- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath SysScan-I系列漏洞扫描系统
Web配置指导
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
为了方便网络或设备管理员对新华三技术有限公司(以下简称H3C)的SecPath系列漏洞扫描系统进行配置操作及维护,漏洞扫描产品支持通过HTTPS协议建立安全的Web连接实现Web网管功能。管理员可以通过Web界面更加直观和便捷地管理和维护漏扫设备。
设备在出厂时已经设置了默认的Web登录信息,用户直接使用该默认信息登录设备的Web界面。
默认的Web登录信息包括:
· 用户名:“admin”。
· 密码:“admin”。
· IP地址为设备GE0/0网口的IP地址,如“https://192.168.0.1”。
Web管理的具体登录步骤如下:
(1) 连接设备和PC。用交叉以太网线将 PC 和设备的GE0/0网口相连。
(2) 启动浏览器输入登录信息。
启动浏览器(推荐火狐V130.0.1,64位;谷歌V131.0.6724.0 ,64位。其他浏览器版本可能出现兼容性问题),在地址栏内输入“https://192.168.0.1”即可进入如下图所示的Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。
图1-1 登录窗口
初次登录设备,会弹出修改登录密码对话框,配置新的登录密码后,单击【确定】按钮即可。
默认的Web登录信息包括:
· 用户名:“auditor”。
· 密码:“auditor”。
功能:具有查看系统日志的功能,auditor 为系统自带的审计管理员
管理员admin 用户成功登录,进入 Web 系统管理界面,页面布局如下图所示。
图1-2 H3C 漏洞扫描系统 web UI介绍
Web UI界面由以下部分组成:
(1) 导航树(栏)
系统的路径导航树(栏)。
(2) 工作区
系统各类功能的配置、操作、浏览都在此区域进行。
(3) 快捷键操作栏
系统设定的几个快捷按键,按键的详细功能如下:
¡ 
:修改当前用户信息。
¡ 
:进行系统升级。
¡ 
:漏洞扫描系统的产品信息。
¡ 
:单击可以退出Web UI界面。
(4) 状态栏
显示设备状态、系统性能和版本,以及查看正在进行的任务、下载最近输出的报表和导入/导出证书等操作。
仪表盘可让管理员在一眼能及的视线范围内查看被扫描服务器、主机的各种统计数据,随时了解服务器、主机的安全风险情况。仪表盘数据来源于所有资产最后一次扫描完后的风险数据分析,漏扫系统根据管理员下发的扫描任务对各服务器、主机执行完扫描任务后,管理员可以通过漏扫提供的仪表盘功能,查看目标服务器、主机扫描结果的各种风险统计信息。
系统管理员组和其他新建普通管理员通过仪表盘配置功能,可以定制仪表盘数据的显示内容。系统管理员组可配置全局,新建普通管理员只能配置权限范围内的数据来源。步骤如下:
(1) 选择菜单仪表盘,进入仪表盘页面,如下图 所示。
图2-1 仪表盘页面
(2) 单击【配置】按钮,弹出仪表盘配置对话框,如下图 所示。
图2-2 仪表盘配置
(3) 配置仪表盘显示参数如表所示
表2-1 仪表盘参数
|
配置项 |
描述 |
|
显示项 |
仪表盘上显示的项目,系统默认显示全部项目。 可选项有:资产风险值、主机风险等级分布、资产风险值趋势以及资产风险分布趋势。 ·资产风险值:根据已扫描主机风险值和资产权重,按特定算法计算整体风险值。 ·主机风险等级分布:已扫描主机最后一次扫描的风险等级分布情况。 ·资产风险值趋势:以配置的周期粒度展示整体风险值变化趋势,相当于资产风险值按一定周期展示。 ·资产风险分布趋势:以配置的周期粒度展示各周期中主机风险等级变化趋势,相当于主机风险等级分布按一定周期展示。
说明:单击仪表盘中各显示项右上角的图标 |
|
周期粒度 |
数据统计周期的粒度。可选项有天、周和月。 |
|
周期时间 |
数据统计周期的时长。根据周期粒度的选择,向前显示最近几天/几周/几个月的统计数据。周期时长不能大于 40。 |
|
数据源 |
仪表盘中统计数据的来源方式。可选项有指定资产 IP 范围、从资产树中选择以及从任务列表中选择。 |
|
IP范围 |
当数据源选择指定资产 IP 范围时,指定数据源的来源 IP 范围。
说明:IP 范围必须属于该管理员允许扫描的 IP 范围,且其格式应该满足IPv4或IPV6地址要求,若同时输入多个IP范围,则不同IP之间需要使用’,’,’;’,回车或者空格隔开,当单个IP前面加’!’表示排除此IP。 |
|
选择资产 |
当数据源选择从资产树中选择时,指定数据源的来源资产。
说明:资产 IP 必须属于该管理员允许扫描的 IP 范围。 |
|
选择任务 |
当数据源选择从任务列表中选择时,指定数据源的来源扫描任务。
说明:扫描任务中的目标主机地址必须属于该管理员允许扫描的 IP 范围。 |
(4) 单击【确定】按钮,保存配置,结束。
仪表盘的实时数据图分为如下几类:资产风险值,资产风险值趋势,主机风险等级分布,资产风险分布趋势。
(1) 资产风险值
资产风险值中,管理员可以查看当前权限范围内所有主机的风险值的安全信息和风险值
分数,如图 2-3 所示。资产风险值分为以下三类:
¡ 配置风险值:当前所有主机进行配置扫描后的加权配置风险值。
¡ 整体风险值:当前所有主机配置扫描后的整体风险值,包括配置风险值和漏洞风险值(包括系统漏洞、Web 应用漏洞)。
¡ 漏洞风险值:当前所有主机进行漏洞扫描(包括系统漏洞、Web 应用漏洞)后的加权漏洞风险值。
图2-3 资产风险值
以整体风险值为例,单击图 2-3 中彩色部分,可以查看所有主机的风险值的详情,包括主机名、IP 地址及风险值信息,如图 2-4 所示。
图2-4 资产风险值详情-整体风险值
(2) 资产风险值趋势
资产风险值趋势中,管理员可以查看权限范围内主机的风险值趋势,主要内容包括:
¡ 配置风险值趋势:当前所有主机进行配置扫描后的配置风险值趋势图。
¡ 整体风险值趋势:当前所有主机配置扫描后的整体风险值趋势图,包括配置风险和漏洞风险(包括系统漏洞、Web 应用漏洞)。
¡ 漏洞风险值趋势:当前所有主机进行漏洞扫描(包括系统漏洞、Web 应用漏洞)后的漏洞风险值趋势图。
图2-5 资产风险值趋势
以漏洞风险值为例,鼠标移动到风险值趋势的节点时,将显示节点的风险值及评估日期。单击该节点,可以查看得出该风险值的所有数据源主机的风险值详情,包括主机名、IP地址及漏洞风险值信息,如图 2-6 所示。
图2-6 资产风险值数据源主机漏洞风险详情
(3) 主机风险等级分布
主机风险等级分布中,管理员可以查看权限范围内主机的风险等级分布情况,主要内容
包括:
¡ 配置风险值等级分布:当前所有主机进行配置扫描后的配置风险等级分布图。
¡ 整体风险值等级分布:当前所有主机配置扫描后的整体风险等级分布图,包括配置风险和漏洞风险(包括系统漏洞、Web 应用漏洞)。
¡ 漏洞风险值等级分布:当前所有主机进行漏洞扫描(包括系统漏洞、Web 应用漏洞)后的漏洞风险等级分布图。
图2-7 主机风险等级分布
以整体风险值为例,鼠标移动到整体风险等级分布图内时,将显示整体风险的统计百分比、统计样本及安全性。单击该图,可以查看所有统计主机的风险值的详情,包括主机名、IP 地址及风险值信息,如图 2-4 所示。
(4) 资产风险分布趋势
资产风险分布趋势中,管理员可以查看权限范围内主机的漏洞分布情况,主要内容包括:
¡ 高、中、低危漏洞(包括系统漏洞、Web 应用漏洞)分布趋势。
¡ 高、中、低不合规检查项分布趋势。
图2-8 资产风险分布趋势
鼠标滑过检查项分布柱状图(左),将显示此风险的风险个数及风险程度(高中低),单击该节点,将显示得出该风险值的所有数据源主机的风险值详情。
鼠标滑过漏洞分布柱状图(右),将显示目标主机上漏洞(包括系统漏洞、Web 应用漏洞)的分布个数,单击各个级别的漏洞色块,将显示该级别漏洞在所有数据源主机上的分布详情。
以漏洞分布为例,分布详情如图 2-9 所示。
图2-9 主机漏洞分布详情
告警管理为扫描提供闭环操作,对获取的资产风险进行告警,具体包括漏洞风险、配置
不合规检查项、非法的进程以及系统脆弱帐号。
用户在配置告警方式、告警条件和告警对象后,系统在扫描过程中,对符合条件的风险
提出告警。配置告警内容的具体操作如下:
(1) 选择菜单 告警平台 > 告警管理,进入告警管理页面,如图 3-1 所示。
图3-1 告警管理
(2) 单击页面右上角的【配置】按钮,弹出配置告警参数对话框,如图 3-2 所示。
图3-2 配置告警参数
(3) 配置参数,告警参数的详细信息如表3-1所示。
表3-1 告警参数
|
功能 |
参数 |
描述 |
|
告警方式 |
告警方式 |
·页面告警:触发告警条件后,在页面中弹出告警信息。 ·邮件告警:触发告警条件后,将告警信息发送至指定邮箱。 默认不发送邮件告警;若选择发送,且资产已登记,则发送 至资产设备的管理员邮箱;若选择发送,但资产未登记,则 发送至网络节点的管理员邮箱。 |
|
告警条件 |
系统漏洞告警条件 |
对何种等级的系统漏洞风险进行告警。 |
|
Web 漏洞告警条件 |
对何种等级的 Web 应用漏洞风险进行告警。 |
|
|
配置告警条件 |
对何种类型的配置风险进行告警。 |
|
|
状态告警条件 |
对何种类型的状态风险进行告警。 |
|
|
弱口令告警条件 |
·是:对脆弱帐号风险进行告警。 ·否:对脆弱帐号风险不告警。 |
|
|
告警对象 (数据源) |
指定资产 IP 范围 |
手动输入告警对象的 IP 范围。多个 IP 范围或独立 IP 之间使用“,”、“;”、回车、空格分隔。如果 IP 地址前加“!”,表示不告警该IP 或 IP 段。 |
|
从资产树中选择 |
从资产树中选择资产。 |
(4) 单击【确定】按钮,完成配置,结束。
在接收到告警后,用户可以查询告警的详细信息,跟踪并参与告警风险的处理,对处理
后的风险进行验证:
查询告警信息的具体操作如下:
(1) 选择菜单 告警平台 > 告警管理,进入告警管理页面,如图 3-1 所示。
(2) 查询指定的告警风险
a. 单击图标
,展开查询条件。
b. 配置参数,查询参数的详细信息如表3-2所示
表3-2 查询参数
|
参数 |
描述 |
|
风险名称 |
触发告警的风险名称。 |
|
风险类型 |
触发告警的风险类型。 |
|
风险级别 |
触发告警的风险安全级别。 |
|
风险状态 |
触发告警的风险的当前状态。 |
|
IP地址 |
告警资产的IP地址。 |
|
责任人 |
告警资产的责任人。 |
c. 单击【查询】按钮,查看符合条件的告警,结束
告警的风险状态的含义如下:
· 新建:表示该告警对应的风险尚未被处理。对于新建的告警信息,有三个可设置的状态,分别是确认、误报、忽略
¡ 确认:表示告警对应的风险确实存在。
¡ 误报:表示该告警已经被资产管理员确认为误报。
¡ 忽略:代表不对该告警做任何处理直接忽略,被忽略的告警会从告警列表中删除,若没有修改告警配置条件,下次扫描发现后仍会新建一条告警。
· 已修复:确认是风险后的状态,表明资产管理员已经修复该风险,设置为已修复状态的告警可下发整改任务,验证修复是否生效。
· 已修正:被确认为误报的告警,后续可将设置为已修正。
对于告警中已修复的风险,下发整改任务的具体操作如下:
(1) 选择菜单 告警平台 > 告警管理,进入告警管理页面,如图 3-1 所示。
(2) 修改告警状态
· 将告警的风险状态由新建修改为已修复。
a. 将告警的风险状态由新建修改为确认。
- 单击风险状态为新建的操作栏图标
,修改单个告警的风险状态为确认。
- 勾选多个风险状态为新建的告警,单击【批量修改状态】按钮,批量修改告警
的风险状态为确认。
b. 将告警的风险状态由确认修改为已修复。
- 单击风险状态为新建的操作栏图标
,修改单个告警的风险状态为已修复。
- 勾选多个风险状态为确认的告警,单击【批量修改状态】按钮,批量修改告警
的风险状态为已修复。
· 将告警的风险状态由新建修改为已修正。
a. 将告警的风险状态由新建修改为误报。
- 单击风险状态为新建的操作栏图标
,修改单个告警的风险状态为误报。
- 勾选多个风险状态为新建的告警,单击【批量修改状态】按钮,批量修改告警
的风险状态为误报。
b. 将告警的风险状态由误报修改为已修正。
- 单击风险状态为误报的操作栏图标
,修改单个告警的风险状态为已修正。
- 勾选多个风险状态为误报的告警,单击【批量修改状态】按钮,批量修改告警
的风险状态为已修正。
(3) 单击风险状态为已修复或已修正的操作栏图标
,下发整改任务,检测风险是否仍旧存在,结束。
管理员通过资产管理功能可以对目标网络中的所有信息资产设备进行资产风险管理。根
据目标网络的组织结构和网络拓扑,以规范的命名方式映射至 漏洞扫描系统 的资产树中对网
络资产进行统一管理。
系统管理员 admin 可以对所有资产进行操作,具有资产查看权限的系统管理员或普通管
理员只能查看自己权限内的资产,具有资产管理权限的系统管理员或普通管理员只能对
自己权限内的资产进行操作。
资产树由网络节点
、已登记设备
和未登记设备
组成。资产中的设备来源于历史扫描任务和用户添加,用户添加的设备为已登记设备(可以编辑管理信息),未登记的设备可以通过登记设备
进行登记。
网络节点由资产设备组成,管理资产时,用户可以根据需要按照操作系统或公司的组织结构划分不同的网络节点。通过浏览网络节点,管理员可以了解全部信息资产的数量以及信息资产的安全情况。
可以通过导入和手动添加两种方式添加资产,这里以在组织结构视图下的配置为例,介绍如何添加资产。
导入资产树将覆盖原有资产树并清空所有资产数据。导入资产树的具体操作如下:
(1) 选择菜单资产管理,默认进入资产树根节点的网络拓扑图页签,如图 4-1 所示。
图4-1 资产管理
(2) 单击【操作 > 导入资产树】按钮,弹出确认导入对话框。
(3) 单击【确定】按钮,弹出导入资产树对话框,如图4-2所示。
图4-2 资产管理
(4) 单击【浏览】按钮,选择资产树文件,单击【导入】按钮,完成导入资产树的操作,此时清空原有资产数据、然后导入新的资产树信息,结束。
可以通过添加网络节点和具体的资产设备来添加资产的组织信息及其设备信息
手动添加网络节点的具体操作如下:
(1) 选择菜单资产管理,默认进入资产树根节点的网络拓扑图页签,如图 4-1 所示。
(2) 添加网络节点,执行此操作后,将在根节点下创建网络节点。
a. 单击【操作 > 添加节点】按钮,弹出添加节点对话框,如图4-3所示。
图4-3 添加网络节点
b. 配置网络节点参数,参数说明如表4-1所示
表4-1 网络节点参数
|
参数 |
描述 |
|
节点名称 |
网络节点的名称,最多可输入 20 个字符。 |
|
网络类型 |
·单一网络:工业现场的设备集中在一个局域网内。 ·冗余网络:工业现场的设备部署在逻辑或者物理冗余的双局域网内。 |
|
IP范围 |
网络节点的 IP 地址范围,支持 Ipv4 地址和 Ipv6 地址;多个 IP 范围或独立 IP 之间使用“,”、“;”、回车、空格分隔。如果 IP 地址前加“!”,表示排除该IP 或 IP 段。 |
|
生成网络拓扑图时,显示的背景样式。用于区别不同行业的网络拓扑图。 |
|
|
节点管理员 |
该网络节点的管理员,最多可输入 30 个字符。 |
|
邮箱 |
该网络节点管理员的邮箱,若填写多个邮箱请用逗号分隔,最多可填写 5 个电子邮箱地址。 |
|
备注 |
该网络节点的备注信息 |
c. 单击【确定】按钮。
(3) 添加自网络节点,将在指定的网络节点下创建下一级的网络节点。
a. 将鼠标移动至网络节点上,弹出可执行的操作图标。
b. 单击
图标,弹出添加子节点对话框。
c. 配置自网络节点参数,参数说明如表4-1所示。
d. 单击【确定】按钮,结束。
添加资产设备的具体操作如下:
(1) 选择菜单资产管理,默认进入资产树根节点的网络拓扑图页签,如图 4-1 所示。
(2) 打开添加设备对话框,如图4-4所示。在资产树中,有两种添加资产设备的方法:
¡ 单击【操作 > 添加节点】按钮。
¡ 将鼠标移动至网络节点上,单击
图标。
图4-4 添加设备
(3) 配置资产设备参数,参数说明如表4-2所示。
表4-2 资产设备参数
|
参数 |
描述 |
|
设备名称 |
资产设备的名称,最多可输入 20 个字符。 |
|
IP地址 |
资产设备的IP地址,支持IPv4地址和IPv6地址,多个 IP 范围或独立 IP 之间使用“,”、“;”、回车、空格分隔。如果 IP 地址前加“!”,表示排除该IP 或 IP 段。 |
|
设备添加到 |
