产品服务器必开（入站规则）：

一、可选择是否开放的端口

1. 9380 TCP

仅用于 ES 集群节点间同步分片、副本、集群状态；单机部署不存在多节点互通，本机防火墙无需放行，跨服务器安全组也不用放。

2. 无额外 ES 集群节点，服务器之间无需互放任何 ES 通信端口。

二、必须保留、一定要放行的端口

1. Web 访问端口（对外管理员登录）

• 8080（HTTP）/ 8443（HTTPS）

管理控制台唯一访问入口，不放无法登录系统操作 AD、查看日志。

2. 内置 PostgreSQL 数据库

• 33306 TCP

存储账号配置、授权、任务计划等核心业务数据，阻断后系统基础管理功能全部瘫痪。

3. Elasticsearch 基础日志读写端口

• 9280 HTTP

产品主程序写入、查询审计日志的唯一通道，关闭后审计页面空白、合规报表无法生成。

• 动态端口段 49152–65535

ES 后台索引构建、日志写入、内部线程通信依赖，单机运行同样需要，拦截会导致 ES 启动失败、日志采集中断。

产品服务器配置【出站规则】

逻辑：ADM 服务器主动发起访问域控、文件服务器目标，流量走向：ADM 服务器 → 目标服务器

ADManager Plus 服务器防火墙：全部配置「出站允许」

1.      AD 域基础管理必备（用户 / 组 / OU / 权限 / 密码 / 查询）

2.      文件服务器共享、NTFS 权限、访问审计必备

可直接省略、无需放行的端口

• 5985/5986：PowerShell 远程（不做服务器资产 / 本地脚本，不用开）
• 25：SMTP 邮件发送（不需要报表告警邮件可关闭）

目标服务器（域控 / 文件服务器）防火墙配置【入站规则】

1. 域控服务器入站放行列表

88、464、135、139、445、389/636、3268/3269、49152–65535

2. 文件服务器入站放行列表（去掉 AD 专属端口）

88、464、135、139、445、49152–65535