failover Recording Server サービスは、通常のレコーダー、カメラ、ビデオ プッシュ向けに送信接続を確立します。
Log Server サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 22337 | HTTP | Log Server サービス | レコーディングサーバーを除く、すべての XProtect コンポーネント。 | ログサーバーの書き込み、読み取り、構成を行います。 |
このポートは HTTP を使用しますが、通信は WS-Security 規格を使用してメッセージを保護するメッセージセキュリティで暗号化されます。詳細については、「WCF でのメッセージセキュリティ」を参照してください。
Mobile Server サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 8000 | TCP | Mobile Server サービス | Mobile Server Manager トレイアイコン、ローカル接続のみ。 | SysTrayアプリケーション。 |
| 8081 | HTTP | Mobile Server サービス | Mobileクライアント、Webクライアント、およびManagement Client。 | ビデオと音声のデータストリームの送信。 |
| 8082 | HTTPS | Mobile Server サービス | MobileクライアントおよびWebクライアント。 | ビデオと音声のデータストリームの送信。 |
| 40001 - 40099 | HTTP | Mobile Server サービス | レコーディング サーバー サービス | Mobile Server ビデオプッシュ。 このポート範囲はデフォルトでは無効になっています。 |
LPR Server サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 22334 | TCP | LPR Serverサービス | イベントサーバー | 認証されたナンバープレートとサーバーのステータスの取得。 接続するには、イベントサーバーに LPR プラグインがインストールされている必要があります。 |
| 22334 | TCP | LPR Serverサービス | LPR Server Manager トレイアイコン、ローカル接続のみ。 | SysTray アプリケーション |
Milestone Open Network Bridge サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 580 | TCP | Milestone Open Network Bridgeサービス | ONVIF クライアント | ビデオストリーム構成の認証と要求 |
| 554 | RTSP | RTSPサービス | ONVIF クライアント | ONVIFクライアントへの要求ビデオのストリーミング。 |
XProtect DLNA Server サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 9100 | HTTP | DLNA Serverサービス | DLNA デバイス | デバイス検出およびDLNAチャネル構成の提供。ビデオストリームの要求。 |
| 9200 | HTTP | DLNA Serverサービス | DLNA デバイス | DLNAデバイスへの要求ビデオのストリーミング。 |
XProtect Screen Recorder サービス
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 52111 | TCP | XProtect Screen Recorder | Recording Serverサービス | モニターからビデオの提供。録画サーバー上にカメラと同じように表示され、機能します。 Management Client のポート番号は変更できます。 |
XProtect Incident Manager service
ポート番号 | プロトコル | プロセス | 接続元 | 目的 |
|---|---|---|---|---|
| 80 | HTTP | IIS | XProtect Smart ClientおよびManagement Client | 80 番ポートと 443 番ポートの目的は同じです。ただし、VMS がどのポートを使用するかは、通信の安全性を確保するために証明書を使用したかどうかによって異なります。
|
| 443 | HTTPS | IIS |
サーバーコンポーネント(送信接続)
Management Server サービス
ポート番号 | プロトコル | 接続先 | 目的 |
|---|---|---|---|
| 443 | HTTPS | ライセンス管理サービスをホストするライセンスサーバー。コミュニケーションは https://www.milestonesys.com/ OnlineActivation/ LicenseManagementService.asmxを通じて行われます。 | ライセンスのアクティベーション |
Recording Server サービス
ポート番号 | プロトコル | 接続先 | 目的 |
|---|---|---|---|
| 80 | HTTP | カメラ、NVR、エンコーダ 相互接続されているサイト | 認証、構成、データ ストリーム、ビデオ、音声。 ログイン |
| 443 | HTTPS | カメラ、NVR、エンコーダ | 認証、構成、データ ストリーム、ビデオ、音声。 |
| 554 | RTSP | カメラ、NVR、エンコーダ | データストリーム、ビデオ、音声。 |
| 7563 | TCP | 相互接続されているサイト | データストリームとイベント。 |
| 11000 | TCP | フェールオーバー レコーディングサーバー | レコーディングサーバーのステータスのポーリング。 |
| 40001 – 40099 | HTTP | モバイルサーバーサービス | モバイル サーバー ビデオ プッシュ。 このポート範囲はデフォルトでは無効になっています。 |
Failover Server サービスと Failover Recording Server サービス
ポート番号 | プロトコル | 接続先 | 目的 |
|---|---|---|---|
| 11000 | TCP | フェールオーバー レコーディングサーバー | レコーディングサーバーのステータスのポーリング。 |
Event Server サービス
ポート番号 | プロトコル | 接続先 | 目的 |
|---|---|---|---|
| 80 | HTTP | API GatewayおよびManagement Server | API Gateway から構成 API にアクセス |