管理节点可以理解为上级网络节点,根节点可以理解为最顶层的网络节点。举例说明选择管理节点和根节点的区别:添加设备的 IP 地址是 1.1.1.1,系统中一个网络节点的 IP 范围是 1.1.1.*,另一个网络节点的 IP 范围是*.*.*.*。此处若选择管理节点,则设备添加到网络节点 1.1.1.*下;若选择根节点,则设备添加 到网络节点*.*.*.*下。 |
|
设备类型 |
·上位机:一般指可以直接发出操控命令的计算机;上位机可以管理和监控下位机。 ·下位机:直接控制设备、获取设备状况的计算机;一般是 PLC/单片机。 |
|
操作系统 |
该资产的操作系统类型。 |
|
权重 |
主机和网络风险等级计算时所采用的变量,权重越高资产越重要,计算出来的风险等级越高。 |
|
设备管理员 |
该资产设备的管理员,最多可输入 30 个字符。 |
|
邮箱 |
该网络设备管理员的邮箱,若填写多个邮箱请用逗号分隔,最多可填写 5 个电子邮箱地址。 |
|
备注 |
该网络设备的备注信息 |
|
配置认证信息 |
具体请参见9 认证管理 |
(4) 单击【确定】按钮,结束。
查询询资产信息的具体操作如下:
(1) 选择菜单资产管理,默认进入资产树根节点的网络拓扑图页签,如图 4-1 所示。
(2) 查询指定的网络节点或资产设备。
a. 单击
图标,打开查询条件页面。
b. 配置查询条件参数,参数说明如表4-3所示。
表4-3 资产管理 - 查询条件参数
|
参数 |
描述 |
|
节点名称 |
网络节点的名称。 |
|
设备名称 |
资产设备的名称。 |
|
设备IP范围 |
资产设备的IP地址范围。 |
|
设备操作系统 |
资产设备的操作系统类型。 |
|
操作系统 |
该资产的操作系统类型。 |
|
设备风险等级 |
主机和网络风险等级计算时所采用的变量,权重越高资产越重要,计算出来的风险等级越高。 |
|
设备管理员 |
资产设备的管理员。 |
|
配置模板类型 |
执行配置扫描任务时,使用的配置模板。 |
|
是否关联认证信息 |
主机设备是否关联了主机认证信息。 |
|
漏洞名称 |
漏洞的名称。 |
|
端口号 |
资产设备的端口。 |
|
Banner |
远程主机的服务版本信息。 |
|
是否关联配置模板 |
主机设备是否关联了配置模板。 |
|
设备域名 |
站点设备的域名。 |
c. 单击【查询】按钮,查看符合条件的资产信息。单击【重置】按钮,可以清空查询条件,重新查询资产信息。
(1) 查看网络节点信息
a. 在资产树中,单击某个网络节点,在右侧区域中显示该网络节点的网络拓扑图和风险信息, 如图4-1所示。
b. 查看网络节点的内容详情,具体请参见4.4网络拓扑。
(2) 查看资产设备详情。
a. 在资产树中,单击某台资产设备。进入该资产设备的设备风险信息页签,如图4-5所示。
图4-5 资产设备详情
b. 查看资产设备的内容详情。
(3) (可选)单击【查询结果下达任务】按钮。对查询目标下发评估任务。如果不需要对查询目标下发扫描任务,请忽略此操作。结束。
用户还可以对资产设备进行修改、删除和下达任务等操作,对资产树进行导出和清空等操作。
移动鼠标至网络节点或设备,在弹出可执行的操作图标处执行相关操作,如表4-4 所示
表4-4 资产设备操作
|
图标 |
含义 |
|
|
修改网络节点或资产设备的信息 。 |
|
|
删除网络节点或资产设备。 |
|
|
下达评估任务,扫描目标是当前网络节点或当前资产设备,新建评估任务的具体步骤请参见 6.1 新建任务。 |
|
|
登记当前资产设备。 |
|
|
取消登记当前资产设备。 |
· 刷新资产树:将当前扫描任务的结果数据刷新至资产管理中。
¡ 导出资产树:单击【操作】按钮,在弹出的下拉菜单中选择导出资产树后,选择资产树文件保存路径,将资产设备信息保存至本地。
¡ 清空资产树:单击【操作】按钮,在弹出的下拉菜单中选择清空资产树,单击【确定】按钮,在弹出的对话框中勾选需要删除的资产树信息。
- 清空管理节点和主机资产的基本信息
- 清空与资产关联的登录认证信息
- 清空与资产关联的配置检查信息
漏洞扫描系统支持对当前网络节点下的所有资产设备生成网络拓扑图。
通过扫描策略,可以决定 漏洞扫描系统 通过哪些协议来发现存活的资产设备,网络拓扑图中呈现哪些资产设备的信息。
配置扫描策略的具体操作如下:
(1) 选择菜单资产管理,默认进入资产树根节点的网络拓扑图页签,如图 4-1 所示。
(2) (可选)在资产树中,选择某个网络节点。默认进入该网络节点的网络拓扑图页签。如果仅需要在根节点生成网络拓扑图,请忽略此操作。
(3) 单击【扫描配置】按钮。弹出配置按钮扫描信息对话框,如图4-6所示
图4-6 配置扫描信息
(4) 配置扫描配置参数,参数说明如表4-5所示。
表4-5 扫描配置参数
|
参数 |
描述 |
|
协议配置 |
用于判断资产设备是否存活的协议。 |
|
策略配置 |
首次扫描时,不会显示该参数。 ·勾选:漏洞扫描系统会保留历史资产设备信息,在刷新网络拓扑图之后,会显示资产设备的变化。 ·不勾选:漏洞扫描系统不会保留历史资产设备信息,在刷新网络拓扑图之后,仅显示本次扫描到的资产设备信息。 |
(5) 单击【确定】按钮,完成配置扫描策略的操作,结束。
选择菜单资产管理,在资产树中选择某个网络节点,默认进入该网络节点的网络拓扑图页签,在该页签下可以生成该网络节点的网络拓扑图。
适用于首次生成网络拓扑图时使用。在 4.4.1 配置扫描策略后,单击【一键扫描】按钮即可。
适用于非首次生成网络拓扑图时使用。在4.4.2.1 首次生成网络拓扑图后,若想查看当前网络节点的最新网络拓扑图,可以单击【网络刷新】按钮。
选择菜单资产管理,在资产树中选择某个网络节点,默认进入该网络节点的网络拓扑 图页签,在该页签下可以查看该网络节点的网络拓扑图,如图4-7 所示。
图4-7 网络拓扑图
l 将鼠标移动至图标
(上位机)/
(下位机)/
(交换机)上,将显示该资产的详细信息。漏洞扫描系统将根据资产设备的具体情况进行信息的展示,具体以页面展示为准。
l 右键单击网络拓扑图中的资产设备,弹出快捷菜单,选择某个菜单后,可以对该资产设备执行相应的操作,具体的支持情况如表4-6所示。
表4-6 快捷菜单
|
快捷菜单 |
描述 |
|
修改设备名称 |
修改网络拓扑图和资产树中的该资产设备的名称。最多可输入20个字符。 |
|
下达任务 |
跳转至新建任务页面,可以对该资产设备下发扫描任务。 |
|
删除该设备 |
删除网络拓扑图和资产树中的该资产设备。 |
选择菜单资产管理,在资产树中选择某个网络节点,默认进入该网络节点的网络拓扑图页签;在该页签的“资产状态类型分布”区域中,可以查看该网络节点的资产设备的分类统计信息。
漏洞收藏中记录了所有在Fuzzing 漏洞信息中收藏的高危的拒绝服务漏洞,用户可以对这些已关注的漏洞进行统一的管理。
漏洞扫描系统可以将Fuzzing任务中发现漏洞的数据包在指定的扫描目标上进行回访,方便用户查看该风险信息。漏洞回放的具体操作如下:
(1) 选择菜单漏洞收藏,默认进入Fuzzing漏洞页签,如图5-1所示。
图5-1 Fuzzing漏洞
(2) 单击回放图标
,弹出如图5-2所示对话框。
图5-2 Fuzzing漏洞回放
(3) 配置回放参数,参数说明如表5-1所示。
Fuzzing漏洞回放参数
|
描述 |
|
|
会话范围 |
指定回放数据包中会话的范围。 |
|
输入IP |
对哪些扫描目标进行漏洞回放。 目前仅支持配置单个 IP。 |
(4) 单击【确定】按钮,该漏洞回放任务将记录至任务列表中,任务名称的格式为“【漏洞回放】+扫描目标的IP地址”。结束。
可以对已经收藏的漏洞执行如下操作:
l 查看漏洞详情:单击
,在展开的页面中查看漏洞的详情。
l 删除漏洞:单击删除图标
,取消对该漏洞的收藏。
漏洞扫描系统通过任务扫描到的数据来判断资产是否存在风险。
除口令猜测任务外,扫描任务包括系统默认任务和自定义任务两类。新建任务时,只配置扫描目标、其他配置项均保持默认值,则该任务为系统默认任务。
漏洞扫描系统通过 Fuzzing 任务(向资产设备发送一系列随机数据或特定格式数据以期触发协议的错误条件或引起资产设备故障)来发现资产设备中存在的风险。
可以对使用 ModbusTCP、S7、IEC-104、IEC 61850 MMS、ProfinetIo、DNP3 协议的资产设备下发 Fuzzing 任务。
新建 Fuzzing 任务的具体操作如下:
(1) 选择菜单新建任务,默认进入Fuzzing任务的基本选项页签,如图6-1所示。
图6-1 Fuzzing任务 - 基本选项
(2) 配置基本选项参数,参数说明如表6-1所示
表6-1 Fuzzing任务 - 基本选项参数
|
配置项 |
描述 |
|
协议选择 |
扫描目标使用的协议。 “策略配置”页签中“选择用例”参数将根据此处的配置,在页面中显示相应的配置项。 |
|
扫描目标 |
Fuzzing 任务中被扫描的资产设备的地址,只支持配置一个 IPv4 地址、MAC 地址。 |
|
任务名称 |
扫描目标确定后,系统会自动定义任务名称,用户也可以自行定义任务名称。取值范围为 1~256 个字符。 |
|
任务说明 |
该扫描任务的备注信息,取值范围为 1~256 个字符。 |
(3) 配置策略配置参数
a. 选择页签策略配置,进入策略配置页面。
b. 配置策略参数,参数说明如表6-2所示。
表6-2 Fuzzing任务 - 策略参数
(1) 配置任务报表参数
a. 选择页签任务报表,进入任务报表配置页面,如图6-2所示
图6-2 Fuzzing任务 - 任务报表
b. 配置任务报表参数,参数说明如表6-3所示
表6-3 Fuzzing任务 - 任务报表参数
|
配置项 |
描述 |
|
报表类型 |
生成的报表的类型,支持 HTML 格式 |
|
报表内容 |
仅支持综述报表模板。 从整体上对任务进行综合分析、风险描述和分类展示,并根据不同视角出具风险统计图表、漏洞信息和参考标准等。 |
|
综述报表模板 |
如果没有合适的报表模板,可以单击“报表模板管理”链接,进入报表模板页面后,添加报表模板。 |
|
自动生成报表 |
启用后,任务结束时,生成指定类型的离线报表,并根据配置发送报表。 无论是否启用“自动生成报表”,任务结束时,都自动生成 HTML 格式的在线报表。 |
|
FTP 上传 |
只有启用“自动生成报表”参数后,才可以配置该参数。 启用:扫描任务完成后,自动将离线报表上传到指定的报表 FTP 服务器。 此时需要配置报表 FTP 服务器。 |
|
发送报表 |
只有启用“自动生成报表”参数后,才可以配置该参数。 启用:扫描任务完成后,自动向指定的电子邮箱发送离线报表,此时需要配置邮件服务器。 报表类型:报表文件的格式。 邮箱地址:接收报表的电子邮箱地址,支持配置 5 个以内的电子邮箱 地址,多个电子邮箱地址之间使用“,”、“;”、回车、空格分隔。 |
(2) 单击【确定】按钮。
· 默认进入任务进度页面,如图6-3所示
¡ 可以查看任务的执行进度和已发现的风险信息。
¡ 单击风险信息对应的文字链接【详情】,可以查看该不合规风险信息的详细信息。
图6-3 Fuzzing任务进度
· 选择页签监控信息,进入监控信息页面,如图6-4所示。可以查看远程监控扫描目标过程中的监控状态和异常信息。
图6-4 监控信息
(3) 结束
漏洞扫描系统通过远程扫描任务对在线的目标主机进行漏洞(系统漏洞和 Web 应用漏洞)、配置和脆弱帐号检查,然后在线展示检查结果。
评估任务可以对扫描目标进行漏洞扫描和主机的配置扫描,能够发现扫描目标中存在的漏洞(系统漏洞)以及主机配置不合规信息。
同时评估任务可以将网络安全评估结果发送至指定邮箱或 FTP 服务器中,提醒管理员进行修复。并支持直接输出任务报表,方便管理员下载后分析资产风险。
手动新建评估任务的具体操作如下:
(1) 选择菜单新建任务,默认进入Fuzzing任务的基本选项页签,如图6-1所示。
(2) 选择菜单评估任务,默认进入评估任务的基本选项页签,如图6-5所示。
图6-5 评估任务
(3) 配置评估任务的基本选项。
a. 配置基本参数,参数说明如表6-4所示。
表6-4 基本参数
|
参数 |
描述 |
|
扫描目标 |
支持通过如下方式配置扫描目标设备,最多可输入 10000 行扫描目标信息。 IP 地址:多个 IP 范围或独立 IP 之间使用“,”、“;”、回车、空格分隔。如果 IP 地址前加“!”,表示不扫描该 IP 或 IP 段。具体请参见界面的 域名:域名格式如 www.example.com,多个域名之间使用“,”、“;”、回车、空格分隔。扫描的域名都指向同一个 IP 地址,还需选中“虚拟主机”。具体请参见界面的 资产树导入:单击【从资产树导入】,在弹出的对话框中选择扫描目标。 文件导入:单击【浏览】按钮,选择导入文件,单击【导入】按钮,完成从文件导入扫描目标信息。支持导入 txt 文本和 excel 文件中的 IP 地址,DAT格式,txt 文本内容的格式同 IP 地址,excel文件内容的格式请参见导入资产。 |
|
任务名称 |
扫描目标确定后,系统会自动定义任务名称,用户也可以自行定义任务名称。取值范围为 1~256 个字符。 |
|
执行方式 |
立即执行:即时评估任务。需要立即进行网络安全评估时,可以下达即时评估任务。 定时执行:定时评估任务。需要避开业务高峰期对网络进行安全评估时,可以下达定时评估任务。 每天一次、每周一次、每月一次(按日期)或每月一次(按星期):周期评估任务。需要定期(每天、每周或每月)对网络系统做安全评估时,可以下达周期评估任务。 高级配置:配置【周期时间】,单击图标 |
|
扫描时间段 |
无论任务是何种执行方式,漏洞扫描系统只能在该时间段内执行扫描任务。 |
|
调度优先级 |
漏洞扫描系统根据调度优先级数值和后台算法判断执行任务的顺序。 |
|
任务说明 |
在 漏洞扫描系统不能直接登录目标主机时,可以使用跳转主机进行扫描,需要预先配置跳转主机的认证信息。 需要保证跳转主机能够连接到目标主机。 只有在通过 SSH、Telnet 方式登录目标主机时,才能配置主机跳转功能。 |
|
登录验证 |
该扫描任务的备注信息 |
b. 配置“漏洞模板”,若选择“无模板”,则不做漏洞扫描。
c. 配置“登录检查”参数,用于对目标主机进行预登录或配置检查,只有扫描目标选择IP时,才可对”登录检查”进行操作。
主机的IP地址须在扫描目标范围内。配置扫描目标后,漏洞扫描系统登录检查模块会自动读
取认证管理中的主机认证信息。可以通过手动配置和导入的方式配置登录检查参数。
− 手动配置:单击【添加】按钮,在弹出的对话框中配置主机认证信息,如图 6-6 和表 6-5 所
示。完成参数配置后,单击【确定】按钮。
图6-6 主机认证信息
表6-5 主机认证信息参数
|
项目 |
配置项 |
描述 |
|
基本信息 |
IP |
扫描目标的 IP 地址或地址段信息,IP格式为192.168.1.1或192.168.1.*或192.168.1.1-10,多个IP可使用逗号、分号、回车、空格相隔,IP必须在扫描目标范围内。 |
|
用户名/密码 |
预登录扫描目标的用户名和密码。漏洞扫描系统使用系统内加密存储,保证信息安全。 |
|
|
登录协议/登录端口 |
登录扫描目标使用的登录协议和端口信息,漏洞扫描系统支持SMB、SSH、Telnet、RDP。 |
|
|
主机跳转 |
在 漏洞扫描系统不能直接登录目标主机时,可以使用跳转主机进行扫描,需要预先配置跳转主机的认证信息。 需要保证跳转主机能够连接到目标主机。 只有在通过 SSH、Telnet 方式登录目标主机时,才能配置主机跳转功能。 |
|
|
登录验证 |
单击【登录验证】按钮,可以验证登录信息是否正确,保证漏洞扫描系统可以登录至目标主机进行本地扫描。 |
|
|
漏扫策略 |
ORACLE |
启用后,可以进行 Oracle 漏洞深度扫描,同时需要在高级选项中启用“启用 oracle 漏洞深度扫描”参数。 |
|
配置模板 |
主机 |
主机指安装了操作系统的计算机。 操作系统模板:需要匹配操作系统类型。 虚拟化设备模板:需要匹配虚拟化设备类型。 应用程序模板:需要匹配已经安装的应用程序类型。单击 数据库模板:需要匹配已经安装的数据库类型。单击 不使用模板:仅进行漏洞扫描,不做配置扫描。 单击图标 |
|
网络设备 |
网络设备指除主机外连接到网络中的物理实体,如交换机、路由器等。 网络设备模板:需要匹配网络设备的类型。 单击图标 |
|
|
状态模板 |
状态模板 |
不视为不合规项的白名单信息。单击 |
|
认证 |
同步到认证管理 |
启用后,会覆盖认证管理中相同IP地址的主机认证信息。 |
− 导入:单击【模板下载】,保存认证信息模板至本地,添加扫描目标认证信息。 单击【浏览
按钮,选择完成编辑的 Excel 模板。单击【导入】按钮,导入主机认证信息.
