Basic steps – Network
Use secure and trusted networks connection
Network communications must be secure, whether or not you are on a closed network. By default, secure communications should be used when accessing the VMS. For example:
- VPN tunnels or HTTPS by default
- Latest version of the Transport Layer Security (https://datatracker.ietf.org/wg/tls/charter/) (TLS, currently 1.2) with valid certificates that meet industry best practices, such as from Public-Key Infrastructure (X.509) (https://datatracker.ietf.org/wg/ipsec/documents/) and CA/Browser Forum (https://cabforum.org/).
Otherwise, credentials may be compromised and intruders might use them to access the VMS.
Configure the network to allow client computers to establish secure HTTPS sessions or VPN tunnels between the client devices and the VMS servers.
Learn more
The following control(s) provide additional guidance:
- NIST SP 800-53 SI-2 Flaw remediation
- NIST SP 800-53 CM-6 Configuration Settings
- NIST SP 800-53 SC-23 Session Authenticity
Use firewalls to limit IP access to servers and computers
Milestone recommends that you use secure connections, and the following additional steps:
- Use secure device authentication
- Use TLS
- Use device whitelisting to authenticate devices
- Use firewalls to limit network communication between servers and client computers and programs.
All XProtect components and the ports needed by them are listed in individual sections below. To ensure, for example, that the firewall blocks only unwanted traffic, you need to specify the ports that the XProtect VMS uses. You should only enable these ports. The lists also include the ports used for local processes.
They are arranged in two groups:
- Server components (services)—Offer their service on particular ports which is why they need to listen for client requests on these ports. Therefore, these ports need to be opened in the Windows Firewall for inbound connections.
- Client components (clients)—Initiate connections to particular ports on server components. Therefore, these ports need to be opened for outbound connections. Outbound connections are typically open by default in the Windows Firewall.
If nothing else is mentioned, ports for server components must be opened for inbound connections, and ports for client components must be opened for outbound connections.
Do keep in mind that server components can act as clients to other server components as well.
The port numbers are the default numbers, but this can be changed. Contact Milestone Support, if you need to change ports that are not configurable through the Management Client.
Server components (inbound connections)
Each of the following sections list the ports which need to be opened for a particular service. In order to figure out which ports need to be opened on a particular computer, you need to consider all services running on this computer.
Restrict remote access to the Management Server by adding firewall rules to only allow Recording Servers to connect to TCP port 9000.
Serviço Management Server e processos relacionados
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 80 | HTTP | IIS | Todos os servidores e o XProtect Smart Client e o Management Client | A finalidade da porta 80 e da porta 443 é a mesma. No entanto, qual porta o sistema de gerenciamento de vídeo usa depende se você usou certificados para proteger a comunicação.
|
| 443 | HTTPS | IIS | ||
| 445 | TCP | Serviço Management Server | Management Server Manager. | Ativar usuários do Active Directory do Windows a serem atribuídos às funções. |
| 6473 | TCP | Serviço Management Server | Management Server Manager ícone de bandeja, conexão local apenas. | Exibindo o status e gerenciando o serviço. |
| 8080 | TCP | Servidor de gerenciamento | Apenas conexão local. | Comunicação entre processos internos do servidor. |
| 9000 | HTTP | Servidor de gerenciamento | Serviços Recording Server | Serviço da web para comunicação interna entre servidores. |
| 12345 | TCP | Serviço Management Server | XProtect Smart Client | Comunicação entre o sistema e os destinatários Matrix. Você pode alterar o número da porta no Management Client. |
| 12974 | TCP | Serviço Management Server | Serviço Windows SNMP | A comunicação com o agente de extensão SNMP. Não use a porta para outros fins, mesmo que o seu sistema não use SNMP. Nos sistemas XProtect 2014 ou mais antigos, o número da porta era 6475. Nos sistemas XProtect 2019 R2 e anteriores, o número da porta era 7475. |
SQL ServerServiço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 1433 | TCP | SQL Server | Serviço Management Server | Como armazenar e recuperar configurações através do Identity Provider. |
| 1433 | TCP | SQL Server | Serviço Event Server | Como armazenar e recuperar eventos através do Identity Provider. |
| 1433 | TCP | SQL Server | Serviço Log Server | Como armazenar e recuperar entradas de registro através do Identity Provider. |
Data CollectorServiço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 7609 | HTTP | IIS | No computador do servidor de gerenciamento: Serviços Data Collector em todos os outros servidores. Em outros computadores: Serviço Data Collector no servidor de gerenciamento. | Monitor do sistema. |
Event ServerServiço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 1234 | TCP/UDP | Serviço Event Server | Qualquer servidor enviando eventos genéricos para o seu sistema XProtect. | Ouvir eventos genéricos de sistemas ou dispositivos externos. Apenas se a fonte de dados relevante estiver ativada. |
| 1235 | TCP | Serviço Event Server | Qualquer servidor enviando eventos genéricos para o seu sistema XProtect. | Ouvir eventos genéricos de sistemas ou dispositivos externos. Apenas se a fonte de dados relevante estiver ativada. |
| 9090 | TCP | Serviço Event Server | Qualquer sistema ou dispositivo que envia eventos analíticos para o seu sistema XProtect. | Ouvir eventos de análise de sistemas ou dispositivos externos. Só é relevante se o recurso Eventos de Análise estiver ativado. |
| 22331 | TCP | Serviço Event Server | XProtect Smart Client e o Management Client | Configuração, eventos, alarmes e dados do mapa. |
| 22332 | WS/WSS HTTP/HTTPS* | Serviço Event Server | API Gateway e o Management Client | Assinatura de evento/estado, API REST de eventos, API Websockets Messaging e APIREST de alarmes. |
| 22333 | TCP | Serviço Event Server | Plug-ins e aplicativos MIP. | Mensagens MIP. |
*Um erro 403 será apresentado durante a tentativa de acessar HTTP para visualizar um endpoint exclusivo de HTTPS.