| 443 | HTTPS | API GatewayおよびManagement Server | API Gateway から構成 API にアクセス |
| 443 | HTTPS | Milestone Customer Dashboard経由 | XProtectシステムからMilestone Customer Dashboardへステータス、イベント、エラーメッセージを送信。 |
Log Server サービス
ポート番号 | プロトコル | 接続先 | 目的 |
|---|---|---|---|
| 443 | HTTP | ログサーバー | メッセージをログサーバーに転送します。 |
API Gateway
ポート番号 | プロトコル | 接続先 | 目的 |
|---|---|---|---|
| 443 | HTTPS | Management Server | RESTful API |
| 22332 | WS/WSS HTTP/HTTPS* | Management Client | イベント/ステータサブスクリプション、Events REST API、Websockets Messaging API、Alarms REST API。 |
カメラ、エンコーダー、I/Oデバイス(着信接続)
ポート番号 | プロトコル | 接続元 | 目的 |
|---|---|---|---|
| 80 | TCP | レコーディング サーバーとフェールオーバー レコーディング サーバー | ビデオと音声の認証、構成、およびデータストリーム。 |
| 443 | HTTPS | レコーディング サーバーとフェールオーバー レコーディング サーバー | ビデオと音声の認証、構成、およびデータストリーム。 |
| 554 | RTSP | レコーディング サーバーとフェールオーバー レコーディング サーバー | ビデオと音声のデータストリーム。 |
カメラ、エンコーダー、I/Oデバイス(送信接続)
ポート番号 | プロトコル | 接続先 | 目的 |
|---|---|---|---|
| 25 | SMTP | レコーディング サーバーとフェールオーバー レコーディング サーバー | イベント通知の送信(使用されていません) |
| 5432 | TCP | レコーディング サーバーとフェールオーバー レコーディング サーバー | イベント通知の送信。 このポートはデフォルトでは無効になっています。 |
| 22337 | HTTP | ログサーバー | メッセージをログサーバーに転送します。 |
発信接続が確立できるカメラは数種のモデルのみです。
クライアントコンポーネント(発信接続)
XProtect Smart Client、XProtect Management Client、XProtect Mobileサーバー
ポート番号 | プロトコル | 接続先 | 目的 |
|---|---|---|---|
| 80 | HTTP | API Gateway および Management Server サービス | 認証およびAPI Gatewayのその他のAPI |
| 443 | HTTPS | API Gateway および Management Server サービス | 暗号化が有効な場合の基本ユーザーの認証およびAPI Gatewayでのその他のAPI。 |
| 443 | HTTPS | Milestone Systems A/S(doc.milestonesys.com、52.178.114.226) | Management ClientとSmart Clientにより、ヘルプURLにアクセスしてオンラインヘルプが利用できるかどうかがときどきチェックされます。 |
| 7563 | TCP | Recording Server サービス | ビデオおよび音声ストリーム、PTZ コマンドの取得。 |
| 22331 | TCP | Event Server サービス | アラーム。 |
XProtect Web Client、XProtect Mobileクライアント
ポート番号 | プロトコル | 接続先 | 目的 |
|---|---|---|---|
| 8081 | HTTP | XProtect Mobile サーバー | ビデオおよび音声ストリームの取得。 |
| 8082 | HTTPS | XProtect Mobile サーバー | ビデオおよび音声ストリームの取得。 |
Learn more
The following control(s) provide additional guidance:
- NIST SP 800-53 CA-3 System Interconnections
- NIST SP 800-53 CM-6 Configuration Settings
- NIST SP 800-53 SC-7 Boundary Protection
Use a firewall between the VMS and the Internet
The VMS should not connect directly to the Internet. If you expose parts of the VMS to the Internet, Milestone recommends that you use an appropriately configured firewall between the VMS and the Internet.
If possible, expose only the XProtect Mobile server component to the Internet, and locate it in a demilitarize zone (DMZ) with firewalls on both sides. This is illustrated in the following figure.
Learn more
The following control(s) provide additional guidance:
- NIST SP 800-53 CA-3 System Interconnections
Connect the camera subnet to the recording server subnet only
Milestone recommends that you connect the camera subnet only to the recording server subnet. The cameras and other devices need to communicate only with the recording servers. For more information, see Recording Server.
Learn more
The following control(s) provide additional guidance:
- NIST 800-53 SC-7 Boundary Protection