漏洞扫描系统不会导入不在扫描目标范围内的主机认证信息。
d. 启用口令猜测。开启口令猜测后,若未对主机进行登录扫描。漏洞扫描系统将根据密码字典 的内容对扫描目标进行口令破解。
勾选启用口令猜测,单击【详细配置】,在弹出的对话框内配置口令猜测参数,如表6-6 所示。
漏洞扫描系统通过脆弱帐号成功登录目标主机后,会执行本地漏洞扫描。
表6-6 口令猜测参数
|
参数 |
描述 |
|
服务类型 |
选择需要口令猜测的协议,标准模式是用户名和密码使用同一个字典,组合模式是用户名字典和密码字典组合使用。
单击【密码字典管理】,可以对默认密码字典进行编辑。 口令猜测顺序以密码字典里的用户名或密码顺序为准,先猜用户自定义密码字典,然后猜系统默认密码字典。 启用口令猜测有可能导致某些主机账户因扫描中多次登录失败而被锁定,请谨慎启用。 |
|
口令猜测时间 |
一个口令猜测插件的最长运行时间,达到设定的时间则该插件终止运行。 |
|
口令猜测频率 |
对相同目标的相同协议的相邻口令猜测的时间间隔。 |
|
猜测次数 |
对单个资产设备进行口令猜测的次数,0 表示不限制猜测次数。 |
|
最大并发线程数 |
对单个服务进行口令猜测时的并发线程个数。值越大,探测速度越快。 |
(4) 配置任务报表。
若用户希望在任务完成后生成离线报表,可进入报表列表查看输出离线报表的进度,待报表输出
完成后,下载离线报表到本地。
a. 选择【任务报表】页签,进入任务报表配置页面,如图6-7所示。
图6-7 任务报表
b. 配置参数,任务报表参数的详细信息如表6-7所示。
表6-7 任务报表参数
|
参数 |
描述 |
|
报表类型 |
生成报表的类型,支持 HTML、Word、Excel、PDF 格式。 |
|
报表内容 |
综述报表:从整体上对评估任务进行综合分析、风险描述和分类展示,并根据不同视角出具漏洞统计图表、操作系统分布、帐号信息和评估标准等。 主机报表:针对单个主机进行风险分析和详细描述。包括单个主机的扫描数据的统计信息、各种 Profile 信息、漏洞列表与解决方案等。若需要分析扫描任务中出现的问题,请生成主机报表。 |
|
综述/主机报表模板 |
如果没有合适的报表模板,可以单击“报表模板管理”链接,进入报表模板页面后,添加报表模板。 |
|
自动生成报表 |
启用后,任务结束时,生成指定类型的离线报表,并根据配置发送报表。 无论是否启用“自动生成报表”,任务结束时,都自动生成 HTML 格式的在线报表。 |
|
FTP上传 |
只有启用“自动生成报表”参数后,才可以配置该参数。 启用:扫描任务完成后,自动将离线报表上传到指定的报表 FTP 服务器。此时需要配置报表 FTP 服务器。 |
|
发送报表 |
只有启用“自动生成报表”参数后,才可以配置该参数。 启用:扫描任务完成后,自动向指定的电子邮箱发送离线报表,此时需要配置邮件服务器。 报表类型:报表文件的格式。 邮箱地址:接收报表的电子邮箱地址,支持配置 5 个以内的电子邮箱地址,多个电子邮箱地址之间使用“,”、“;”、回车、空格分隔。 |
(5) 配置高级选项。
a. 选择【高级选项】页签,进入高级选项配置页面,如图6-8所示。
图6-8 高级选项
b. 配置参数,高级参数的详细信息如表6-8所示。
表6-8 高级参数
|
功能 |
参数 |
描述 |
|
端口扫描 |
端口扫描测策略 |
标准端口扫描:只扫描端口列表中记录的端口。 快速端口扫描:只扫描 1~1024 端口。 指定端口范围:只扫描指定的端口。 |
|
端口扫描速度 |
扫描速度越慢,获取的端口开放信息也将会越准确,同时花费时间可能就会越长。 |
|
|
TCP端口扫描方式 |
CONNECT:通过直接建立完整的 TCP 连接来判断端口开放情况,此方法快而准确。 SYN:向目标端口发送 SYN 包,依据对方是否回复 ACK 报文来判断端口开放情况。 |
|
|
UDP扫描 |
只有选中此项,在端口列表中定义的 UDP 端口才会被扫描。启用 UDP 扫描将会大大增加扫描时间,因此不建议选择此项。 |
|
|
主机存活测试 |
主机存活测试 |
勾选启用后,还需设置存活测试使用的具体方法和测试端口,可选方法有:ICMP PING、UDP PING 和 TCP PING。 |
|
扫描限制 |
扫描深度 |
设置评估任务的扫描深度,值越大,插件获取的信息可能就越多,扫描时间越长。 建议使用缺省配置。 |
|
插件超时扫描 |
单个插件在指定时间内如果未正常结束,将会被调入引擎终止。 单位为秒,取值范围为 1~300 秒。 |
|
|
Socket超时限制 |
从网络层读数据时,等待的最大超时值。 此选项对扫描速度和准确度有较大影响,局域网建议 5 秒, ADSL 建议 15 秒。 可视网络速度情况设置 Socket 超时限制,若网速慢,则Socket 超时限制需要设置得久一些。 |
|
|
其他 |
危险插件扫描 |
此类插件可能导致系统崩溃或服务中断,通常情况下不建议使用,只有在特定情况下启用(例如:产品评测)。 |
|
扫描前提示被扫描主机 |
勾选后,在扫描前将在主机中弹出提示信息,用户可按照需要修改提示信息的内容。
被扫描主机开启 Messenger 服务才能收到扫描通知消息。 |
|
|
深度扫描重要网络设备 |
启用此功能可能导致某些特定型号的网络设备在扫描中出现故障,请谨慎启用。 |
|
|
扫描调度忽略插件依赖关系 |
通常情况下,不建议选择此项。 漏洞扫描系统内部不同插件有不同分工,例:1 号插件负责判断 目标操作系统类型,2 号插件负责扫描 Windows 系统的某一漏洞,那么如果2 号插件依赖于1 号插件的扫描结果,则在 1 号插件发现目标系统不是Windows时引擎可以直接跳过对2 号插件的调度,从而提高扫描速度和扫描准确度。 |
|
|
启用 oracle 漏洞深度扫描 |
不勾选:漏洞扫描系统只报出 oracle 相关服务识别和原理扫 描漏洞。 勾选:漏洞扫描系统报出所有漏洞,包括本地 oracle 漏洞。 此时需要新建认证信息,启用并配置漏扫策略的 Oracle 相关参数。 |
|
|
调试模式 |
预防出现扫描任务异常时,可以配置该参数。记录扫描任务的执行信息,当任务执行异常,导出异常信息并发送给新华三的技术支持人员进行错误分析。 |
|
|
语言编码 |
目标系统使用的语言编码。 |
目标系统使用的语言编码,可选项有:简体中文(GBK)和Unicode(UTF-8)。 |
(6) 单击【确定】按钮,进去任务的提示信息页面,如图6-9所示。
图6-9 评估任务执行进度
(7) 结束
漏洞扫描系统使用密码字典中的用户名和密码登录目标主机,若登录成功说明目标主机
中存在脆弱帐号。
手动新建口令猜测任务的具体操作如下:
(1) 选择菜单新建任务,默认进入Fuzzing任务的基本选项页签,如图6-1所示。
(2) 选择页签口令猜测任务配置页面,如图6-10所示。
图6-10 口令猜测任务
(3) 配置参数,口令猜测任务参数的详细信息如表6-4、表6-6、表6-8所示。
(4) 启用主机存活测试。向目标主机发送数据报文,根据目标主机的反应以判断其是否存活。只有存活的主机才可以执行口令猜测任务。
(5) 单击【确定】按钮,进入任务的提示信息页面,口令猜测任务的执行进度页面与评估任务类似,请参见图6-9。
漏洞扫描系统 的 Web 应用扫描功能为用户的互联网网站提供远程安全扫描和安全检查,能够根据站点管理者的监管要求,对目标站点进行不间断的页面爬取、分析、匹配,为构建安全的网站提供完善的监测方案。
手动新建 Web 应用扫描任务的具体操作如下:
(1) 选择菜单新建任务,默认进入Fuzzing任务的基本选项页签,如图6-1所示
(2) 选择页签Web应用扫描。默认进入Web应用扫描任务的基本选项页签,如图6-11所示。
图6-11 Web应用扫描任务 - 基本选项
(3) 配置Web应用扫描任务的基本选项。
a. 配置基本参数,基本参数说明如表6-9所示
表6-9 Web应用扫描 - 基本参数
|
配置项 |
描述 |
|
扫描目标 |
支持通过如下方式配置扫描任务的扫描目标,建议每行只输入一个扫描目标,具体请参见界面的 手动输入扫描目标。 txt 文件或 Excel 文件导入:单击【浏览】按钮,选择导入文件,单击【导入】按钮,导入扫描目标。txt 文本文件中每行只能输入一个扫描目标。Excel 文件中只使用第一列,每行只能输入一个扫描目标。内容格式如下: 仅支持 HTTP 和 HTTPS 协议的 URL。 多个 URL 之间使用“,”、“;”、回车、空格分隔。 若进行目录限制扫描,则需要输入完整的限制目录,如 http://www.example.com/test/。 格式示例: http://fe80::1a03:73ff:feaf:8b3c:8080。 https://[fe80::]:8080 https://www.h3c.com https://192.168.1.1 |
|
任务名称 |
扫描目标确定后,系统会自动定义任务名称,用户也可以自定义任务名称。取值范围:1~256 个字符。 |
|
扫描范围
|
爬虫并扫描的范围。 按域名扫描: - 整站扫描:扫描父域名及子域名下的所有 URL。 - 扫描子域名:只扫描父域名及此处配置的子域名下的所有 URL,不扫描其它子域名。 - 不扫描子域名:不扫描此处配置的子域名,只扫描父域名及其它子域名下的所有 URL。 扫描当前目录及子目录:扫描“扫描目标”及所有子目录中的 URL。 只扫描任务目标链接:只扫描“扫描目标”中的 URL。 |
|
执行方式
|
立即执行:即时任务。需要立即进行 Web 应用扫描时,可以下达即时任务。 定时执行:定时任务。需要避开业务高峰期对站点进行扫描时,可以下达定时任务。 每天一次、每周一次、每月一次(按日期)或每月一次(按星期):周期任务。需要定期(每天、每周或每月)对站点进行扫描时,可以下达周期任务。 高级配置:配置【周期时间】,单击图标 |
|
漏洞模板
|
在下拉列表框中选择用于扫描的漏洞模板。可选项有:自动匹配扫描、系统默认模板和当前管理员有权加载的自定义模板。 自动匹配扫描:漏洞扫描系统将根据扫描目标自行调用对应的模板进行扫描。 指定模板:漏洞扫描系统将调用指定的模板进行扫描。 |
|
扫描时间段
|
无论任务是何种执行方式,漏洞扫描系统只能在该时间段内执行扫描任务。 |
|
调度优先级
|
漏洞扫描系统根据调度优先级数值和后台算法判断执行任务的顺序,调度优先级越高的任务被优先执行的概率越大。
|
|
调试模式
|
预防出现扫描任务异常时,可以配置该参数。记录扫描任务的执行信息,当任务执行异常,导出异常信息并发送给新华三的技术支持人员进行错误分析。 |
|
任务说明
|
Web应用扫描任务的详细说明。 |
b. (可选)启用认证配置,若认证后漏洞扫描系统才能执行扫描任务时,执行该步骤。启用后,单击表格中的编辑图标
,在弹出的对话框中配置认证参数后,单击【保存】按钮。参数的相信说明如表6-10所示。
表6-10 Web应用扫描 - 认证参数
|
配置项 |
描述 |
|
扫描目标 |
与表6-9中的扫描目标保持一致 |
|
认证协议 |
扫描目标使用的认证协议,可选项有:自动识别、NTLM 认证、BASIC 认证或Digest-MD5 认证。 |
|
登录扫描 |
启用后,漏洞扫描系统会使用配置的登录信息来登录扫描目标进行扫描。 若选择预设 Cookie,则需要设置用来记录登录会话标识的 Cookie。例:action=login&username=admin&password=admin88 若选择登录预录制,则需要单击【开始录制】按钮,然后按照弹出对话框的内容进行操作,漏洞扫描系统会记录相关的 Cookie 信息。 |
|
自定义链接 |
强制指定必须扫描的 URL,可以是外部链接。多个 URL 之间使用“,”、“;”、回车、空格分隔。 |
|
排除链接
|
执行 Web 应用扫描任务过程中,无需爬取的 URL。 |
|
表单填充 |
执行 Web 应用扫描任务过程中,当页面中存在表单时,是否对表单进行填充,以获取更多的 URL,从而发现更多的漏洞信息。启用后,需要配置填充项信息。单击,添加填充项。 |
c. (可选)配置代理参数。如果系统需通过代理服务器才可以链接待扫描站点,那么必须启用“代理配置”,代理服务器的参数说明如表6-11所示。配置完代理参数后,可以单击【连通测试】、按钮,测试与代理服务器是否连接正常。
表6-11 Web应用扫描 - 代理参数
|
配置项 |
描述 |
|
代理类型 |
代理服务器的类型,可选项:SOCKS 4、SOCKS 5、HTTP。 |
|
认证协议 |
代理服务器使用的认证协议,可选项:NTLM、Basic、Digest-MD5。 |
|
服务器地址/端口 |
代理服务器 IP 地址/端口号,服务器地址可以是 IP 地址或域名。域名格式为example.com、subdomain.example.com等;IP地址支持IPV6类型 |
|
用户名/密码 |
代理服务器的登录用户名和密码。必须同时配置用户名和密码。 用户名不超过20个字符,密码不超过14个字符 |
(4) 配置Web应用扫描任务的任务报表。
a. 选择任务报表页签,进入Web应用扫描任务的任务报表页面,如图6-12所示。
Web应用扫描任务 - 任务报表
b. 配置Web应用扫描任务的任务报表参数,参数的详细说明如表6-12所示
表6-12 Web应用扫描任务 - 任务报表参数
|
配置项 |
描述 |
|
报表类型 |
生成的报表的类型,支持 HTML、Word、Excel 格式。 |
|
报表内容 |
综述报表模板:从整体上对任务进行综合分析、风险描述和分类展示,并根据不同视角出具风险统计图表、漏洞分布和参考标准等。 单站点报表模板:针对单个站点进行风险分析和详细描述。包括单个站点的风险分类统计、Web 风险分布、漏洞详情等。若需要分析扫描任务中出现的问题,请生成单站点报表。 |
|
综述/单站点报表模板 |
如果没有合适的报表模板,可以单击“报表模板管理”链接,进入报表模板页面后,添加报表模板。 |
|
自动生成报表 |
启用后,任务结束时,生成指定类型的离线报表,并根据配置发送报表。 无论是否启用“自动生成报表”,任务结束时,都自动生成 HTML 格式的在线报表。 |
|
FTP 上传 |
只有启用“自动生成报表”参数后,才可以配置该参数。 启用:扫描任务完成后,自动将离线报表上传到指定的报表 FTP 服务器。此时需要配置报表 FTP 服务器。 |
|
发送报表 |
只有启用“自动生成报表”参数后,才可以配置该参数。 启用:扫描任务完成后,自动向指定的电子邮箱发送离线报表,此时需要配置邮件服务器。 报表类型:报表文件的格式。 邮箱地址:接收报表的电子邮箱地址,支持配置 5 个以内的电子邮箱地址,多个电子邮箱地址之间使用“,”、“;”、回车、空格分隔。 |
(5) 配置Web应用扫描任务的配置Web应用扫描任务的高级选项。
a. 选择高级选项页签,进入Web引用扫描任务的高级选项页面,如图6-13所示。
Web应用扫描任务 - 高级选项
b. 配置Web访问策略,Web访问策略的参数说明如表6-13所示。
表6-13 Web应用扫描任务 - Web访问策略参数
|
配置项 |
描述 |
|
并发线程数
|
进行 Web 应用扫描时,Web 扫描插件的并发扫描线程数,数值越大,扫描速度越快。 默认值:100;取值范围:1~100。
配置并发线程数需要考虑网络带宽以及服务器的处理能力,过大的数值会影响目标服务器的正常运行。 |
|
超时限制
|
扫描一个页面的最长时间限制。默认值:30;单位,秒。取值范围:1~300 秒。 |
|
网页编码方式
|
为了能够正常访问扫描目标,需要正确匹配扫描目标中网页的编码方式。 自动检测:自动匹配网页的编码方式。 手动检测:手动指定扫描目标的网页编码方式。可选项为:简体中文(GB18030)、BIG5、Unicode(UTF-8)。 |
|
自定义 User-Agent
|
执行 Web 应用扫描任务时,使用指定的浏览器或搜索引擎访问扫描目标。启用该参数后,才可在文本框中进行编辑。格式支持:Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.4) Gecko/20100611 Firefox/3.6.4 |
c. 配置Web检测策略,Web检测策略的参数说明如表6-14所示。扫描目标中存在一些无法爬虫到的敏感文件时,可以通过Web检测对其进行安全扫描。
表6-14 Web应用扫描任务 - Web检测策略参数
|
配置项 |
描述 |
|
目录猜测范围
|
每个目录下常见敏感目录、敏感文件的猜测范围。 默认值:1;取值范围:0~3,0 表示不猜测。 范围值越大,猜测的范围越广,可能猜测出的目录、文件越多,但是扫描时间会更长。 |
|
目录猜测深度
|
敏感目录、敏感文件的猜测层次深度,该参数值不能大于“目录深度”的参数值。默认值:3;取值范围:0~30。
“目录深度”的说明请参见表 7-15。 |
|
备份文件检查类型
|
需要检查哪些类型的文件中存在备份文件,多个类型之间用“,”分隔。 默认类型可输入如下5类shtml,php,jsp,asp,aspx |
|
备份文件检查扩展名
|
备份文件的扩展名,与“备份文件检查类型”配合使用,多个类型之间用“,”分隔。默认扩展名为如下几种:bak,old |
d. 配置Web爬行策略,Web爬行策略的参数说明如表6-15所示
表6-15 Web应用扫描任务 - Web爬行策略参数
|
配置项 |
描述 |
|
爬行顺序
|
扫描过程中采取的 URL 获取方式,可选项有:广度优先和深度优先。 |
|
单目录文件数
|
当选择链接消重时,每个目录下被扫描的文件个数的最大值。取值范围大于等于-1 的整数,“-1”表示不限制。 |
|
目录深度
|
扫描时,爬虫获取的目录层次深度。 默认值:15;取值范围:-1~30;“-1”表示不限制。 目录层次深度:从根目录开始,在 URL 中第几个“/”就是第几层。 目录层次深度的数值越大,扫描越深入,消耗的时间越长,因此需要适当限制目录层次深度。 |
|
链接总数
|
限制获取到的 URL 的总个数。取值范围大于等于-1 的整数,“-1”表示不限制。 |
|
区分大小写
|
在扫描过程中是否区分 URL 的大小写字母。默认值:区分。 |
|
解析 Flash 文件
|
是否开启 Flash 相关扫描,目前只支持解析 Flash 10 以下的版本。 |
|
执行 JavaScript
|
爬取页面时,是否执行页面中的 JavaScript 脚本代码以获取 URL。 是:表示需要执行 javascript 代码,并且模拟触发各类事件。 否:表示禁止执行 javascript 代码,这样会提高扫描速度,但是会有部分 URL 不被爬取。 |
|
链接消重策略
|
指定 URL 消重策略的等级,可选值 0、1、2、3、4,默认值为 2。 一般来说,一个 URL 地址由一个五元组(page,method,query-name,query-value,post-data)组成,消重策略的等级指定了对 URL 地址五元组中的哪些元素敏感,从而区分不同 URL 地址。 以 URL:http://www.nsfocus.com/test.php?login=admin 为例: page=http://www.nsfocus.com/test.php(page=协议+域名+路径文件) method=GET query-name=login query-value=admin post-data=NULL 那么对于消重等级来说: 0:对 page 敏感 1:对 page,method 敏感 2:对 page,method,query-name 敏感 3:对 page,method,query-name 和 query-value 敏感 4:对 page,method,query-name,query-value 和 post-data 敏感消重等级越高,则 URL 地址的相同因素就要越多,当设定等级为 0 时,只要两个 URL 的 page 相同,就认定这两个 URL 是同一个 URL,无需再考虑后续的参数值。 |
(6) 单击【确定】,进入任务的提示信息页面,如图6-14所示。
Web应用扫描任务执行进度
漏洞扫描系统还可以通过加载已有任务来新建扫描任务。加载已有任务的具体操作为:
(1) 选择菜单新建任务 > Fuzzing 任务/评估任务/口令猜测任务/Web 应用扫描,进入 Fuzzing 任务/评估任务/口令猜测任务/Web 应用扫描任务配置页面,如图6-1/图6-5/图 6-10/图6-11 所示。