Recording ServerServiço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 25 | SMTP | Serviço Recording Server | Câmeras, codificadores e dispositivos de E/S. | Ouvir as mensagens de eventos de dispositivos. A porta está desativada por padrão. (Obsoleto) Habilitar isto abrirá uma porta para conexões não criptografadas e não é recomendado. |
| 5210 | TCP | Serviço Recording Server | Servidor do sistema de gravação ininterrupta. | Mesclagem dos bancos de dados após um servidor do sistema de gravação ininterrupta (failover) ter sido executado. |
| 5432 | TCP | Serviço Recording Server | Câmeras, codificadores e dispositivos de E/S. | Ouvir as mensagens de eventos de dispositivos. A porta está desativada por padrão. |
| 7563 | TCP | Serviço Recording Server | XProtect Smart Client, Management Client | Recuperando fluxos de vídeo e áudio, comandos PTZ. |
| 8966 | TCP | Serviço Recording Server | Recording Server Manager ícone de bandeja, conexão local apenas. | Exibindo o status e gerenciando o serviço. |
| 9001 | HTTP | Serviço Recording Server | Servidor de gerenciamento | Serviço da web para comunicação interna entre servidores. Se diversas instâncias do Servidor de gravação estiverem em uso, cada instância precisa de sua própria porta. Portas adicionais serão 9002, 9003, etc. |
| 11000 | TCP | Serviço Recording Server | Servidores de gravação de failover | Sondagem (verificação regular) do estado dos servidores de gravação. |
| 12975 | TCP | Serviço Recording Server | Serviço Windows SNMP | A comunicação com o agente de extensão SNMP. Não use a porta para outros fins, mesmo que o seu sistema não use SNMP. Nos sistemas XProtect 2014 ou mais antigos, o número da porta era 6474. Nos sistemas XProtect 2019 R2 e anteriores, o número da porta era 7474. |
| 65101 | UDP | Serviço Recording Server | Apenas conexão local | Ouvir notificações de eventos dos drivers. |
Além das conexões de entrada para o serviço Recording Server listado acima, o serviço Recording Server estabelece conexões de saída para:
- Câmeras
- NVRs
- Sites interconectados remotos (Interconectar ICP Milestone)
Serviço Failover Server e serviço Failover Recording Server
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 25 | SMTP | Serviço Failover Recording Server | Câmeras, codificadores e dispositivos de E/S. | Ouvir as mensagens de eventos de dispositivos. A porta está desativada por padrão. (Obsoleto) Habilitar isto abrirá uma porta para conexões não criptografadas e não é recomendado. |
| 5210 | TCP | Serviço Failover Recording Server | Servidores de gravação de failover | Mesclagem dos bancos de dados após um servidor do sistema de gravação ininterrupta (failover) ter sido executado. |
| 5432 | TCP | Serviço Failover Recording Server | Câmeras, codificadores e dispositivos de E/S. | Ouvir as mensagens de eventos de dispositivos. A porta está desativada por padrão. |
| 7474 | TCP | Serviço Failover Recording Server | Serviço Windows SNMP | A comunicação com o agente de extensão SNMP. Não use a porta para outros fins, mesmo que o seu sistema não use SNMP. |
| 7563 | TCP | Serviço Failover Recording Server | XProtect Smart Client | Recuperando fluxos de vídeo e áudio, comandos PTZ. |
| 8844 | UDP | Serviço Failover Recording Server | Comunicação entre serviços do Failover Recording Server. | Comunicação entre os servidores. |
| 8966 | TCP | Serviço Failover Recording Server | Failover Recording Server Manager ícone de bandeja, conexão local apenas. | Exibindo o status e gerenciando o serviço. |
| 8967 | TCP | Serviço Failover Server | Failover Server Manager ícone de bandeja, conexão local apenas. | Exibindo o status e gerenciando o serviço. |
| 8990 | HTTP | Serviço Failover Server | Serviço Management Server | Monitorar o status do serviço Failover Server. |
| 9001 | HTTP | Serviço Failover Server | Servidor de gerenciamento | Serviço da web para comunicação interna entre servidores. |
Além das conexões de entrada para o serviço de servidor de emergência/Failover Recording Server listado acima, o serviço servidor de emergência/Failover Recording Server estabelece conexões de saída para os gravadores e câmeras regulares e para Vídeo Push.