(2) 在加载已有任务配置下拉列表框中选择已经下发的任务名称,弹出确认复用对话框。单击【确定】按钮,确认复用已有任务参数。
(3) (可选)编辑需要修改的任务参数。
(4) 单击【确定】按钮,下发扫描任务。
漏洞扫描系统中下载离线检查工具到目标主机,然后在目标主机本地运行该工具进行本地配置扫描,最后将扫描结果导入 漏洞扫描系统。
离线检查工具与用户导入的证书关联,只有被授权的工具才可以下载。
以网络设备的操作为例,介绍如何进行本地配置扫描,其他类型的离线检查工具的使用方法请参见解压后的扩展名为.txt 的文件。本地配置扫描的具体操作如下:
(1) 在 漏洞扫描系统中下载离线检查工具。
a. 选择菜单模板管理 > 离线检查工具 > 网络设备,进入网络设备的离线检查工具下载页面,如图6-15所示。
图6-12 离线检查工具
b. 单击操作栏中下载图标
,下载对应的离线检查工具或 SecureCRT 插件。
(2) 在目标设备上执行本地配置检查任务。
a. 打开本地的 Securecrt 软件,选择菜单脚本 > 执行,如图6-16所示。
打开本地的Securecrt软件
b. 在弹出的选择脚本执行对话框中,选择已经下载的离线检查工具,如图6-17所示。
图6-13 选择脚本执行
c. 单击【执行】按钮,执行离线检查工具。执行完毕后,弹出脚本执行结束的对话框,如图6-18所示。
图6-14 脚本执行结束
执行成功后,会在本地离线检查工具所在的相同级别的目录下生成IP_UUID_chk.xml 格式的配置检查结果文件,如图6-19所示。
配置检查结果文件
(3) 在 漏洞扫描系统中导入配置检查结果文件。
a. 选择菜单任务列表 > 任务列表,进入任务列表页面,如图6-20所示。
b. 单击【浏览】按钮,选择配置检查结果文件。
c. 单击【导入】按钮,将扫描结果导入任务列表,系统自动生成任务,并在任务列表中保存本
地配置检查结果。
系统以分页的形式列出用户可见的所有任务,管理员可对任务进行各种管理操作。
选择菜单任务列表 > 任务列表,进入任务列表页面,如图6-20 和表6-16所示。
图6-15 任务列表
表6-16 任务参数
|
参数 |
描述 |
|
任务号 |
漏洞扫描系统内部给每个任务分配的唯一标识编号。 |
|
任务名称 |
当前任务的名称。 |
|
任务类型
|
通过下拉菜单可以筛选不同的任务。 任务类型:漏洞配置扫描、漏洞扫描、配置扫描、Web 应用扫描、口令猜测、Fuzzing 扫描。 任务状态:立即执行任务、周期任务、定时任务、导入任务。 |
|
开始时间/结束时间
|
当前任务的开始和结束时间。对于尚未结束的任务,只显示其开始时间。 |
|
进度
|
当前任务执行的进度情况。 100%:当前任务已经结束。 百分比:当前任务正在进行中、任务执行中被暂停。单击百分比数字,可以查看当前任务的进度信息。 0%:当前任务尚未开始执行。 |
|
操作 |
可以对当前任务执行的操作。 |
只有拥有任务列表权限的系统管理员能够查询其他用户下达的扫描任务,普通管理员用户只能查看其创建的任务。
通过配置查询条件,用户可以查询指定任务。具体操作如下:
(1) 选择菜单任务列表 > 任务列表,进入任务列表页面,该页面中显示当前用户可见的所有任务。
(2) 单击图标
,打开查询条件页面。
(3) 配置参数,查询参数的详细信息如表6-17所示。
表6-17 任务参数
|
参数 |
描述 |
|
IP /域名 |
扫描目标的 IP 地址或域名。 |
|
任务名称 |
扫描任务的名称。 |
|
任务状态 |
扫描任务的状态。 |
|
漏洞模板 |
扫描任务使用的漏洞检测模板。 |
|
配置模板 |
扫描任务使用的配置检测模板。 |
|
用户帐号 |
创建扫描任务的管理员帐号。 |
|
起止时间 |
扫描任务的开始和结束时间。 |
(4) 单击【查询】按钮,查看符合条件的任务信息。单击【重置】按钮,可以清空查询条件,重新查询任务信息。
管理员可以查看指定任务的详细信息
管理员还可以对任务列表中的任务进行编辑、删除、停止、暂停、继续扫描、重新扫描、断点续扫操作。
按照任务状态可以执行的操作如下:
· 未开始执行的任务,可以对其进行删除、停止操作。
· 正在扫描的任务,可以对其进行删除、暂停、停止操作。
· 暂停扫描的任务,可以对其进行删除、继续扫描、停止操作。
· 扫描完毕的任务,可以对其进行编辑、删除、断点续扫和重新扫描操作。
· 扫描异常的任务,可以对其进行编辑、删除和重新扫描操作。
· 导入的任务,可以对其进行编辑和删除操作。
· 父任务,可以对其进行编辑、删除和重新扫描操作。
(1) 编辑普通任务绿盟工控漏洞扫描系统用户手册
单击普通任务名称,进入任务参数页面,单击【修改任务】按钮,跳转至新建任务页面,各参数默认为原始任务的参数,修改任务参数后,单击【确定】按钮,保存修改。
修改成功后,会自动生成父任务和一个子任务,原始任务也成为父任务的子任务。新生成的父任务和子任务的任务参数为修改后的任务参数。父任务的扫描结果为已完成扫描且任务号最大的子任务扫描结果。同时父任务的在线报表包含子任务的对比分析。
(2) 编辑父任务
单击父任务名称,进入任务参数页面,单击【修改任务】按钮,跳转至新建任务页面,各参数默认为原始任务的参数,修改任务参数后,单击【确定】按钮,保存修改。
修改成功后,会生成子任务。父任务和新生成子任务的任务参数为修改后的任务参数。
注:不支持 Fuzzing 任务。
重新扫描,在保留原来的扫描结果基础上,调用原始任务的参数,再创建新任务执行扫描。重新扫描之后,生成父任务,原始任务和新任务都为父任务的子任务。父任务的报表是最近一次结束的子任务数据的综合统计,起止时间为重新扫描后的时间。可通过查看父任务的对比分析模块比较子任务的扫描结果差异。本操作支持停止、正常完成的普通任务,导入任务和重新扫描生成的父任务。不支持Fuzzing 任务、子任务和周期任务。
· 单个重新扫描
¡ 单击操作栏中的图标
。
¡ 单击任务名称,进入任务参数页面,单击【重新扫描】按钮。
· 批量重新扫描
勾选多个任务,单击【任务操作】按钮,在下拉菜单中选择【重新扫描】。
断点续扫,即对已完成的扫描任务中没有被覆盖的目标重新下发扫描任务,不会对完成扫描的目标下发扫描任务。断点续扫之后,父任务名称不变,原有任务和新任务成为父任务的子任务。父任务的报表是最近一次结束的所有子任务数据的综合统计,父任务的开始时间为原始任务的开始时间,结束时间为最近一次断点续扫任务的结束时间。
不支持断点续扫 Fuzzing 任务、Web 应用扫描任务、周期评估任务、子任务和导入任务。
具体操作为:单击操作栏中的图标
。
为了便于多个任务结果的统一分析,漏洞扫描系统提供了汇总查看的功能,用于将多个任务结果合并到同一个任务中。
不支持 Fuzzing 任务。
为了便于在查看任务信息的同时,按照需要生成报表。漏洞扫描系统在任务列表页面提供了报表输出功能。
具体操作为:勾选需要输出报表的任务,单击【报表输出】按钮,生成报表。 不支持同时勾选多个Fuzzing报表输出,也不支持同时输出两个或两个以上不同类型的报表输出。
· 暂停任务:单击操作栏中的图标
。
· 继续扫描:单击操作栏中的图标
。
· 停止任务:单击操作栏中的图标
。
· 删除任务
¡ 单个删除:单击操作栏中的图标
。
¡ 批量删除:勾选多个任务,单击【任务操作】按钮,在下拉菜单中选择【删除】。
· 导出任务:
¡ 单击任务名称,进入任务参数页面,单击【导出任务】按钮,单击【点击下载】,保存加密后的“.dat”文件至本地。
¡ 单击操作栏中的图标
,保存加密后的“.dat”文件至本地。不支持 Fuzzing 任务。
· 导入任务:单击【浏览】按钮,选择任务文件,单击【导入】按钮,将其加入任务列表,系统自动生成报表。不支持 Fuzzing 任务。
漏洞扫描系统的报表系统基于扫描任务的结果数据。在报表中,显示最近一次扫描的各项统计数据,并以图表及摘要描述等方式清晰呈现出网络安全状况。
系统管理员 admin 和拥有报表管理权限的系统管理员可以查看所有扫描任务的在线报表,拥有报表管理权限的普通管理员只能查看自己创建的任务报表。不同状态下的任务,查看报表的方法也各不相同。
· 等待调度的任务
由于任务尚未开始执行,因此无法查看扫描结果。
· 已结束的任务/正在执行的任务/被中途停止的任务/处于暂停状态的任务
在任务列表中,单击任务名称,即可查看当前任务的在线报表
支持查看单个和多个任务的报表详情
选择菜单任务列表 > 任务列表,进入任务列表页面,如图6-20所示。
(1) 单击需要查看报表详情的任务名称,进入单个任务报表详情页面。
(2) 选择页签查看报表数据。
选择菜单任务列表 > 任务列表,进入任务列表页面,如6-20所示。
(1) 勾选需要查看报表详情的多个任务名称。
(2) 单击【汇总查看】按钮,弹出多个任务数据合并后生成的报表详情页面。
(3) 选择页签查看报表数据。
漏洞扫描系统根据 Fuzzing 任务的扫描结果进行报表的数据展示。
常用的报表操作如下:
· 单击【刷新缓存】按钮,刷新当前页面。
· 单击图标
,打包下载当前页面至本地。
· 单击图标
,以相应格式输出当前报表至报表列表。
综述报表从整体上描述被扫描网络的安全状况,是 Fuzzing 任务扫描结果的综合展示。
不同 Fuzzing 任务的报表内容略有不同,具体请以界面展示为准。
管理员可以查看 Fuzzing 任务参数,包括基本信息、高级选项,如图7-1所示。
管理员还可以单击图7-1 中的操作按钮,对任务执行相应操作
Fuzzing 任务参数
综述信息包括 4部分:任务信息、设备信息、Fuzzing 漏洞、套件漏洞信息。
任务信息
任务信息包括网络风险(风险值、风险等级)、任务 ID、任务名称、任务类型、扫描协议、主机 IP、时间统计、套件统计,如下图所示。
Fuzzing 任务信息
设备信息
设备信息包括属性和内容,如下图所示。
Fuzzing 任务信息
Fuzzing漏洞
该区域展示 Fuzzing 扫描所发现的漏洞信息,包括:漏洞类型分布、漏洞等级分布,如下图所示。
Fuzzing漏洞
套件漏洞信息
该区域展示 Fuzzing 任务中使用的测试用例及相应扫描到的漏洞的统计情况,如下图所示。
若 Fuzzing 任务中启用了“Tcpdump 抓包”,则可以单击 pcap 操作栏中的图标
,下载抓包文件至本地查看。
套件漏洞信息
拒绝服务
该区域展示扫描目标中存在的拒绝服务类型的漏洞信息,如下图所示。
· 单击 Fuzzing 漏洞前的
展开该漏洞的详细信息,不同漏洞包含的详细信息参数有所不同,具体以页面展示为准。
· 单击删除图标
,可以删除该条漏洞信息。
· 对于高危的拒绝服务漏洞,还可以执行回放和保存到漏洞收藏操作。
¡ 单击回放图标
,在弹出的对话框中,配置回放包范围、单击【确定】按钮,可以对扫描目标中存在该漏洞的某些数据包重新下发 Fuzzing 任务,方便用户仅查看该风险信息。
¡ 单击保存到漏洞收藏图标
,可以将该漏洞添加到漏洞收藏中,方便用户对关注的漏洞进行统一管理。
拒绝服务
协议不合规
该区域展示扫描目标中存在的协议实现不合规类型的漏洞信息,如下图所示。
单击
Fuzzing 漏洞前的
展开该漏洞的详细信息,不同漏洞包含的详细信息参数有所不同,具体以页面展示为准。
协议不合规
全部
该区域展示扫描目标中存在的所有漏洞信息。
单击 Fuzzing 漏洞前的
展开该漏洞的详细信息,不同漏洞包含的详细信息参数有所不同,具体以页面展示为准。
Fuzzing 过程监控展示当前任务在远程监控扫描目标过程中的监控状态和异常信息;单击监控状态图中的数据框将显示具体的异常信息,如下图所示。
Fuzzing过程监控
评估任务报表由综述报表和主机报表组成,根据漏洞扫描任务、配置扫描任务、弱口令猜测的扫描结果进行报表的数据展示。
常用的报表操作如下:
· 单击【刷新缓存】按钮,刷新当前页面。
· 单击
图标,打包下载当前页面至本地。
· 单击
、
、
、
图标,以相应格式输出当前报表至报表列表。
综述报表从整体上描述被扫描网络的安全状况,是评估任务扫描结果的综合展示。不同评估任务的报表内容略有不同,具体请以界面展示为准,下面以执行漏洞配置扫描、弱口令猜测的综合任务的扫描数据为例,介绍综述报表的详情。
任务参数
管理员可以查看评估任务参数,包括基本信息、检查目标、高级选项和任务报表,如图7-8所示。
管理员还可以单击图7-8中的操作按钮,对任务执行相应操作。
任务参数
综述信息
综述信息包括 5 部分:任务信息、风险分布、漏洞风险类别、配置风险类别和资产综述。
· 任务信息
任务信息包括网络风险(风险值、风险等级)、任务名称、任务类型、时间统计、漏洞扫描模 板、配置检查模板列表、主机统计和系统版本信息,如图7-9所示。
综述信息 - 任务信息
· 风险分布
风险分布信息包括:主机漏洞风险等级分布、主机整体风险等级分布、主机配置风险等级分布、漏洞高中低风险分布和不合规检查项高中低风险分布,如图7-10所示。
综述信息 - 风险分布
· 漏洞风险类别
按照不同分类统计高、中、低风险的漏洞数量,以及所有风险分类的总数统计。单击列表中的数值,即可查看相应的漏洞详细信息。若要在同一页面中将以上内容全部列出,只需单击标签中的“全部”即可,如图7-11所示。
综述信息 - 漏洞风险类别
· 配置风险类别
配置风险类别包括:不合规项在应用程序中的分布和不合规项在操作系统中的分布,如图 7-12 所示。
综述信息 - 配置风险类别
· 资产综述
资产综述中展示资产操作系统的统计数量和比例,如图7-13所示。
综述信息 - 资产综述
主机信息
在主机信息中,默认列出当前被扫描全部主机的风险等级,包括 IP 地址、主机名、操作系统、高中低风险数量和风险值等,如图 7-14 所示。如果主机列表中的主机数量很多,可以通过主机风险等级过滤(非常危险、比较危险、比较安全、非常安全)对主机筛选。
单击 IP 地址前的“ ”查看使用的扫描模板信息。单击 IP 地址可以查看主机报表
主机信息
漏洞信息
在漏洞信息中,默认列出当前任务中所有风险等级的漏洞信息,包括漏洞名称和出现次数等,如图 7-15 所示。如果漏洞列表中的漏洞数量很多,可以通过漏洞类别过滤(高风险、中风险、低风险)对漏洞进行筛选。
单击漏洞前的
展开该漏洞的详细信息,不同漏洞包含的详细信息参数项有所不同。单击某个受影响主机,查看主机报表。
漏洞信息
配置信息
在配置信息中,默认列出当前任务中所有风险等级的配置不合规信息,如图 7-16 所示。
单击某个不合规主机,查看主机报表。
配置信息
脆弱账号
在脆弱帐号列表中,列出该任务中所有扫描出来的脆弱帐号信息,包括 Windows 帐号、UNIX 帐号和应用程序帐号,如图 7-17 所示。
单击某个 IP 地址,查看主机报表。
脆弱账号
参考标准
在参考标准中,列出了系统风险等级标准,包括:单一漏洞风险等级评定标准、单一配置检查项等级评定标准、主机风险等级评定标准、网络风险等级评定标准以及安全建议,如图7-18 所示。
脆弱账号
对比分析
只有父任务的报表会展示这个页签,父任务报表的内容为正常完成扫描后任务号最大的子任务的报表信息。默认显示最后两次子任务的对比数据,如图7-19所示。
在任务的下拉列表框中可以选择子任务,对比指定的子任务的扫描数据。
单击漏洞信息对比区域中漏洞前的
展开该漏洞的详细信息,不同漏洞包含的详细信息参数项有所不同。
单击漏洞信息对比区域中的某个影响主机、脆弱帐号对比区域中的某个 IP 地址,查看主机报表.
对比分析
管理员可以查看主机的详细风险报表(即主机报表),包括主机概况、漏洞信息、配置合规信息、状态合规信息等,如图7-20 所示。
对比分析
查看方式
可以通过如下方式查看主机报表:
· 在综述报表的主机信息页签下,单击主机风险等级列表下的某个主机 IP。在综述报表的漏洞信息页签下,单击漏洞前的“ ”展开该漏洞的详细信息,单击某个受影响主机。
· 在综述报表的配置信息页签下,单击某个不合规主机。
· 在综述报表的脆弱帐号页签下,单击某个 IP 地址。
· 在综述报表的对比分析页签下,单击漏洞信息对比区域中的某个影响主机、脆弱帐号对比区域中的某个 IP 地址。
误报修正 - 漏洞
扫描结果中的漏洞信息,可能会有误报,也可能管理员需要忽略某些漏洞,这时可以对其进行修正,具体操作方法如下:
(1) 在主机报表中,选择漏洞信息 > 漏洞概况,展开漏洞概况区域。
(2) 单击某条漏洞右侧的图标
,显示漏洞的返回值和可执行的误报修正操作,如图7-21 所示。
误报修正 - 漏洞
(3) 选择“修正此 IP”,表示修正从所属评估任务下的此 IP 地址中发现的该漏洞;选择“修 正此任务”,表示修正从所属评估任务下的所有 IP 地址中发现的该漏洞。
(4) 在弹出的对话框中,单击【确定】按钮。
误报修正 - 配置项
扫描结果中的不合规项,可能会有误报,也可能管理员需要忽略某些不合规项,这时可以对其进行修正,具体操作方法如下:
(1) 在主机报表中,选择配置合规信息,展开配置合规信息区域,如图7-22 所示
误报修正 - 配置项
(2) 选择“修正此不合规项”,修正从所属评估任务下的此 IP 地址中发现的该不合规项。
(3) 在弹出的对话框中,单击【确定】按钮。
口令猜测任务报表由综述报表和主机报表组成,根据扫描结果进行报表的数据展示。综述报表仅包含任务参数和脆弱帐号两个页签,展示内容与评估任务报表类似,具体请参见评估任务的综述报表中的这两项描述,这里不赘述了。
Web 应用扫描任务报表由综述报表和站点报表组成,根据 Web 应用扫描任务的扫描结果进行报表的数据展示。
常用的报表操作如下:
· 单击【刷新缓存】按钮,刷新当前页面。
· 单击图标
,打包下载当前页面至本地。
· 单击
、
、
图标,以相应格式输出当前报表至报表列表。
综述报表
综述报表从整体上描述被扫描站点的安全状况,是扫描结果的综合展示。
任务参数
管理员可以查看任务参数,包括基本信息、高级选项、任务报表等,如图7-23 所示。管理员还可以单击图7-23中的操作按钮,对任务执行相应操作。
任务参数
综述信息
综述信息包括:任务信息、风险分布、风险类型、高危漏洞最多的页面 Top10。
· 任务信息
任务信息包括:网络风险(风险值、风险等级)、任务名称、任务类型、漏洞扫描模板、信息统计、域名统计、时间统计、版本信息,如图7-24 所示。
综述信息 - 任务信息
· 风险分布
风险分布信息包括:站点风险等级分布(扫描站点数量大于等于 2 个时,才会展示该信息)、页面风险级别分布、漏洞高中低风险分布,如图 7-25 所示。
综述信息 - 风险分布
· 风险类型
按照不同分类统计高、中、低风险的漏洞数量,以及所有风险分类的总数统计,如图7-26 所示。
综述信息 - 风险类型
· 高危漏洞最多的页面Top10
展示站点中包含高危漏洞最多的页面 Top10 及对应的高危漏洞个数,如图7-27 所示。
综述信息 - 高危漏洞最多的页面Top10
站点列表
在站点列表中,默认列出当前被扫描全部站点、每个站点的已扫描链接数、扫描耗时、包含的高中低风险数量、风险值,如图7-28所示。如果站点列表中的站点数量很多,可以通过风险等级过滤(非常危险、比较危险、比较安全、非常安全)对站点进行筛选。单击某个站点名称可以查看站点报表。
站点列表
漏洞列表
在漏洞列表中,默认列出当前任务中所有风险等级的漏洞信息,包括漏洞名称、影响页面个数、出现次数,如图7-29 所示。如果漏洞列表中的漏洞数量很多,可以通过漏洞类别过滤(高风险、中风险、低风险)对漏洞进行筛选。单击漏洞前的“ +”展开该漏洞的详细信息,不同漏洞包含的详细信息参数项有所不同。单击某个受影响站点,查看站点报表。
站点列表
参考标准
在参考标准中,列出了 Web 应用风险等级标准,如图7-30所示
参考标准
对比分析
只有父任务的报表会展示这个页签,父任务报表的内容为正常完成扫描后任务号最大的子任务的报表信息。默认显示最后两次子任务的对比数据,包括:任务信息对比、漏洞信息对比,如图7-31 所示。在任务的下拉列表框中可以选择子任务,对比指定的子任务的扫描数据。单击漏洞信息对比区域中漏洞前的“ ”展开该漏洞的详细信息,不同漏洞包含的详细信息参数项有所不同。单击漏洞信息对比区域中的某个影响站点。
对比分析
管理员可以将扫描结果根据需要、配置报表输出条件,以离线报表形式输出指定的报表。只有已经结束的任务产生的结果数据才能生成离线报表。
漏洞扫描系统输出的离线报表格式如表7-1 所示。
表7-1 漏洞扫描系统输出的离线报表格式
|
格式 |
描述 |
|
HTML报表 |
系统默认的报表格式,由于HTML界面美观,内容详实,人机交互性最好,因此推荐用户使用。 |
|
WORD报表 |
若是需要打印报表,推荐使用 WORD 格式报表。 |
|
EXCEL报表 |
高级用户可以将 EXCEL 报表编辑成想要的格式。 WORD 和 EXCEL 报表采用 doc/xls 格式,请使用 OFFICE 2003 或以上版本的软件打开报表。 |
|
PDF报表 |
Web 应用扫描任务的离线报表不支持此格式。 |
新建任务时输出离线报表的操作请参见Fuzzing任务、评估任务、 Web 应用扫描任务。
输出的报表在菜单 报表输出 > 报表列表中查看。
从任务综述报表页面输出报表是按照系统默认的报表输出格式输出。具体操作如下:
(1) 选择菜单任务列表 > 任务列表,进入任务列表页面,如图6-21 所示。
(2) 进入任务综述报表页面。
¡ 单击任务名称,进入相应任务生成的报表页面。
¡ 勾选多个任务,单击【汇总查看】按钮,进入生成的报表页面。
(3) 选择除任务参数和参考标准外的其他页签,进入相应页面。
(4) 单击右下方的
、
、
或者
,进入输出进度页面。在报表输出过程中,若需要终止报表输出,单击【停止输出】按钮即可。
(5) 当报表输出成功
后,下载或查看离线报表。
¡ 单击
、
、
或者
,查看或下载离线报表。
¡ 单击【下载最近输出的报表】,进入报表列表页面,查看或下载离线报表。
从任务列表页面输出报表是按照系统默认的报表输出格式输出。具体操作如下:
(1) 选择菜单 任务列表 > 任务列表,进入任务列表页面,如图6-21所示。
(2) 在任务列表中勾选需要输出报表的扫描任务。
(3) 单击任务列表右上/下方的【报表输出】按钮,进入输出进度页面。
若合并输出多个任务的报表,还需要配置合并报表名称并单击【合并输出】按钮。
在报表输出过程中,若需要终止报表输出,单击【停止输出】按钮即可。
(4) 当报表输出成功
后,下载或查看离线报表。
¡ 单击
、
、
或者
,查看或下载离线报表。
¡ 单击【下载最近输出的报表】,进入报表列表页面,查看或下载离线报表。
系统根据扫描任务的扫描数据生成离线报表的操作类似,下文以根据评估任务生成离线报表为例,介绍如何生成离线报表。
(1) 选择菜单报表输出 > 报表输出,进入报表输出页面。
(2) 选择“输出范围”为普通扫描任务,如图7-2所示。
报表输出
(3) 配置报表输出参数。报表输出参数说明如表7-2 所示。
表7-2 报表输出参数
|
项目 |
配置项 |
描述 |
|
任务内容 |
显示最近 |
显示最近的扫描任务的数量。此处的设置影响任务列表中显示的任务数、筛选主机中显示的主机数。 |
|
任务列表 |
选择一个或多个扫描任务。 |
|
|
筛选主机 |
单击【筛选主机>>】,显示扫描任务中包含的被扫描主机。选择需要输出报表数据的主机。 若主机数据过多,可以通过风险等级、操作系统等对显示的主机进行过滤。 |
|
|
离线报表 |
报表类型 |
报表的输出格式。 |
|
报表内容 |
输出报表中包含的内容,可选项有综述报表和主机报表。 综述和主机报表都需要配置报表模板和报表标题。如果没有合适的报表模板,可以单击“报表模板管理”链接,进入报表模板页面后,添加报表模板。 |
|
|
合并报表 |
多任务输出 |
需要配置输出方式(合并输出和批量输出)和报表名称。 合并输出:统计所有任务的扫描数据,在一张报表中展示。 批量输出:每个任务生成一张报表。 注:Fuzzing任务不支持合并输出。 |
(4) 单击【输出】按钮,进入输出进度页面。在报表输出过程中,若需要终止报表输出,单击【停止输出】按钮即可。
(5) 当报表输出成功后,下载或查看离线报表。
¡ 单击
、
、
或者
,下载或查看离线报表。
¡ 单击【下载最近输出的报表】,进入报表列表页面,查看或下载离线报表。
所有的离线报表将保存至报表列表中,管理员可以对生成的离线报表执行查询、下载等操作。
查询指定离线报表的操作如下:
(1) 选择菜单报表输出 > 报表列表,进入报表列表页面,如图7-33所示。
图7-1 报表列表
(2) 单击
图标,打开查询条件页面。
(3) 配置参数,查询参数的详细信息如表7-3所示。
表7-3 查询参数
|
参数 |
描述 |
|
报表名称 |
离线报表的名称。 |
|
报表格式 |
离线报表的格式。 |
|
生成时间 |
生成离线报表的开始和结束时间。 |
(4) 单击【查询】按钮,查看符合条件的离线报表。 单击【重置】按钮,可以清空查询条件,重新查询离线报表。
(5) (可选)在离线报表列表中,选择任务类型,查看根据该任务类型的扫描数据生成的离线报表。
· 下载离线报表:单击
、
、
或者
图标,以相应格式下载当前报表至本地。
· 删除离线报表
¡ 单个删除:单击操作栏中的图标
。
¡ 批量删除:勾选多个离线报表,单击【删除】按钮。
· 清空离线报表列表:单击【清空】按钮,所有的离线报表将被删除。
认证管理主要对系统扫描的信息进行管理。认证信息通过 IP 地址与资产进行关联,在新建任务的时候输入 IP 地址或者范围后可以直接调用认证信息进行扫描。
手动新建主机认证信息的具体操作如下:
(1) 选择菜单认证管理 > 认证管理,进入认证管理页面,如图8-1所示。
图8-1 认证管理
(2) 单击【添加主机】按钮,弹出添加主机对话框。
(3) 配置参数,主机认证信息参数的详细信息。
(4) 单击【确定】按钮,保存配置。
通过 Excel 模板导入认证信息的具体操作如下:
(1) 选择菜单认证管理 > 认证管理,进入认证管理页面,如图8-1 所示。
(2) 单击【Excel 模板下载】,保存主机认证信息模板至本地。
(3) 单击【浏览】按钮,选择完成编辑的 Excel 模板。
(4) 单击【导入】按钮,导入主机认证信息。
查询主机认证信息的具体操作如下:
(1) 选择菜单认证管理 > 认证管理,进入认证管理页面,如图 8-1 所示。
(2) 单击
图标,打开查询条件页面。
(3) 配置参数,查询条件参数的详细信息如表 6-5 所示。
(4) 单击【查询】按钮,查看符合条件的信息。单击【重置】按钮,可以清空查询条件,重新查询主机认证信息。
(5) 单击操作栏中的
图标,查看主机认证信息详情。
用户还可以对主机认证信息进行编辑、导出、删除和清空操作。
· 编辑:单击操作栏中的
图标,编辑主机认证信息。
· 批量导出:勾选需要导出的主机认证信息,单击【批量操作】 > 【批量导出】按钮,保存主机认证信息至本地。
· 删除
¡ 单个删除:单击操作栏中的
图标,删除所选主机认证信息。
¡ 批量删除:勾选需要删除的主机认证信息,单击【批量操作】 > 【批量删除】按钮,删除主机认证信息。
· 清空:单击【批量操作】 > 【全部清空】按钮,删除所有主机认证信息。
模板管理主要对漏洞扫描系统中的各类扫描模板进行管理,用户通过模板管理可以对所有在任务执行过程中被扫描的内容进行管理。
图标含义如下:
· 
:默认的系统模板,只支持查看、另存为操作。不允许修改、导出、删除。
· 
:另存为的系统模板,模板所有者可以任意编辑。
· 
:用户模板,模板所有者可以任意编辑。
协议模板是 Fuzzing 任务的基础,漏洞扫描系统根据协议模板中的测试用例执行 Fuzzing 任务,从而发现扫描目标中存在的风险。
只能查看协议模板,具体操作如下:
选择菜单模板管理 > 协议模板,默认进入Fuzzing协议模板页签,如图9-1 所示。
· 在列表中,可以查看 Fuzzing 任务支持的协议及其对应的模板。
· 单击模板对应操作栏中的
,可以查看该模板的详情。
图9-1 Fuzzing协议模板
漏洞模板是漏洞扫描的基础,是一个扫描插件集。漏洞扫描系统覆盖近乎所有类型的漏洞扫描插件,管理员可以根据需要指定相应的扫描插件进行漏洞扫描。从而加快扫描任务的运行速度,提高扫描结果的准确性和覆盖度。
漏洞模板包括系统模板和自定义模板。
手动新建用户漏洞模板的具体操作如下:
(1) 选择菜单模板管理 > 漏洞模板 > 系统漏洞模板/Web 扫描模板,进入系统漏洞模板 /Web 扫描模板列表页面,如图9-2所示。
图9-2 漏洞模板列表
(2) 单击【添加】按钮,弹出添加系统漏洞模板/Web 扫描模板对话框,如图9-3 所示。
图9-3 添加系统漏洞模板
(3) 配置基本参数,基本参数的详细信息如表9-1所示。
表9-1 基本参数
|
参数 |
描述 |
|
模板名称 |
由英文字母、数字或-、_字符组成,区分大小写。取值范围为 1~64 个字符。同一用户不允许创建相同名称模板,不同用户间可以创建相同名称模板。 |
|
模板描述 |
对模板的补充说明。无长度限制,但仅支持数字、英文字母、汉字、空格、’/’、’\’、’(‘、’)’、’,’、’.’、’\n’的组合形式 |
(4) 配置模板类型,模板类型参数的详细信息如表9-2所示。
表9-2 模板类型参数
|
参数 |
描述 |
|
普通模板
|
管理员根据扫描插件的类型选择扫描任务所需要的插件。包含所有漏洞扫描系统支持的插件。有两种方法选择指定漏洞插件。 查询指定漏洞后勾选漏洞插件。 在漏洞列表下拉列表框中选择插件的类型,然后根据扫描任务需要勾选扫描插件。 |
|
查询参数: CVE ID/BUGTRAQ ID/CNCVE ID/CNVD ID/CNNVD ID/MS 编号(Web 扫描模板无此项):世界知名漏洞知识库中漏洞的编号。 风险等级:漏洞的风险级别。 漏洞名称(系统扫描模板):系统漏洞的名称。 漏洞描述(Web 扫描模板):对 Web 应用漏洞的具体描述。 危险插件:是,此类插件可能导致系统崩溃或服务中断。 发布日期:发现漏洞的时间。 |
|
|
高级模板(过滤器模板)
|
管理员根据如下条件筛选扫描任务所需要的插件。 风险级别:漏洞的风险级别。 收录组织:收录漏洞信息的组织。 发现时间:发现漏洞的时间。 系统类别:漏洞所属的操作系统类型。 应用类别:漏洞所属的应用类型。 威胁类别:漏洞的攻击方式。 配置上述待选条件后,单击图标 |
(5) 单击【确定】按钮,保存配置。
通过系统模板新建用户漏洞模板的具体操作如下:
(1) 选择菜单模板管理 > 漏洞模板 > 系统漏洞模板/Web 扫描模板,进入系统漏洞模板 /Web 扫描模板列表页面,如图 9-2 所示。
(2) 单击
图标,弹出另存为漏洞模板对话框。
(3) 配置参数,漏洞模板基本参数和模板类型参数的详细信息分别如表 9-1 和表 9-2 所示。
(4) 单击【确定】按钮,将系统模板另存为用户自定义漏洞模板。
管理员还可以对漏洞模板中的信息进行查看、编辑、另存为和删除操作。系统模板不支持编辑和删除操作。在类别选择中勾选漏洞模板的类型后,根据如下内容进行相关操作。
· 查看:单击操作栏的
图标,查看漏洞模板信息。单击某个漏洞插件,可以查看该漏洞插件的详细信息。
· 编辑:单击操作栏的
图标,编辑内容后,单击【保存】按钮,完成编辑操作。
· 删除:单击操作栏的
图标,删除指定的漏洞模板。
· 另存为:单击操作栏的
图标,编辑内容后,单击【确定】按钮,完成操作。
配置模板是配置检查的基础,包含完善详细的安全配置检查点及其权重。同时支持管理员根据需要或者行业标准自定义各种目标系统的安全配置检查模板。
为了方便管理员根据需要管理配置模板,漏洞扫描系统支持自定义模板分组。例:用户可以将用于检测某种类型设备的配置模板放在一个模板分组下管理。
新建模板分组的具体操作如下:
(1) 选择菜单模板管理 > 配置模板 > 操作系统/数据库/应用程序/网络设备/虚拟化设备, 进入配置模板列表页面,如图9-4 所示。
图9-4 配置模板列表
(2) 单击【管理分组】按钮,弹出管理分组对话框,如图9-5 所示。
图9-5 管理分组
(3) 单击【新建】按钮,弹出新建分组对话框,如图9-6所示。
图9-6 新建分组
(4) 配置分组名称、描述信息、分组类型。
(5) 单击【确定】按钮,返回管理分组对话框。
(6) 单击【关闭】按钮,完成新建操作。
新建配置模板有手动新建用户配置模板,由系统配置模板创建两种方法,下面分别介绍两种方法的具体步骤。
手动新建配置模板的具体操作如下:
(1) 选择菜单模板管理 > 配置模板 > 操作系统/数据库/应用程序/网络设备/虚拟化设备,进入配置模板列表页面,如图9-4所示。
(2) 单击【模板操作】按钮,在下拉列表中选择“新建”,进入新建模板页面,如图9-7所示。
图9-7 新建模板
(3) 配置基本属性。
a. 配置基本信息参数。参数的详细信息如表9-3所示。
表9-3 基本信息参数
|
参数 |
描述 |
|
模板名称 |
配置模板的名称,不允许重名。 |
|
模板分组 |
该配置模板所属的分组。 |
|
检查类型 |
该配置模板所属的检查类型 |
|
系统归类/模板类型 |
该配置模板检查对象所属的类型/所使用的模板类型 |
b. 配置变量。IP,user和password三个变量未系统自带变量,可以直接使用。单击【添加变量】按钮,在弹出的对话框中配置变量参数,单击【保存】按钮。参数的详细信息如表9-4所示。
表9-4 变量参数
|
参数 |
描述 |
|
引用名称 |
在命令中被引用时的名称。 |
|
显示名称 |
在创建任务时界面显示的名称。 |
|
类型 |
该变量的显示类型。 文本类型:表示该变量显示为明文,且该变量的值被记录在日志中。 密码类型:表示该变量显示为密文(以“*”表示),且该变量的值在日志中不被记录。 |
|
描述 |
对变量的补充说明。 |
c. 配置初始化变量。系统在执行扫描任务过程中登录目标主机后执行的命令,适用于一些需要完成初始化命令的情况,如切换到高权限帐号等。
d. 单击【下一步】按钮,进入配置检查项页面,如图9-8所示。
图9-8 配置检查项
(4) 配置检查项。用于检查目标主机是否合规,检查结果将显示在报表中。系统根据配置检查项列表中的先后顺序依次对目标主机进行检查。
a. 单击【新建】按钮,弹出新建配置检查项对话框,如图9-9 所示。
图9-9 新建配置检查项
b. 配置检查属性项参数,参数的详细如表9-5所示
表9-5 检查属性项参数
|
参数 |
描述 |
|
索引 |
默认值是1、2、3......,按照检查项添加的顺序依次递增。用户也可以根据具体需要自定义索引。 |
|
检查项名称 |
配置检查项的名称。 |
|
检查项分类 |
检查项所属的类别。 |
|
风险值 |
配置检查项的风险等级。数值越大,风险等级越高。 |
c. 配置检查点参数。
单击【添加检查点】,在弹出的编辑检查点对话框中配置参数,单击【保存】按钮。参数的详细信息如表9-6所示。
单击【调试】按钮,可以测试系统是否能够在目标主机执行检查,并返回检查结果。可以随时单击【停止】按钮,停止调试操作。调试检查点参数请参见表6-5。
表9-6 检查点参数
|
参数 |
描述 |
|
|
描述信息 |
该检查点的概要描述。 |
|
|
配置方法 |
该检查点的配置方法。 |
|
|
检查方法 |
WIN 检查类型的检查方法包括:执行命令、端口检查、文件内容检查、注册表检查、XML 配置文件检查。 UNIX 检查类型的检查方法包括:执行命令、端口检查、文件内容检查、XML 配置文件检查、文件权限检查、进程检查。 |
|
|
匹配规则 |
该检查点合规的匹配规则。 |
|
|
执行命令
|
执行命令 |
系统在目标主机上获取相关配置信息的命令。 |
|
正则表达式 |
系统通过此处配置的“正则表达式”对“执行命令”返回的结果逐行进行匹配,筛选出需要的信息。 使用括号():表示需要读取的部分,例如 DEBUG=(\d),括号中的子表达式内容将被读取。 不使用括号():如果该正则表达式单行显示,则将读取匹配该正则表达式的整行内容;否则只需在换行处用“\n”进行标识,即可实现多行匹配,例:DEBUG=win\ndows,则将读取到多行内容。 |
|
|
期望值 |
该检查点合规的期望值。“期望值”与“匹配规则”配合使用,对通过“正则表达式”匹配到的内容进行合规检查。 使用正则表达式匹配规则时,“期望值”的输入模式为“/期望值/”。 例:“/DEBUG=\d+/”表示期望值是“DEBUG=\d+”。 不区分大小写表达式://i。例:输入期望值“/DEBUG=\d+/i”,表示不区分该模式的大小写。 元字符(.)匹配任何字符表达式://s。例如:输入期望值 “/DEBUG=.*/s”,表示(.)匹配任何字符。 多行匹配表达式:\n。 |
|
|
端口检查
|
类型 |
待检查端口的传输协议。 |
|
端口号 |
待检查的端口号。 |
|
|
期望值 |
该检查点合规的期望值。 “期望值”与“匹配规则”配合使用,对通过“类型”和“端口号”匹配到的内容进行合规检查。 |
|
|
文件内容 检查 |
文件路径 |
待检查的文件的绝对路径。 |
|
文件内容 |
“文件内容”要求填写正则表达式,用于对执行命令返回的结果逐行进行匹配,筛选出需要的信息。 使用括号():表示需要读取的部分。例:DEBUG=(\d),括号中的子表达式内容将被读取。 不使用括号():取回匹配该正则表达式的整行内容。 |
|
|
期望值 |
该检查点合规的期望值。 “期望值”与“匹配规则”配合使用,对通过“文件内容”匹配到的内容进行合规检查。 |
|
|
文件 |
文件路径 |
待检查的文件的绝对路径。 |
|
权限检查 |
期望值 |
该检查点合规的期望值。 “期望值”与“匹配规则”配合使用,对通过“文件路径”匹配到的内容进行合规检查。 |
|
进程检查 |
进程名称 |
待检查的进程名称。 |
|
期望值 |
该检查点合规的期望值。 “期望值”与“匹配规则”配合使用,对通过“进程名称”匹配到的内容进行合规检查。 |
|
|
XML配置 文件检查 |
xml文件路径 |
需要取得的数据所在 xml 文件的完整路径。 |
|
节点 |
xml 文件的节点(支持标准的 xpath 语法,可以不输入属性值)。 |
|
|
属性 |
xml 文件节点的属性(可以不填写)。 |
|
|
期望值 |
该检查点合规的期望值。 “期望值”与“匹配规则”配合使用。 |
|
d. 单击【保存】按钮,保存检查点信息。
e. 配置检查点逻辑关系。逻辑关系符号的详细信息如表9-7所示。
单击检查点操作栏中图标
,将检查点添加到逻辑表达式配置框内。单击【AND】、【OR】、【NOT】、【(】、【)】或者【ß】按钮,配置合理的各检查点连接逻辑。
检查项的真值结果等于检查点真值的逻辑运算。例:“a and b”表示当检查点 a 和 b 都为真时,检查项结果才为真(即合规)。
表9-7 逻辑关系符号
|
参数 |
描述 |
|
AND |
逻辑与。 |
|
OR |
逻辑或。 |
|
NOT |
逻辑非。 |
|
(和) |
用于提高优先级,表示优先执行括号内的检查点。 |
|
ß |
用于清除逻辑表达式配置框内最后一个输入的检查点 |
f. 单击【保存】按钮,返回配置检查项页面。
g. 单击【下一步】按钮,进入附录检查项配置页面,如图9-10所示。
图9-10 新建检查项配置页面
(5) 配置附录检查项。 附录检查项的目的并不是用来检查目标主机是否合规,而是通过附录检查项获取目标主机的相应信息,然后将其作为“辅助信息”展示在报表中。
a. 单击【新建】按钮,弹出新建附录检查项对话框,如图9-11所示。
图9-11 新建配置检查项
b. 配置参数,附录检查项参数的详细信息如表9-8所示。
表9-8 逻辑关系符号
|
参数 |
描述 |
|
检查项名称 |
附录检查项名称。 |
|
执行命令 |
需要枚举信息的命令。 |
|
行匹配表达式 |
用来匹配一条记录的正则表达式,一条记录为一行时可以使用“.+”,一行有多条记录根据实际情况填写。 |
|
列名称 |
单击【添加】按钮,在文本框中添加列名称。 |
|
列拆分正则 |
用来匹配一条记录中需要提取的各个字段,使用括号()来表示需要提取的列字段(和列名一一对应)。例:(column1)\s+ (column2)\s + (column3)。 当记录有多种模式时,可以填写多个列匹配表达式。单击【添加】按钮,在文本框中添加表达式。 |
c. 单击【保存】按钮,返回附录检查项页面。
(6) 单击【保存】按钮,生成自定义用户模板,管理员在配置任务时可以使用该模板。
通过系统配置模板新建用户配置模板的具体操作如下:
(1) 选择菜单模板管理 > 配置模板 > 操作系统/数据库/应用程序/网络设备/虚拟化设备,进入配置模板列表页面,如图9-2所示。
(2) 单击操作栏的另存为图标
,弹出编辑配置模板对话框,如图9-7所示。
(3) 配置参数,配置模板参数的详细信息分别如表9-3、表9-4、表9-5、表9-6、表9-7 和表9-8 所示。 系统模板另存为自定义模板时,只有部分属性可以编辑,可以编辑的属性以系统的界面体现为准.