Log ServerServiço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 22337 | HTTP | Serviço Log Server | Todos os componentes da XProtect, exceto o servidor de gravação. | Escreva para, leia do e configure o servidor de registros. |
Essa porta utiliza HTTP, mas a comunicação é criptografada com segurança de mensagem que utiliza a especificação WS-Security para proteger as mensagens. Para mais informações, consulte a segurança de mensagens em WCF.
Mobile ServerServiço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 8000 | TCP | Serviço Mobile Server | Mobile Server Manager ícone de bandeja, conexão local apenas. | Aplicativo SysTray. |
| 8081 | HTTP | Serviço Mobile Server | Clientes móveis, clientes da Web e Management Client. | Enviando fluxos de dados; vídeo e áudio. |
| 8082 | HTTPS | Serviço Mobile Server | Clientes móveis e clientes da Web. | Enviando fluxos de dados; vídeo e áudio. |
| 40001 - 40099 | HTTP | Serviço Mobile Server | Serviço do servidor de gravação | Mobile Server Pré-carregamento de vídeo. Esta porta está desativada por padrão. |
LPR Server serviço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 22334 | TCP | Serviço LPR Server | Servidor de eventos | Recuperando as placas de licença reconhecidas e o status do servidor. Para conectar o Servidor de eventos é preciso ter o plug-in LPR instalado. |
| 22334 | TCP | Serviço LPR Server | LPR Server Manager ícone de bandeja, conexão local apenas. | Aplicativo SysTray. |
Milestone Open Network BridgeServiço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 580 | TCP | Serviço Milestone Open Network Bridge | Clientes ONVIF | Autenticação e solicitações para configuração de fluxo de vídeo. |
| 554 | RTSP | Serviço RTSP | Clientes ONVIF | Fluxo de vídeo solicitado para clientes do ONVIF. |
XProtect DLNA ServerServiço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 9100 | HTTP | Serviço DLNA Server | Dispositivo DLNA | Descoberta de dispositivos e fornecimento de configuração de canais DLNA. Solicitações de fluxos de vídeo. |
| 9200 | HTTP | Serviço DLNA Server | Dispositivo DLNA | Fluxo de vídeo solicitado para dispositivos DLNA. |
XProtect Screen RecorderServiço
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 52111 | TCP | XProtect Screen Recorder | Serviço Recording Server | Fornece vídeo de um monitor. Aparece e funciona da mesma forma que uma câmera no servidor de gravação. Você pode alterar o número da porta no Management Client. |
XProtect Incident Manager service
Numero da porta | Protocolo | Processo | Conexões de... | Objetivo |
|---|---|---|---|---|
| 80 | HTTP | IIS | XProtect Smart Client e o Management Client | A finalidade da porta 80 e da porta 443 é a mesma. No entanto, qual porta o sistema de gerenciamento de vídeo usa depende se você usou certificados para proteger a comunicação.