(4) 单击【保存】按钮,将系统配置模板另存为用户自定义配置模板。
管理员还可以对配置模板中的信息进行编辑和删除等操作。系统配置模板只支持查看、另存为操作。
· 查看:单击操作栏的
图标,查看配置模板信息。
· 编辑:单击操作栏的
图标,编辑内容后,单击【保存】按钮,完成编辑操作。
· 删除:单击操作栏的
图标,或选择需要删除的模板、单击【模板操作】
> 【删
· 除】按钮,删除指定的内容。
· 导出:勾选配置模板,单击【模板操作】 > 【导出】按钮,保存加密后的“.dat”
· 文件至本地。
· 导入:单击【浏览】按钮,选择“.dat”文件,单击【导入】按钮,导入模板至系
· 统。支持将一台漏洞扫描系统的配置模板导入另一台具有相同行业以及相同模板授权的
· 漏洞扫描系统设备使用。
· 筛选:
¡ 通过菜单进入的配置模板列表页面中显示的是正式模板。若需要查看未保存模板,在图9-4中单击模板名称右侧的下拉列表框,查看未保存模板列表信息。
¡ 单击图9-4中模板分组右侧的下拉列表框,查看指定分组的配置模板列表信息。
系统执行扫描任务时,默认目标主机中运行的所有脆弱帐号和端口都是非法的。若希望目标主机中开放的信任用户信息和端口不作为风险信息检测出来,管理员可以将其配置到状态模板的帐号白名单和端口白名单中,漏洞扫描系统将视其为合法帐号和端口。
漏洞扫描系统支持用户自定义状态模板。新建状态模板的具体操作如下:
(1) 选择菜单模板管理 > 状态模板 > 状态模板,进入状态模板配置页面,如图9-12所示。
图9-12 状态模板
(2) 单击【添加】按钮,进入添加状态模板页面,如图9-13所示。
图9-13 添加状态模板
(3) 配置状态模板名称。取值范围为 1~20 个字符。
(4) 配置帐号白名单。
a. 在【帐号】和【备注信息】文本框中,输入帐号名称及其备注信息。 账号名和备注信息中不能包括如下特殊字符:&/:;|<>+=,?*
b. 单击图标
,完成配置。
c. 勾选不进行风险扫描的白名单(打上钩后表示选中)。
(5) 配置端口白名单。
在【进程】、【端口】、【备注信息】文本框中,输入进程名称、端口号及其备注 信息。端口号只能包括数字,进程和备注信息中不能包括如下特殊字符: &/:;|<>+=,?*
a. 单击图标 
,完成配置。
b. 勾选不进行风险扫描的白名单(打上钩后表示选中)。
(6) 单击【保存】按钮,完成配置。
管理员还可以对状态模板中的信息进行查看、编辑、删除和导出操作。
· 查看:单击操作栏的
图标,查看状态模板信息。
· 编辑:单击操作栏的
图标,编辑内容后,单击【确认】按钮,完成编辑操作。
· 删除:单击操作栏的
图标,删除指定的状态模板。
· 导出:单击操作栏的
图标,导出指定的状态模板。
· 导入:单击【浏览】按钮,选择状态模板文件,单击【导入】按钮,导入模板至系统。
· 另存为:单击操作栏的
图标,编辑内容后,单击【确认】按钮,完成操作。
通过配置报表模板可以自定义生成的报表中显示的内容。漏洞扫描系统报表模板的分类如下所示:
· 系统扫描任务报表模板:用于评估任务
¡ 综述报表模板:体现目标网络安全情况的统计信息。
¡ 主机报表模板:体现单个资产设备的安全情况。
· Web 扫描任务报表模板:用于 Web 应用扫描任务
¡ 综述报表模板:体现目标 Web 站点安全情况的统计信息。
¡ 站点报表模板:体现单个 Web 站点的安全情况。
· Fuzzing 扫描任务报表模板:用于 Fuzzing 任务
仅支持配置综述报表模板,用于体现扫描目标安全情况的统计信息。
可以通过右上角的类别选择复选框决定报表模板列表中的显示内容,包含“系统模板”和“自定义模板”。
漏洞扫描系统支持用户自定义报表模板。以新建系统扫描任务的综述报表模板为例介绍如何新建报表模板,新建报表模板的具体操作如下:
(1) 选择菜单模板管理 > 报表模板 > 系统扫描任务报表模板 > 综述报表模板,进入报表模板配置页面,如图9-14所示。
图9-14 报表模板列表
(2) 单击【添加】按钮,弹出添加报表模板对话框,如图9-15所示。
图9-15 添加报表模板
(3) 配置报表模板参数。
a. 选择“基本信息”页签,配置模板名称、模板描述、报表标题、封面 Logo、报表页眉和报表页脚参数。
配置模板名称由英文字母、数字或中文、-、_字符组成,区分大小写,取值范围为 1~20 个字符。 配置模板名称不能重复。
b. 选择“报表内容”页签,勾选需要在生成的报表中展示的内容。
(4) 单击【保存】按钮,保存自定义的报表模板。
管理员还可以对报表模板中的信息进行编辑和删除操作。系统报表模板只支持查看操作。
· 查看:单击操作栏的
图标,查看报表模板信息。
· 编辑:单击操作栏的
图标,编辑内容后,单击【保存】按钮,完成编辑操作。
· 删除:单击操作栏的
图标,删除指定的报表模板。
在新建口令猜测任务时,配置服务类型中的密码字典,那么漏洞扫描系统在扫描过程中将根据密码字典中的内容尝试登录目标设备,若目标设备的登录用户名和密码与密码字典中的内容匹配,则认为目标设备存在脆弱帐号。
密码字典包括系统密码字典(包含一些常见的脆弱帐号,不可编辑和删除)和用户自定义密码字典。
新建密码字典的具体操作如下:
(1) 选择菜单模板管理 > 密码字典 > 密码字典,进入密码字典配置页面,如图9-16所示。
图9-16 密码字典列表
(2) 单击【添加】按钮,弹出添加字典对话框,如图9-17所示。
图9-17 新建密码字典
(3) 配置参数,密码字典参数的详细信息如表9-9所示。
表9-9 密码字典参数
|
参数 |
描述 |
|
字典名称
|
由英文字母、数字或中文、-、_字符组成,区分大小写。取值范围为 1~64 个字符。新建字典名称不允许与已有字典名称相同。 |
|
类别
|
用户名字典:支持针对 SMB、TELNET、FTP、SSH、POP3、Microsoft SQL Server、MYSQL、Oracle、Sybase 和 DB2 协议,配置用于口令猜测任务的具有风险的弱用户名称。 密码字典:支持针对 SMB、TELNET、FTP、SSH、POP3、Microsoft SQL Server、 MYSQL、Oracle、Sybase、DB2 和 SNMP 协议及 CISCO 设备,配置用于口令猜测任务的具有风险的密码。 用户名密码组合字典:支持针对 SMB、TELNET、FTP、SSH、POP3、MicrosoftSQL Server、MYSQL、Oracle、Sybase 和 DB2 协议,配置用于口令猜测任务的具有风险的用户名称及其密码。 |
|
字典内容 |
字典内容以回车作为分隔符。最多可输入 100 个字典内容。 用户名密码组合字典内容格式为“用户名:密码”。 |
|
字典文件
|
txt 格式的文本文件导入: 文件名由英文字母、数字或-、_字符组成,区分大小写。 内容输入要求同字典内容。支持 UTF-8 和 ASCII 编码的文件。 |
(4) 单击【确定】按钮,保存密码字典至漏洞扫描系统中。
对系统密码字典只能进行查看、另存为操作,对自定义密码字典可以进行查看、编辑和删除等操作。在类别选择中勾选密码字典的类型后,根据如下内容进行相关操作。
· 查看:单击操作栏中的
图标,查看密码字典内容。
· 编辑:单击操作栏中的
图标,编辑密码字典信息。
· 删除:单击操作栏中的
图标,删除指定密码字典。
· 另存为:单击操作栏中的
图标,单击【另存为】按钮,编辑后保存。
端口列表展示了被扫描设备监听端口的端口号、服务类型及其运行协议的相关信息。例:80 端口对应 http 服务。若在新建评估任务时配置端口扫描策略,那么扫描过程中将只检测端口列表中的端口。
端口列表包括两部分:系统端口(包含一些通用的端口信息)和用户自定义端口。在自定义端口列表中,管理员可以在系统端口列表基础上增加自定义端口。
新建端口信息的具体操作如下:
(1) 选择菜单模板管理 > 端口列表 > 端口列表,进入端口列表页面,如图9-18所示。在页面左侧区域内,列出了系统默认的端口、服务与协议。
图9-18 端口服务列表
(2) 管理员可以通过手动和智能端口挖掘两种方式新建端口信息,请根据需要进行选择。
¡ 手动新建自定义端口信息。
a. 在页面右侧自定义端口区域内,配置端口参数,参数的详细信息如表9-10所示。
表9-10 密码字典参数
|
参数 |
描述 |
|
服务名 |
由英文字母、数字或-字符组成,区分大小写。取值范围为 1~18 个字符。 |
|
端口 |
取值范围是0-65535的整数。 |
|
协议 |
端口运行的协议。 |
b. 单击图标
,完成配置。
¡ 智能端口挖掘。从漏洞扫描和配置检查的历史扫描结果中获取所有被扫描设备的端口信息。
单击【智能端口挖掘】按钮,获取端口信息。
(3) 单击【保存】按钮,将端口列表中的信息保存至漏洞扫描系统中。
管理员对系统端口只能进行刷新操作,对自定义端口列表中的信息可以进行查询、刷新、编辑和删除等操作。
· 查询:在端口下拉列表框中选择需要查询的端口号范围,查询指定的端口信息。
· 刷新:单击
图标,刷新当前端口列表内容。
· 编辑:单击操作栏中的
图标,编辑端口参数,单击【保存】按钮,完成编辑操作。
· 删除:单击操作栏中的
图标,删除指定端口信息。
离线检查工具用于本地检查目标主机的配置情况。下载离线检查工具的具体操作请参见6.1.5本地配置扫描。如何进行本地配置扫描请参见 6.1.5 本地配置扫描。离线检查工具中的模板由配置模板生成,如何配置模板请参见9.3 配置模板。
通过查看状态,管理员可以了解当前漏洞扫描系统设备的系统状态、授权注册信息、网络状态,并能进行基本的操作。
选择菜单系统管理 > 状态 > 状态,进入状态信息页面,系统状态如图10-1所示。
图10-1 状态信息页面
管理员不仅可以查看当前设备的产品型号、软件版本信息、硬件序列号、web特征库版本号、系统特征库版本号、插件总数、漏洞总数(系统/应用/工控)、对应 CVE 编号数、软件序列号等信息,而且还可以单击重启系统图标
、关闭系统图标
,对设备进行重启、关闭操作。
选择菜单系统管理 > 状态 > 状态,进入状态信息页面,授权注册信息如图10-2所示。
图10-2 授权注册信息
管理员可以查看设备的授权注册信息包括:购买模板、证书类型说明、授权 IP 范围、系统扫描服务起始日期、系统扫描服务终止日期、Fuzzing扫描服务起始日期、Fuzzing扫描服务终止日期、特征库起始日期、特征库终止日期、Web 应用扫描起始日期、Web 应用扫描终止日期。
|
注意 |
正式证书的这四个日期的起止时间指的是产品可以升级版本以及特征库服务日期,测试证书为产品的使用日期。 其中日期表现形式均为:年-月-日,例如:2011-07-20。 正式证书到期后,产品可以正常使用,但不能升级版本以及特征库;测试证书到期后,漏洞扫描系统自动跳转到证书导入界面,且不能进行其他任何功能操作。正式证书和测试证书在证书日期内都可以升级。 正式证书终止日期前一个月提醒用户当前证书的到期日期,并提醒用户更换证书;证书过期后,将提醒用户过期天数。测试证书不予提醒。 |
选择菜单系统管理 > 状态 > 网络状态,进入网络状态信息页面。选择需要查看的接口,在网络流量图中展示当前 20 分钟内的接口接收和发送流量,如图10-3所示。将鼠标放置在图中节点处,展示该时间点的具体接口流量数据。
图10-3 网络状态
基础配置包括网络配置、路由配置、外发配置、系统配置、任务配置,本节将分别予以详细介绍。
在网络配置功能模块,管理员可以对漏洞扫描设备的各个网络扫描接口进行管理和配置DNS 服务器。所谓网络扫描接口,就是设备用于与其他设备交换扫描结果数据并相互作用的部分,其功能就是完成设备之间的数据交换。漏洞扫描设备只支持GE0/0口进行网络配置,其余口不支持。
漏洞扫描系统基本配置包括本机网口配置和 DNS 服务器配置。
接口配置
(1) 选择菜单系统管理 > 配置 > 网络,进入网络扫描接口配置页面,如图10-4 所示。
图10-4 网络接口配置
(2) 单击接口列表操作栏中的图标
,弹出网络接口编辑页面,如图10-5所示。
图10-5 网络接口配置
(3) 编辑接口基本参数,参数说明如表10-1所示。
表10-1 接口基本参数
|
参数 |
描述 |
|
接口名称 |
接口名不能修改。 |
|
IPV4地址 |
接口IPV4地址。 |
|
IPV4子网掩码 |
报接口的IPV4子网掩码。 |
|
IPV4网关 |
接口的IPV4网关。
如果需要跨网段进行扫描,则必须正确配置网关地址。 |
|
缺省网关 |
是否启用 IPV4 缺省网关。 |
|
IPV6配置方式 |
IPV6 地址的配置方式,可选项有:手动配置和自动获取。 |
|
IPV6地址 |
接口的 IPV6 地址。 仅当配置方式选择“手动配置”时需要手动配置接口的 IPV6 地址。 |
|
IPV6前缀长度 |
接口的 IPV6 地址前缀长度。
IPV6 地址中的前缀相当于 IPV4 地址中的网络 ID,前缀长度即 IPV6 地址中用于表示路由的位数。设备间想要不经过路由器直接通信,要求前缀相同。 |
|
IPV6网关 |
接口的 IPV6 网关。
如果需要跨网段进行扫描,则必须正确配置网关地址。 |
|
缺省网关 |
是否启用 IPV6 缺省网关。 |
|
网卡模式 |
设置接口的网卡模式。可选项有:auto、半双工、全双工。 |
|
连接速率 |
设置接口的连接速率。可选项有:10Mbps、100Mbps、1000Mbps。 |
(4) 单击【确定】按钮,配置立即生效。
DNS服务器配置
DNS 服务器参数如表10-2所示。
表10-2 DNS服务器参数
|
参数 |
描述 |
|
首选 DNS 服务器 |
漏洞扫描设备使用的首选 DNS 服务器。
有些扫描插件和系统功能依赖站点解析,所以必须正确配置站点服务器。 |
|
备选 DNS 服务器 |
漏洞扫描设备的备选 DNS 服务器。
有些扫描插件和系统功能依赖站点解析,所以必须正确配置站点服务器。 |
|
域名搜索列表 |
若内网环境存在域的划分,在访问目标站点时会存在跳转,为了避免跳转地址使用不完整域名(未包含域部分),造成域名解析失败的问题,可以配置域名搜索列表。多个独立域名之间可用英文符号“,”、“;”、空格分隔符隔开。 |
接口基本参数配置完成后,管理员可以管理接口的启用和禁用状态。在如图10-4所示的接口列表中:
· 显示图标
的接口处于禁用状态
· 显示图标
的接口处于启用状态
单击接口列表操作栏中的启用图标
、禁用图标
,即可启用或禁用相应的网络接口。
路由是系统根据路由表中的路径,将网络中的数据包从一个源地址转发到另一个目的地址的过程。漏洞扫描系统设备中路由的主要工作是为经过它的每个数据包寻找下一跳路由设备或目的主机,并把这些数据包转发出去。管理员可以手动设置漏洞扫描系统设备中的静态路由。下面介绍配置静态路由的详细方法。
(1) 选择菜单系统管理 > 配置 > 路由配置,进入路由配置页面,如图10-6所示。
图10-6 路由配置
(2) 单击【添加】按钮,弹出添加路由对话框。
(3) 配置路由参数,参数说明如表10-3所示。
表10-3 路由参数
|
配置项 |
描述 |
|
路由类型 |
路由的类型,可选项有 Ipv4 和 Ipv6。 |
|
目的 IP 地址 |
数据包要被送达的目的主机或目的网段的 IP 地址。
IP 地址类型必须与路由类型中的设置匹配。 |
|
掩码/前缀 |
目的地址(IPv4)的子网掩码或目的地址(IPv6) 的前缀。 |
|
网关地址 |
网络接口的下一跳 IP 地址。 |
|
优先级 |
路由条目的优先级,取值范围为 1~9999,数据越小 表示其优先级别越高。当到达同一目的的多条路由 条目的管理距离相同时,表示实现多链路的负载均 衡。 |
|
接口 |
漏洞扫描系统转发数据包的出口接口。 |
(4) 单击【确定】按钮,完成操作。
管理员可以单击路由列表操作栏中的图标,编辑、删除静态路由条目。单击【路由信息表】按 钮,可跳转到菜单系统管理 > 常用工具 > 路由信息,查看详细的路由信息。
外发是系统根据外发配置表中的记录,将对应的操作日志封装成外发数据包,并以SYSLOG或者JSON的数据格式外发到指定ip地址的指定端口上。
(1) 选择菜单系统管理 > 配置 > 外发配置,进入外发配置页面,如图10-7所示。
图10-7 外发配置页面
(2) 单击【添加设备】按钮,弹出新建转发日志对话框。
(3) 配置转发日志参数,参数说明如表10-4所示。
表10-4 路由参数
|
配置项 |
描述 |
|
目的 IP 地址 |
数据包要被送达的目的主机或目的网段的 IP 地址。
IP 地址类型必须与路由类型中的设置匹配。 |
|
目的端口 |
数据包要被送达的目的主机的端口。 |
|
数据类型 |
目前只支持默认的操作日志。 |
|
数据格式 |
外发的数据格式,可选择SYSLOG或者JSON。 |
(4) 单击【确定】按钮,完成操作,如下图所示。
系统配置主要是关于系统参数的配置,主要包括以下内容。
漏洞扫描系统的内置时钟,是系统记录日志信息、下发扫描任务等操作的时间基准,因此时间的精确性会对这些事件产生直接影响。漏洞扫描系统为了解决此类问题提供了系统时间管理功能,管理员可以通过以下两种方式管理系统时间:
· 手动修改系统时间
· 通过时间服务器同步系统时间,将漏洞扫描系统 设备作为 NTP(Network Time Protocol)客户端,根据设定的 NTP 服务器上的时间来同步设备的系统时间。漏洞扫描系统中导入正式证书后,管理员才能配置系统时间。配置系统时间的具体操作如下。
(1) 选择菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“系统时间同步设置”区域如图10-8所示。
图10-8 系统时间设置
时间参数说明如表10-5所示。
表10-5 时间参数
|
参数 |
说明 |
|
同步时间配置 |
设置时间服务器的站点或 IP 地址。 |
|
修改当前时间 |
手动设置漏洞扫描系统设备的当前日期和时间。 时间格式:2013-05-08 10:27:04。 |
(2) 手动设置系统时间。
单击“修改当前时间”右侧文本框中的时间设置图标
,确认日期和时间后,单击【确定】按钮 即可立即将系统时间更新为手动修改的系统时间。
(3) 配置时间同步。
若需与时间服务器时间同步,则需要在“同步时间配置”右侧的文本框中输入时间服务器的站点域名或 IP 地址后,单击【同步】按钮,将系统时间与时间服务器同步。
磁盘中存储的数据达到磁盘状态告警配置中设置的百分比,系统将发出告警,通知管理员。下面介绍配置磁盘状态告警的方法。
(1) 菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“磁盘状态告警配置”区域如图10-9所示。
图10-9 系统状态告警配置
(2) 配置告警百分比,系统默认值为 80%。
(3) 单击【确定】按钮,完成配置。
为了保证漏洞扫描系统设备安全性,防止恶意的多次尝试密码登录,系统设置了登录失败控制功能,管理员可以设置允许的最大登录重试次数、超过最大重试次数后的处理方法,并且可以解锁被锁定的 IP 或帐号。
登录失败设置的具体操作如下。
(1) 选择菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“登录失败配置”区域。如图10-10所示。
图10-10 登录失败配置
(2) 配置参数,登录失败参数说明如表10-6所示。
表10-6 登录失败参数
|
参数 |
说明 |
|
最大重试次数 |
系统允许的最大登录重试次数,可选值为 3~10。 |
|
超过重试次数后
|
超过最大重试次数后系统将会采取的处理方式。可选项有:不处理、锁定IP 和锁定帐号。 |
|
锁定时间(分钟)
|
设定 IP 或帐号的锁定时间,默认为 20 分钟。仅当“超过重试次数后”选择锁定 IP 或锁定帐号时该参数配置生效。 |
(3) 单击【确定】按钮,配置立即生效。