|
| 443 | HTTPS | IIS |
Componentes do servidor (conexões de saída)
Management ServerServiço
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 443 | HTTPS | O servidor de licença que hospeda o serviço de gerenciamento de licenças. A comunicação acontece via https://www.milestonesys.com/ OnlineActivation/ LicenseManagementService.asmx | Ativação de licenças. |
Recording ServerServiço
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 80 | HTTP | Câmeras, NVRs, codificadores Locais interconectados | Autenticação, configuração, fluxos de dados, vídeo e áudio. Login |
| 443 | HTTPS | Câmeras, NVRs, codificadores | Autenticação, configuração, fluxos de dados, vídeo e áudio. |
| 554 | RTSP | Câmeras, NVRs, codificadores | Fluxos de dados, vídeo e áudio. |
| 7563 | TCP | Locais interconectados | Fluxos de dados e eventos. |
| 11000 | TCP | Servidores de gravação de failover | Sondagem (verificação regular) do estado dos servidores de gravação. |
| 40001 – 40099 | HTTP | Serviço do Mobile Server | Vídeo push de servidor móvel. Esta porta está desativada por padrão. |
Serviço Failover Server e serviço Failover Recording Server
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 11000 | TCP | Servidores de gravação de failover | Sondagem (verificação regular) do estado dos servidores de gravação. |
Event ServerServiço
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 80 | HTTP | API Gateway e o Management Server | Acessar a API de configuração do API Gateway |
| 443 | HTTPS | API Gateway e o Management Server | Acessar a API de configuração do API Gateway |
| 443 | HTTPS | Via Milestone Customer Dashboard | Enviar status, eventos e mensagens de erro do sistema XProtect para Milestone Customer Dashboard. |
Log ServerServiço
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 443 | HTTP | Servidor de registros | Encaminhar mensagens para o servidor de registros. |
API Gateway
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 443 | HTTPS | Management Server | RESTful API |
| 22332 | WS/WSS HTTP/HTTPS* | Management Client | Assinatura de evento/estado, API REST de eventos, API Websockets Messaging e API REST de alarmes. |
Câmeras, codificadores e dispositivos I/O (conexões de entrada)
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 80 | TCP | Servidores de gravação e servidores de gravação de failover | Autenticação, configuração e fluxos de dados; vídeo e áudio. |
| 443 | HTTPS | Servidores de gravação e servidores de gravação de failover | Autenticação, configuração e fluxos de dados; vídeo e áudio. |
| 554 | RTSP | Servidores de gravação e servidores de gravação de failover | Fluxos de dados; vídeo e áudio. |
Câmeras, codificadores e dispositivos I/O (conexões de saída)
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 25 | SMTP | Servidores de gravação e servidores de gravação de failover | Enviando notificações de eventos (obsoleto). |
| 5432 | TCP | Servidores de gravação e servidores de gravação de failover | Enviando notificações de eventos. A porta está desativada por padrão. |
| 22337 | HTTP | Servidor de registros | Encaminhar mensagens para o servidor de registros. |
Apenas alguns modelos de câmera são capazes de estabelecer conexões de saída.
Componentes do cliente (conexões de saída)
XProtect Smart Client, XProtect Management Client, servidor XProtect Mobile
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 80 | HTTP | Serviço API Gateway e Management Server | APIs de autenticação e de outros tipos no API Gateway. |
| 443 | HTTPS | Serviço API Gateway e Management Server | Autenticação de usuários básicos quando a criptografia está ativada e outras APIs no API Gateway. |
| 443 | HTTPS | Milestone Systems A/S (doc.milestonesys.com at 52.178.114.226) | Management Client e Smart Client ocasionalmente verificam se a ajuda on-line está disponível acessando o URL de ajuda. |
| 7563 | TCP | Serviço Recording Server | Recuperando fluxos de vídeo e áudio, comandos PTZ. |
| 22331 | TCP | Serviço Event Server | Alarmes. |
XProtect Web Client, cliente XProtect Mobile
Numero da porta | Protocolo | Conexões de... | Objetivo |
|---|---|---|---|
| 8081 | HTTP | Servidor do XProtect Mobile | Recuperando fluxos de vídeo e áudio. |
| 8082 | HTTPS | Servidor do XProtect Mobile | Recuperando fluxos de vídeo e áudio. |
Learn more
The following control(s) provide additional guidance:
- NIST SP 800-53 CA-3 System Interconnections
- NIST SP 800-53 CM-6 Configuration Settings
- NIST SP 800-53 SC-7 Boundary Protection
Use a firewall between the VMS and the Internet
The VMS should not connect directly to the Internet. If you expose parts of the VMS to the Internet, Milestone recommends that you use an appropriately configured firewall between the VMS and the Internet.
If possible, expose only the XProtect Mobile server component to the Internet, and locate it in a demilitarize zone (DMZ) with firewalls on both sides. This is illustrated in the following figure.
Learn more
The following control(s) provide additional guidance:
- NIST SP 800-53 CA-3 System Interconnections
Connect the camera subnet to the recording server subnet only
Milestone recommends that you connect the camera subnet only to the recording server subnet. The cameras and other devices need to communicate only with the recording servers. For more information, see Recording Server.
Learn more
The following control(s) provide additional guidance:
- NIST 800-53 SC-7 Boundary Protection