(4) 单击【解锁 ip/帐号】按钮,可选择需要解锁的 ip 或用户账户,并解锁。
为了保证漏洞扫描系统安全,通过设定密码策略控制管理员密码安全系数,从登录源头对系统安全进行控制。
密码策略的具体配置方法如下。
(1) 选择菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“密码策略配置”区域如图10-11所示。
图10-11 密码策略配置
(2) 配置参数,密码策略参数说明如表10-7所示。
表10-7 密码策略参数
|
参数 |
说明 |
|
密码长度 |
管理员密码的最小长度。长度范围 8~32 个字符。 |
|
密码强度
|
漏洞扫描系统管理员密码强度。密码强度范围 1~4。 1:至少包含小写字母、大写字母、数字、特殊字符(@、#、$、^、_)中的 1 种字符。 2:至少包含小写字母、大写字母、数字、特殊字符(@、#、$、^、_)中的 2 种字符。 3:至少包含小写字母、大写字母、数字、特殊字符(@、#、$、^、_)中的 3 种字符。 4:至少包含小写字母、大写字母、数字、特殊字符(@、#、$、^、_)中的 4 种字符。 |
|
密 码 定 期 修 改 周 期 (天) |
漏洞扫描系统管理员密码定期修改的周期。 |
(3) 参数配置完成后,单击【确定】按钮,配置立即生效。
在 漏洞扫描系统执行扫描任务时,为了保证网络的正常使用,可以限制 漏洞扫描系统可以使用最大的带宽。
最大使用带宽的具体配置方法如下:
(1) 选择菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“最大使用带宽配置”区域如图10-12所示。
图10-12 最大使用带宽配置
(2) 配置最大使用带宽(Mbps)参数,取值范围为 1~10000000 的整数。
(3) 单击【确定】按钮,完成配置。
通过 https 安全认证证书可以激活 https 安全认证协议,实现客户端和 漏洞扫描系统之间的数据通信加密,防止数据信息的泄露。
https 安全认证证书的具体导入方法如下:
(1) 选择菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“https 安全认证证书导入”区域如图10-13所示。
https安全认证证书导入
图10-13 https安全认证证书的导入配置
(2) 选择服务器证书(.crt)和服务器证书私钥(.key)。
(3) 单击【确定】按钮,完成配置。
单击【重置】按钮,可以重置为默认安全证书。
WSUS(Windows Server Update Services)是微软公司推出的网络化的补丁分发方案,WSUS 支持微软全部产品的更新,包括 Office、SQL Server 等内容。内部网络中设置WSUS 后,所有 Windows 更新都集中下载到内部网的 WSUS 服务器中,网络中的目标主机通过 WSUS 服务器即可得到更新。既节省了网络资源,避免了外部网络流量浪费,又提高了内网主机更新的效率。下面介绍 WSUS 的设置方法。
(1) 选择菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“WSUS 设置”区域如图10-14所示。
图10-14 WSUS配置
(2) 配置 WSUS 服务器参数,参数说明如表10-8所示。
表10-8 WSUS服务器参数
|
配置项 |
描述 |
|
WSUS |
勾选此项,启用 WSUS 服务器的联动。 |
|
WSUS IP |
WSUS 服务器的 IP 地址。 |
|
安装方式 |
导入 WSUS 联动配置文件之后,升级包的安装方式。 提醒:导入 WSUS 联动配置文件之后,提醒用户是否立即安装升级包; 不提醒:导入 WSUS 联动配置文件之后,直接安装。 |
(3) 单击【确定】按钮,使配置生效。
(4) 单击【下载】按钮,下载压缩包至目标主机,运行压缩包中的 wsus.reg 文件进行注册。
漏洞扫描系统支持 SNMP(Simple Network Management Protocol,简单网络管理协议) 管理,漏洞扫描系统设备可以响应 SNMP 管理主机的查询,向 SNMP 管理主机返回相应的运行状态信息,同时也可以主动地向 SNMP 管理主机发送Agent消息。下面介绍 漏洞扫描系统作为 SNMP 主机时的配置方法。
(1) 选择菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“SNMP Agent设置”区域如图10-15和图10-16所示。
图10-15 SNMP Agent v1v2配置
图10-16 SNMP Agent v3配置
(2) 配置 SNMP Agent参数,参数说明如表10-9所示。
表10-9 SNMP Agent参数
|
配置项 |
说明 |
|
|
状态 |
设备作为 SNMP Agent的状态。可选项有:关闭、开启。 |
|
|
版本 |
设备支持的 SNMP 协议版本。可选项有:v1、v2 和 v3。 |
|
|
团体名 |
SNMP 管理主机访问 漏洞扫描系统设备时使用的团体名。 |
|
|
MIB子树 |
节点访问的权限,1表示可以访问所有节点 |
|
|
读写权限 |
rw表示可以读写,r表示只可读 |
|
|
v1v2 |
来源网络IP |
IPv4 或 IPv6 地址,格式可参考界面的 |
|
v3 |
安全等级 |
SNMP v3 认证的安全级别,可选项有: 不认证不加密 只认证 认证且加密 |
|
认证协议 |
进行认证时使用的认证协议,可选项:MD5 和 SHA。 |
|
|
认证Key |
进行认证时使用的认证密码。密码至少 8 位,由数字和字母组成。 |
|
|
加密协议 |
加密传送信息时使用的加密算法,可选项:DES 和 AES。 |
|
|
加密Key |
进行信息加密时使用的密码。密码至少 8 位,由数字和字母组成。 |
|
(3) 单击【确定】按钮,配置生效。
漏洞扫描系统支持 SNMP(Simple Network Management Protocol,简单网络管理协议) 管理,漏洞扫描系统设备可以响应 SNMP 管理主机的查询,向 SNMP 管理主机返回相应的运行状态信息,同时也可以主动地向 SNMP 管理主机发送Trap消息。下面介绍 漏洞扫描系统作为 SNMP 陷阱主机时的配置方法。
(1) 选择菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“SNMP Trap设置”区域如图10-17和图10-18所示。
图10-17 SNMP Trap v1v2配置
图10-18 SNMP Trap v3配置
(2) 配置 SNMP Trap参数,参数说明如表10-10所示。
表10-10 SNMP Trap参数
|
配置项 |
说明 |
|
|
状态 |
设备作为 SNMP Trap的状态。可选项有:关闭、开启。 |
|
|
版本 |
设备支持的 SNMP 协议版本。可选项有:v1、v2 和 v3。 |
|
|
IP类型 |
SNMP 管理主机的 IP 地址类型,支持 IPv4 和 IPv6。 |
|
|
IP |
IPv4 或 IPv6 地址,格式可参考界面的 |
|
|
端口 |
设备用于和 SNMP 管理主机通信的端口号。 |
|
|
间隔时间(分钟) |
与 SNMP 管理主机通信的间隔时间。 |
|
|
v1v2 |
Community |
SNMP 管理主机访问 漏洞扫描系统设备时使用的团体名 |
|
v3 |
安全等级 |
SNMP v3 认证的安全级别,可选项有: 不认证不加密 只认证 认证且加密 |
|
用户名 |
SNMP v3 用户的名称。至少 8 位,不包含中文及特殊字符。 |
|
|
EngineID |
SNMP 引擎的 SnmpEngineID,十六进制数,长度范围为 10~64 个字符,例0x1234567890。 |
|
|
认证协议 |
进行认证时使用的认证协议,可选项:MD5 和 SHA。 |
|
|
认证Key |
进行认证时使用的认证密码。密码至少 8 位,由数字和字母组成。 |
|
|
加密协议 |
加密传送信息时使用的加密算法,可选项:DES 和 AES。 |
|
|
加密Key |
进行信息加密时使用的密码。密码至少 8 位,由数字和字母组成。 |
|
(3) 单击【确定】按钮,配置生效。
漏洞扫描系统进行扫描时,将跳过端口屏蔽设置中的端口,端口屏蔽设置方法如下。
(1) 选择菜系统管理 > 配置 > 系统配置,进入系统配置页面,“端口屏蔽配置”区域如图10-19所示。
图10-19 端口屏蔽配置
(2) 配置端口屏蔽参数。可配置多个端口(用逗号隔开)及连续端口(例:1233,306,11-200,若要输入多个端口,则多个端口之间使用逗号隔开,并且单个端口应该满足是从1到65535的数字并且不能以0开头)。
(3) 单击【确定】按钮,配置立即生效。
为保证 漏洞扫描系统设备安全性,系统还提供了系统自动退出时间设置。当管理员登录 Web界面对系统进行管理时,如果在设定的自动退出时间内无任何操作,系统将自动退出,管理员再次进行操作时,系统会跳转到登录页面。
下面介绍系统自动退出时间的配置方法。
(1) 选择菜单系统管理 > 配置 > 系统配置,进入系统配置页面,“系统自动退出配置”区域如图10-20所示。
图10-20 系统自动退出配置
(2) 设置自动退出时间。系统自动退出时间设置范围为 0~999999 分钟,0 表示关闭自动退出检查功能,默认系统自动退出时间为 20 分钟。
(3) 单击【确定】按钮,配置立即生效。
为保证 漏洞扫描系统信息备份查看,主要用来看设备版本接口等信息
任务配置主要是任务相关参数的配置,主要包括以下内容。
漏洞扫描系统设备可以存储一定数量的离线报表,以供管理员后期查看,由于设备自身存储空间有限,漏洞扫描系统同时支持使用邮件服务器来辅助存储报表。邮件服务器也可以用于邮件告警。
使用邮件服务器存储离线报表功能以及邮件告警功能的启用都依赖于正确配置报表邮件服务器,下面介绍配置报表邮件服务器的具体方法。
(1) 选择菜单系统管理 > 配置 > 任务配置,进入任务配置页面,“邮件服务器设置”区域如图 10-21所示。
图10-21 邮件服务器设置
(2) 设置邮件服务器参数,参数说明如表10-11所示。
表10-11 邮件服务器设置参数
|
参数 |
说明 |
|
认证方式 |
可选项有:账号认证、用户名认证 |
|
邮件服务器地址 |
邮件服务器的IP地址。地址可以是IP地址(支持IPV4和IPV6),也可以是域名。 |
|
端口 |
邮件服务器用于发送邮件的端口。 |
|
邮箱账号 |
用户登录邮件服务器的邮箱。邮箱账号要求以非@符号开头,至少存在一个@,后面紧接着一个@符,再跟上一个或多个由字母、数字、下划线或连字符组成的子域名部分,最后再连接一个顶级域名,由2到4个字母组成,例如.com,.org,.edu等 |
|
密码 |
用户登录邮件服务器的邮箱密码。 |
(3) 单击【确定】按钮,配置立即生效。
并发任务是指同一时间内多个任务请求可以得到处理,漏洞扫描系统支持系统任务并发,管理员可以设置系统允许的最大并发扫描主机数以及最大并发扫描任务数。系统并发任务数的具体设置步骤如下。
(1) 选择菜单系统管理 > 配置 > 任务配置,进入任务配置页面,“系统并发数配置”区域如图 10-22所示。
图10-22 系统并发数配置
(2) 设置最大并发扫描主机数和最大并发扫描任务数。
· 最大并发扫描主机数是指,同一时间内系统支持执行的单个扫描任务中包含主机的最大数目。
· 最大并发扫描任务数是指,同一时间内系统支持执行扫描任务的最大数目。
(3) 单击【确定】按钮,配置立即生效
漏洞扫描系统 支持用户制定个性化的风险值计算标准,可自由配置的标准包括:
· l 主机风险等级
主机风险等级是按照主机的漏洞、配置风险值对主机进行的风险等级划分。首先漏洞扫描系统按照新华三风险评估模型计算得到主机风险值,然后按照主机风险等级评定标准将主机威胁划分为非常危险、比较危险、比较安全和非常安全四个类别。
· 网络风险等级
网络风险等级是网络中所有主机威胁分值的加权平均值。首先 漏洞扫描系统 按照新华三风险评估模型计算得到网络风险值,然后按照网络风险等级评定标准将网络中所有主机划分为非常危险、比较危险、比较安全和非常安全四个类别。
· 站点风险等级
站点风险等级是根据当前站点的威胁分值计算得出的。首先漏洞扫描系统按照新华三风险评估模型计算得到站点威胁分值,然后按照站点风险等级评定标准,将网络中所有站点划分为非常危险、比较危险、比较安全和非常安全四个类别。
· 主机风险值权重
· 综合风险值根据漏洞风险和配置风险所占比重,按照新华三风险评估模型计算得到。所以首先需要配置漏洞风险和配置风险在评估模型中所占的比例。风险值计算标准的具体配置步骤如下。
(1) 选择菜单系统管理 > 配置 > 任务配置,进入任务配置页面,“风险值计算标准配置”区域如图10-23所示。
图10-23 风险值计算标准配置
(2) 单击【配置】按钮,配置主机风险等级评定标准、网络风险等级评定标准、站点风险等级评定标准和主机风险值权重配置,分别如图10-24、图10-25、图10-26和图10-27所示。
图10-24 主机风险等级评定标准
图10-25 网络风险等级评定标准
图10-26 站点风险等级评定标准
图10-27 主机风险值权重配置
(3) 单击【确定】按钮,保存配置。或者单击【还原默认值】按钮,还原为默认值。
将报表备份到 FTP 服务器功能的实现是以正确配置 FTP 服务器为前提的。配置 FTP 服务器的操作如下所示:
(1) 选择菜单系统管理 > 配置 > 任务配置,进入任务配置页面,“报表 FTP 设置”区域如图10-28所示。
(2) 配置 FTP 服务器参数,参数说明如表10-12所示。
(3) 参数配置完成之后,单击【确定】按钮,使配置生效。
图10-28 报表FTP设置
表10-12 FTP服务器参数
|
配置项 |
描述 |
|
FTP服务器地址 |
FTP 备份服务器的IP 地址。服务器地址可以是IP 地址(支持IPV4和IPV6),也可以是域名。 |
|
FTP服务器编码 |
FTP 服务器存储报表的编码方式,可选项有:GBK、GB18030、UTF-8、GB2312。 |
|
路径 |
将日志信息备份到 FTP 服务器的哪个目录下。根目录使用“/”表示。只允许使用字母、数字、下划线、正斜杠、反斜杠以及点号 |
|
用户名/密码 |
登录 FTP 服务器的用户名及其密码。该帐号必须具有读写权限。 |
管理员可以对部分任务参数的默认值进行统一管理。具体操作如下:
(1) 选择菜单系统管理 > 配置 > 任务配置,进入任务配置页面,“任务默认参数配置”区域如图10-29所示。
图10-29 任务默认参数配置
(2) 选择是否启用默认参数,参数说明如表10-13所示。
表10-13 默认参数
|
配置项 |
描述 |
|
调试模式 |
预防出现扫描任务异常时,可以启用该参数。记录扫描任务的执行信息,当 任务执行异常,导出异常信息并发送给新华三的技术支持人员进行错误分析。 |
|
口令猜测 |
开启口令猜测后,若未对主机进行登录扫描,漏洞扫描系统将根据密码字典的内容对扫描目标进行口令破解。 |
|
oracle 漏洞深度扫描 |
不启用:漏洞扫描系统只报出 oracle 相关服务识别和原理扫描漏洞。 启用:漏洞扫描系统报出所有漏洞,包括本地 oracle 漏洞。此时需要新建认证信息,启用并配置漏扫策略的 Oracle 相关参数。 |
|
登录检查 |
启用后,在新建评估任务时,默认启用“登录检查”主机的配置是否合规。 |
(3) 操作后,弹出配置成功对话框,单击【确定】按钮,完成配置。
管理员通过服务配置功能模块,可以对 漏洞扫描系统设备的证书系统、系统升级、系统还原、系统服务进行管理。
漏洞扫描系统支持手动升级和在线升级。手动升级方式下,管理员需要获取设备升级包后手动安装;在线升级方式下,管理员只需配置在线升级参数,当系统在指定时间检查到升级服务器中有最新的升级包时可以进行在线升级。
当 漏洞扫描系统设备无法正常连接到升级服务器时,通常需要管理员手动升级设备。手动升级 漏洞扫描系统设备的操作如下。
(1) 访问H3C的升级网站http://www.h3c.com/获取升级包,并将其保存到本地。
(2) 登录 漏洞扫描系统设备的 Web 界面,选择菜单系统管理 > 服务 > 系统升级,或者单击页面右上方快捷键操作栏中的,进入系统升级管理页面,“手动升级”区域如图10-30所示。
图10-30 手动升级
(3) 单击【浏览】按钮,在弹出的选择升级包对话框中选择升级包文件。
(4) 单击【升级】按钮,系统立即进行系统升级。
系统升级时将显示进度条。升级需要花费一定时间,请耐心等待,服务重启完成后再进行其他 操作。
若 漏洞扫描系统设备能够与升级服务器正常连接通信,则可以采用以下两种在线升级方法:
· 全在线升级
管理员配置定时升级参数后,系统定时自动检查升级服务器中是否有新的升级包,并在检测到新升级包后自动升级。
· 半在线升级
系统自动检查到升级服务器中有新的升级包,将提示信息显示在 Web 管理页面右下角,管理员看到提示信息后可自行升级系统。
全在线升级
设置系统定时全在线升级的操作如下。
(1) 选择菜单系统管理 > 服务 > 系统升级,或者单击页面右上方快捷键操作栏中的
,进入系统升级管理页面,“定时升级”区域如图10-31所示。
图10-31 定时全在线升级设置
(2) 配置全在线升级参数,参数说明如表10-14所示。
表10-14 定时全在线升级参数
|
配置项 |
描述 |
|
升级周期 |
每天一次,系统每天检查一次升级服务器中是否有新的升级包。 |
|
更新时间 |
系统每天检查升级服务器中是否有新的升级包的时间。更新时间的格式如 12:38。 |
|
安装方式 |
指检查到升级服务器中有新升级包时,升级包的安装方式。 自动安装:如果检查到了新升级包,则将其提交到升级队列,然后系统会在线升级。 提醒:检测到新升级包不自行更新,而是通过 Web 管理界面右下角弹出的提示框提醒管理员。 关闭自动更新:禁用定时在线升级功能。 若选择提醒,则属于半在线升级 |
|
HTTP代理 |
当 漏洞扫描系统设备需要通过 HTTP 代理才能连接到升级服务器时,必须勾选“使用”,然后配置代理服务器的地址、端口、登录用户名和登录密码。 |
(3) 单击【确定】按钮,配置生效。
系统按照设定的时间点检查升级服务器,并在检查到新版升级包后自动升级设备。
半在线升级
半在线升级是介于手动升级和全自动升级之间的情况,即系统自动检查到升级服务器中有新的升级包,将提示信息显示在 Web 管理页面右下角,管理员看到提示信息后自行升级系统。下面详细介绍如何通过半在线升级方式对系统升级。
(4) 按照图10-31,将安装方式选择为“提醒”,然后再配置其他升级参数即可。
(5) 参数设置完成后,单击【确定】即可。
系统检查升级服务器,检查到新升级包后,在 Web 管理页面底部状态栏中显示提示信息,如图10-32所示。单击【有可用升级包】,进入系统升级管理页面,管理员可以根据需要升级设备
图10-32 升级提醒
通过漏洞扫描系统提供的系统还原或系统快照功能,管理员可以便捷的对系统进行备份,或者把当前系统恢复到先前的某一状态。系统还原和系统快照的区别如下:
· 系统还原:备份配置文件和数据库等文件。只能在同一个版本之间进行系统还原。
· 系统快照:备份整个磁盘的所有文件。可以在相同或不同的版本之间进行系统恢复。
管理员只能手动创建还原点文件,并保存到系统内部。系统中最多只能保存一份还原点文件,管理员可以将该还原点文件导出到本地进行保存。还原点名称中包含产品版本、备份时间等信息。
创建还原点
下面主要介绍如何创建还原点。
(1) 选择菜单 系统管理 > 服务 > 系统还原,进入系统还原管理页面,如图10-33所示。若已经创建过用户还原点,则页面中可见管理员最近一次手动创建的还原点文件。
图10-33 系统还原管理页面
(2) 单击【创建】按钮,弹出确认创建还原点对话框。
(3) 单击【确定】按钮进行还原点创建。新创建的还原点将覆盖系统内部保存的上一次创建的还原点。
导出还原点文件
由于漏洞扫描系统内部只能保存一份最新的用户还原点文件,所以建议管理员将每次创建的还原点文件导出到本地进行备份,后续即可通过将备份的还原点文件导入系统的方法,使当前系统恢复到相同系统版本的任意还原点文件记录的状态。
导出还原点文件的具体步骤如下:
(4) 在如图10-33所示页面中,单击还原点文件名称,弹出文件下载窗口。
(5) 根据系统提示,将还原点文件导出到本地指定路径下进行备份即可。
还原系统
“还原系统”功能用于将当前系统还原到先前某一个还原点保存的状态,需要注意的是,只能还原与当前系统具有相同系统版本的还原点文件。
漏洞扫描系统还原到某个还原点有以下两种方式:
· 使用系统内部保存的还原点文件
该方法只能将系统还原到最近一次还原点文件备份的系统状态。在如图10-33所示页面中,单击“用户还原点”右侧的【还原】按钮,可以将系统还原到最近一次管理员手动备份的还原点状态。
· 使用管理员导出到本地的还原点文件。
该方法可以将整个系统还原到任意一次还原点文件备份的系统状态。
a. 在如图10-33所示页面中,单击【浏览】按钮,选择管理员备份的某个还原点文件。
b. 单击【还原】按钮,即可将整个系统还原到该还原点文件中的系统状态。
创建系统快照有以下两种方式:
· 自动创建系统快照
漏洞扫描系统定期于每周一 6:00 自动备份一份系统快照文件,并保存在系统内部。
系统中最多只能保存一份系统快照文件。
· 手动创建用户快照
管理员可以手动创建用户快照文件及快照描述,并保存到系统内部。系统中最多只能保存一份用户快照文件。系统快照的创建和恢复操作与系统还原相同,此处不再赘述,请参考系统还原的相关介绍。
通过 漏洞扫描系统提供的系统服务功能,管理员可以便捷开启 DNS 缓存、诊断日志 Debug 模式,下载诊断日志,进行网络抓包。
为提高 Web 扫描性能,系统提供 DNS 缓存功能,即将已扫描域名对应 IP 缓存到本地,DNS 缓存每 15 分钟更新一次。默认该功能不开启。
开启 DNS 缓存功能的操作如下:
(1) 选择菜单系统管理 > 服务 > 系统服务,DNS 缓存区域如图10-34所示。
图10-34 DNS缓存
(2) 单击【开启】按钮,启用 DNS 缓存功能。若系统显示“已开启”即表示操作成功。
系统默认记录 INFO 及以上级别的诊断日志,开启诊断日志 Debug 模式后,则记录 Debug 及以上级别的诊断日志。
开启诊断日志 Debug 模式的操作如下:
(1) 选择菜单系统管理 > 服务 > 系统服务,诊断日志 Debug 模式区域如图10-35所示。
图10-35 诊断日志Debug模式
(2) 单击【开启】按钮,启用诊断日志 Debug 模式。若系统显示“已开启”即表示操作成功。
当系统出现问题时,管理员可以下载诊断日志,并将其提交给H3C技术支持人员以便分析系统问题,建议管理员忽略诊断日志的内容。
下载诊断日志的操作如下:
(1) 选择菜单系统管理 > 服务 > 系统服务,诊断日志区域如图10-36所示。
图10-36 诊断日志
(2) 根据需要勾选 Web 日志、后台日志、关键日志。
(3) 单击【下载日志】按钮,下载诊断日志至本地。
漏洞扫描系统支持从设备接口直接抓包,用于分析、调试问题。
(1) 选择菜单系统管理 > 服务 > 系统服务,网络抓包区域如图10-37所示。
图10-37 网络抓包
(2) 单击【开始抓包】按钮,漏洞扫描系统设备开始进行数据抓包。 漏洞扫描系统设备将对所有通过处于启用状态的网络接口的数据进行抓包。
(3) 单击【结束抓包】按钮,结束抓包。 系统默认一次最多抓取 100 万个数据包,达到最大数据包前未手动停止抓包,漏洞扫描系统设备将强制停止抓包。
(4) 单击下方的蓝色链接文字,下载抓取的数据包。
初始状态下,系统中只有系统管理员 admin 以及审计管理员 auditor 两个系统用户,出厂的系统用户信息请参见Web配置指导。系统管理员 admin 可以新建两种角色(系统用户和普通用户)的用户。 漏洞扫描系统中共有两类用户:系统用户和普通用户。
· 系统用户
系统用户又分为系统自带和后期新建两类:
¡ 漏洞扫描系统的自带用户,包括系统管理员 admin 和审计管理员 auditor;
¡ 只有系统管理员 admin 具有创建新的系统用户的权限,新的系统用户即用户角色为“系统管理员”的用户。
· 普通用户
只有系统管理员 admin 拥有创建普通用户的权限,普通用户即用户角色为“普通管理员”的用户。系统管理员 admin 可以为普通用户分配操作权限。
本节主要内容包括:用户权限、添加用户、修改用户以及删除用户。
不同管理员对漏洞扫描系统设备拥有不同的管理权限,其中:
· 系统自带系统管理员 admin 和审计管理员 auditor 的权限已限定;
· 系统管理员 admin 创建的新的角色为系统管理员的用户默认拥有除日志管理和用户管理之外的所有权限,且其权限可根据实际需要进行编辑分配;
· 系统管理员 admin 创建的新的角色为普通管理员的用户拥有默认权限,且权限可根据实际需要进行编辑分配。具体的用户权限如表10-15所示
表10-15 用户权限
|
用户角色 |
权限 |
|
系统管理员(admin) |
1)仪表盘的全部权限; 2)告警平台的全部权限 3)资产管理的全部权限 4)任务管理(新建任务、任务列表)的全部权限; 5)报表输出的全部权限; 6)认证管理的全部权限 7)模板管理的全部权限; 8)系统管理的全部权限; 9)用户管理的权限(创建、编辑、删除、禁用/启用新建的系统管理员 和普通管理员、编辑 admin 用户信息、查看所有新建的系统管理员和普通管理员信息)。 |
|
审计管理员(auditor) |
1)日志审计的全部权限; 2)日志管理的全部权限; 3)查看和修改自身用户信息的权限。 |
|
新建的系统管理员(只能由admin 创建) |
系统管理员的权限分为以下情况: 1)系统管理员 admin 新建用户时若未为其分配权限,则默认拥有仪表盘、告警平台、资产管理、任务管理(新建任务、任务列表)、报表输出、认证管理、模板管理、误报修正、系统管理中除用户管理之外的全部权限。查看和修改自身用户信息的权限。 2)系统管理员 admin 新建用户时为其分配了权限,则拥有指定的权限。查看和修改自身用户信息的权限。 |
|
普 通 管 理 员 ( 只 能 由admin 创建) |
普通管理员的权限分为以下情况: 1)系统管理员 admin 新建用户时若未为其分配权限,则默认只拥有查看仪表盘、资产管理、告警平台、任务管理(新建任务、任务列表)、报表输出、离线检查、认证管理、模板管理、系统状态、常用工具的权限。查看和修改自身用户信息的权限。 2)系统管理员 admin 新建用户时为其分配了权限,则拥有指定的权限。查看和修改自身用户信息的权限。 |
漏洞扫描系统设备中,只有系统管理员 admin 具有新建用户的权限。
添加用户的操作如下所示:
(1) 选择菜单系统管理 > 用户,进入管理员列表页面,如图10-38所示。
图10-38 管理员列表
(2) 单击列表右上角的【添加】按钮,弹出添加管理员对话框,如图10-39所示。
图10-39 添加管理员
(3) 配置管理员参数,参数说明如表 11-16 所示。
表10-16 管理员配置参数
|
配置项 |
描述 |
|
管理员账号 |
管理员登录系统时输入的用户名。 管理员帐号必须以字母开头,并且是字母与数字、下划线的组合,不能超过20 个字符。 |
|
管理员姓名 |
管理员的姓名。不能超过 20 个字符。 |
|
密码 |
管理员登录漏洞扫描系统设备Web 管理页面的密码。有关密码安全性的配置请参见密码策略配置的相关介绍。 |
|
密码确认 |
再次输入管理员的登录密码确认。 |
|
电子邮箱 |
新建管理员的电子邮箱,邮箱账号要求以非@符号开头,至少存在一个@,后面紧接着一个@符,再跟上一个或多个由字母、数字、下划线或连字符组成的子域名部分,最后再连接一个顶级域名,由2到4个字母组成,例如.com,.org,.edu等 |
|
用户角色 |
管理员帐号隶属的用户角色。从下拉框中选择,可选项有系统管理员和普通管理员。 |
|
用户权限 |
管理员帐号拥有的操作权限。从下拉框中选择,可多选。 用户角色为系统管理员时,可在所有模块权限中任意配置。 用户角色为普通管理员时,系统默认普通管理员拥有部分权限(认证管理、系统状态和常用工具等),可根据需要添加其他三项权限(资产管理、数据接口和证书管理)。 |
|
允许登录 IP 范围 |
管理员允许登录系统的 IP 范围(*.*.*.*;::表示任意 IP 地址)。支持 IPV4 地址和 IPV6 地址,多个 IP 范围或多个独立 IP 之间用逗号、分号、回车空行或空格分隔,单个 IP 地址前的“!”表示排除此 IP 地址。 IPV4 的格式如下: 192.168.1.1 192.168.1.1-254 192.168.1/24 192.168.1.* 192.168.1-10.* !192.168.1.1 IPV6 格式如下: 2001::db8:2003 2001::db8:2003/96 !2001::db8:2003 |
|
允许扫描的IP 范围 |
管理员被允许进行扫描的 IP 范围。 IP 地址的设置注意事项与“允许登录 IP 范围”一致,请参见表格上一行。 |
(4) 单击【确定】按钮,完成添加。
用户操作包括:启用/禁用用户、编辑用户和删除用户。
新添加的管理员默认是处于启用状态的,管理员列表中状态栏显示图标
的管理员即为启用状态的帐号,显示为图标
的管理员即为禁用状态的帐号。系统管理员admin 可以根据需要修改自己添加的用户的状态。
禁用用户
(1) 在管理员列表中选择需要禁用的管理员,单击对应操作栏中的禁用图标
,弹出确认禁用对话框,如图10-40所示。
图10-40 确认禁用用户
(2) 单击【确定】按钮确认禁用,管理员列表中该用户状态栏中显示为禁用。
启用用户
(3) 在管理员列表中选择需要启用的管理员,单击对应操作栏中的启用图标,弹出确认解禁启用用户对话框,如图10-41所示。
图10-41 确认解禁用户
(4) 单击【确定】按钮确认解禁启用,管理员列表中该用户状态栏中显示为启用。
每个管理员均可以查看并修改自身信息,系统管理员 admin 可以查看、修改自身以及新创建的用户帐号信息。
系统管理员 admin 之外的管理员只能通过单击快捷键操作栏中的用户名修改自身信息,
系统管理员 admin 修改用户信息的操作如下所示:
(1) 选择菜单系统管理 > 用户,进入管理员列表页面。
(2) 单击待修改管理员右侧的操作栏中的图标 ,弹出修改窗口,如图10-42所示。
图10-42 修改管理员信息
(3) 修改管理员信息
¡ 系统管理员 admin 以及其他管理员修改自身信息时,可编辑除“管理员帐号”、“用户权限”、“用户角色”以及“允许扫描的 IP 范围”之外的所有信息。
¡ 系统管理员 admin 修改其他管理员信息时,可编辑除“管理员帐号”之外的所有信息。
(4) 管理员信息编辑完成之后,单击【确定】按钮,弹出保存成功提示框。
(5) 单击提示框中的【确定】按钮完成修改
系统管理员 admin 有删除新建管理员帐号的权限。具体删除操作如下所示:
(1) 选择菜单系统管理 > 用户,进入管理员列表页面。
(2) 单击待删除管理员右侧操作栏中的删除图标 ,弹出确认删除对话框,如图10-43所示。
图10-43 确认删除管理员
(3) 单击【确定】按钮,即可删除该管理员帐号。
漏洞扫描系统提供常用工具用于设备的诊断和排错,本节介绍常用工具的使用方法。
选择菜单系统管理 > 常用工具,即可使用常用工具查看当前网络的连接状态和网卡状态等信息。
Ping 命令用于检测设备存活或与网络中其他设备的连接情况,帮助分析、判定网络故障。在文本框中输入 IPv4 地址、IPv6 地址或主机名,单击【Ping】按钮,稍后可见执行结果,如图10-44所示。
图10-44 Ping工具
单击图标
可停止执行当前命令,勾选/反选“滚动”可选择是否滚动输出 Ping 命令的执行结果。
Traceroute 命令即路由追踪,用于侦测 漏洞扫描系统设备到达目标主机所经过的路由条数。在文本框中输入目标主机的 IPv4 地址、IPv6 地址或主机名,单击【Traceroute】按钮,稍后可见执行结果,如图10-45所示。
图10-45 Tracetoute工具
单击图标
可停止执行当前命令,勾选/反选“滚动”可选择是否滚动输出 Traceroute 命令的执行结果
Dig 是 Bind 工具的一部分(Bind 工具官方网站 http://ww.isc.org),用于从 DNS 服务器中收集信息并进行故障诊断。在文本框中输入 DNS 服务器的 IPv4 地址、IPv6 地址或主机名,单击【Dig】按钮,稍后可见执行结果,如图10-46所示。
图10-46 Dig工具
单击图标
可停止执行当前命令,勾选/反选“滚动”可选择是否滚动输出 Dig 命令的执行结果。
Nmap(Network Mapper)即端口扫描,是 Linux 环境下的网络扫描和嗅探工具。主要有以下三个功能:
· 探测主机是否在线;
· 扫描主机端口,嗅探端口提供的网络服务;
· 推断主机所用的操作系统。在文本框中输入即将扫描主机的 IPv4 地址、IPv6 地址或主机名, 单击【Nmap】按钮,稍后可见执行结果,如图10-47所示。
图10-47 Nmap工具
单击图标
可停止执行当前命令,勾选/反选“滚动”可选择是否滚动输出 Nmap命令的执行结果。
Telnet 是 Internet 远程登录服务的标准协议和主要方式,主要用于远程管理设备。配置主机、端口(Telnet 默认使用 23 端口)、用户名、密码和命令后单击【执行】按钮,若用户名及密码正确,则输出命令执行结果,如图10-48所示。
图10-48 Telnet工具
单击图标
可停止执行当前命令,勾选/反选“滚动”可选择是否滚动输出 Telnet命令的执行结果。
SSH 工具是一种基于 SSH 协议对 漏洞扫描系统进行远程管理的工具。配置主机、端口(SSH 默认使用 22 端口)、用户名、密码和命令后单击【执行】按钮,若用户名及密码正确,则输出命令执行结果,如图10-49所示。
图10-49 SSH工具
单击图标
可停止执行当前命令,勾选/反选“滚动”可选择是否滚动输出SSH命令的执行结果。
路由信息是 漏洞扫描系统中的实时路由信息,如图10-50所示。
图10-50 路由信息
CURL 是利用 URL 语法在命令行方式下工作的文件和数据传输工具,支持很多协议,如 FTP、FTPS、HTTP、HTTPS 等。目前漏洞扫描系统只支持用户通过使用cURL 7.15.1 来获取站点信息。在文本框中输入目标站点的URL(支持的格式请参见界面说明),单击【Curl】按钮,获取的站点信息如图10-51中Curl 输出所示。
图10-51 CURL
单击图标
可停止执行当前命令,勾选/反选“滚动”可选择是否滚动输出CURL命令的执行结果。
审计员 auditor 登录系统后,可以进行的日志审计主要包括查询日志和日志操作。
通过查看各类日志信息,可以帮助审计员获取以下 系统 相关信息:
· 登录日志
了解设备的登录情况(包括登录成功、登录失败以及退出登录),及时发现未授权用户的尝试登录。
· 操作日志
审查所有管理员的操作行为,包括证书管理、网络配置、用户管理等等。
· 异常日志
系统日志记录了解系统异常情况(包括网络不通、引擎异常、系统异常重启以及导致系统无法正常工作的各种异常日志),有助于解决系统错误。
· 升级日志
系统版本及版本升级情况。
审计员可以通过设定查询条件,查看符合查询条件的日志。下面介绍查询日志的方法。
步骤 1 选择菜单 日志管理 > 日志审计,进入日志审计页面,如下图所示。
步骤 2 单击查询 ,展开日志查询条件设置区域。
步骤 3 配置查询条件。
日志查询条件的参数说明如下表所示。
|
参数 |
描述 |
|
起止时间 |
按照日志产生的起止时间进行日志过滤。 |
|
日志类型 |
按照日志类型进行日志过滤。包括:登录日志、操作日志、异常日志和升级日志。 |
|
管理员帐号 。 |
按照管理员登录系统进行操作的帐号进行日志过滤。 |
|
登录 IP |
按照管理员登录系统进行操作的 IP 地址进行日志过滤。 |
步骤 4 单击【查询】按钮,查看符合条件的日志信息。
漏洞扫描系统支持审计员手动备份日志,审计员可以按照设定的日志备份方式将系统所有类
型的日志以.txt 格式备份到设备、FTP 服务器中,以便导出、查看日志,分析系统运行
状况。
下面主要介绍手动备份日志的具体方法。
步骤 1 选择菜单 日志 管理 > 日志审计,进入日志审计页面
步骤 2 在日志列表的右上/下方,单击【备份】按钮,弹出备份选项框,如下图所示。
步骤 3 设置备份选项,参数说明如下表所示。
|
参数 |
描述 |
|
备份范围 |
备份日志的范围。 l 备份全部:备份当前系统内的所有日志记录。 l 备份当前条件下的日志:备份满足查询条件的日志记录。 |
|
日志类型 |
日志备份后的操作。 l 备份后删除:日志备份后删除已备份的日志记录。 l 备份后不删除:日志备份后保留已备份的日志记录。 |
步骤 4 单击【确定】按钮,开始备份。
在日志列表的右上/下方,单击【清空】按钮,确认清空所有日志后,即可直接清空所有
的日志。
审计员 auditor 可以对漏洞扫描系统的日志管理方式进行配置,包括设置日志备份方式、
日志备份阈值等。
日志备份阈值用于判定 设备是否需要进行日志备份,当备份周期达到时或者设
备中的日志条数达到设定数目时,系统将按照设定的备份方式自动进行备份或通知管理
员进行手动备份。
步骤 1 选择菜单 日志管理 > 日志配置,进入日志配置界面,日志阈值设置区域如下图 所示。
步骤 2 设置备份周期。
系统将按照设定周期进行自动备份并清空日志。范围为 1~365 天,系统默认 30 天。
步骤 3 设置日志备份条数阈值。
设备记录的日记条数达到阈值后,将自动备份并清空日志。阈值范围为 5000~50000 条,
系统默认 5000 条。
步骤 4 单击【保存】按钮,完成配置。
设备自身支持存储一定量的日志信息,但是为了避免日志文件占用磁盘空间过
大的问题,审计员可以将其备份到专用 FTP 备份服务器中。 日志备份支持手动
备份和自动备份两种方式
自动备份方式下,当备份条件满足时,系统自动将所有日志信息备份到设定的 FTP 服务
器地址,同时清空“日志审计”中的相关日志,无需人工干预。
步骤 1 选择菜单 日志管理 > 日志配置,进入日志配置界面,自动备份方式设置如下图 所
示。
步骤 2 配置 FTP 服务器参数。
|
参数 |
描述 |
|
FTP 服务器地址 |
用于备份日志的 FTP 服务器的地址。地址可以是 IPv4 地址或 IPv6 地址。 |
|
FTP 服务器编码 |
服务器编码 FTP 服务器采用的编码格式。可选项有:GBK、GB18030、UTF-8、GB2312。 |
|
FTP 文件路径 |
日志文件在 FTP 服务器上存储的具体目录。 根目录使用“/”表示。 |
|
日志文件。 |
登录 FTP 服务器的用户名。 该帐号必须具有读写权限 |
|
FTP 登录密码 |
登录 FTP 服务器的用户密码。 |
步骤 3 单击【保存】按钮,完成配置。
审计员 auditor 手动备份日志信息时,只能将日志备份到访问 设备使用的用户
本地电脑上。当 设备中存储的日志达到或将要达到设定阈值后,审计员登录
Web 管理界面系统将提示进行日志手动备份。
步骤 1 选择菜单 日志管理 > 日志配置,进入日志配置界面,手动备份方式设置如下图所
示
步骤 2 单击【保存】按钮,保存手动备份方式
支持
