- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-漏洞扫描典型配置
本章节下载: 05-漏洞扫描典型配置 (716.02 KB)
H3C SecCloud OMP安全云管理平台
漏洞扫描典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解漏洞扫描特性。
对于按次申请的漏扫设备漏洞知识库,若需进行更新,需要将设备侧漏洞知识库的Excel模板下载下来,然后在系统管理员端导入漏扫的漏洞知识库进行更新。安全云同步漏洞知识库功能及漏洞扫描设备上查看安全云下发的任务列表功能,对漏洞扫描设备版本存在限制,需E6903P01及以上版本。
对于按设备申请的漏洞扫描设备是在CAS平台创建的虚拟机,在创建过程前需要保证授权服务器信息已经配置且授权服务器上有对应的License。
某租户需要通过按次申请漏洞扫描服务用于扫描内网漏洞,提高业务的安全性,网络中已存在物理漏洞扫描设备。
图1 漏洞扫描组网图
漏洞扫描一般部署在运维管理区,与扫描对象保持IP可达,通过配置扫描任务对网络中的系统、数据库、Web应用等进行全面、深入的检测,同时生成相应的漏洞扫描报表,用户根据这些报表中的解决方案来对目标系统和应用做相应的加固和防护,及时将网络的安全风险降到最低。
本举例是在H3C SecCloud OMP E1206及H3C SecPath-SysScan Version 3.10 E6903P05版本上进行配置和验证的。
在开始配置操作前,请确保该设备上无和当前组网需求冲突的配置内容,如存在放行所有报文的安全策略,否则本举例中的相关配置不会生效。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 安全资源池 > 漏洞扫描资源池”。
(3) 单击<新建>按钮,完成如下参数配置。
· 资源名称:用于区别不同设备,用户自行填写。
· 型号:选择默认型号“H3C SecPath SysScan系列”即可。
· URL:输入漏洞扫描设备的IP地址;端口号使用默认值8888即可。
· 管理员用户名:非设备页面登录账号,使用默认值即可。
· 密码:非设备页面登录账号,使用默认值即可。
· 资源概况:该设备的License授权情况,包括可用IP数及各模块授权状态,由系统自动获取。
· 指定组织:“不限制用户”可将硬件资源共享给所有组织和用户使用;“指定租户”能够将该硬件资源指定给特定的组织或者用户去使用。
图2 配置漏洞扫描资源池实例
(4) 单击<确定>按钮,完成漏洞扫描资源池实例创建。
(1) 使用组织管理员或系统管理员账号登录系统。
(2) 选择“安全市场”菜单,单击漏洞扫描对应的<立即开通>按钮,进入漏洞服务订购页面,资源类型选择按次申请,按照如下内容完成参数配置。
· 选择用户:系统管理员可以给当前系统所有用户创建漏洞扫描服务,租户管理员可以选择给当前组织里面的所有用户创建漏洞扫描服务。
· 类型:用户可根据需要选择对应的扫描类型,不同类型对应的策略模板会有所不同。
· 名称:用户自行填写。
· 扫描次数:固定的可选扫描次数规格为:1、10、50、100、150、200,次数规格可选的条件是小于已添加的所有资源在对应扫描类型下的最大的扫描数值。
图3 漏洞扫描订购页面
(3) 单击<下一步>按钮,提交创建漏洞扫描服务订单申请。
(4) 使用系统管理员账号登录系统。
(5) 选择“运营管理 > 审核订单”,在审核订单页面找到对应的未审核订单,单击<同意>按钮,提交订单审批意见,完成创建漏洞扫描服务。
(6) 选择“服务管理 > 漏洞扫描”,进入漏洞扫描服务列表页面,可查看所创建的漏洞扫描服务。
图4 漏洞扫描服务列表
(7) 在服务的操作栏内单击扫描按钮,进入扫描任务的创建页面,按照如下内容完成参数配置,
· 选择用户:同服务用户。
· 任务名称:扫描任务名称
· 扫描地址:要扫描的系统地址
· 策略模板:扫描类型所对应的执行策略
· 扫描计划:扫描任务的执行时机
· 是否认证:选择是否认证,如需要则要填认证参数
图5 扫描任务新增页面。
任务下发后,漏洞扫描的服务状态是正常运行,进度不停更新直至100,服务状态变更为完成,可查看该任务的扫描报告。
某租户需要通过创建VNF类型漏洞扫描服务用于扫描内网漏洞,提高业务的安全性,漏洞扫描设备虚机借助CAS平台实现与外部网络设备网络可达。
图6 漏洞扫描组网图
漏洞扫描一般部署在运维管理区,业务网与扫描对象保持IP可达,通过配置扫描任务对网络中的系统、数据库、Web应用等进行全面、深入的检测,同时生成相应的漏洞扫描报表,用户根据这些报表中的解决方案来对目标系统和应用做相应的加固和防护,及时将网络的安全风险降到最低。
本举例是在H3C SecCloud OMP E1206及H3C SecPath-SysScan Version 3.10 E6202P04版本上进行配置和验证的。
· 在开始配置操作前,请确保该设备上无和当前组网需求冲突的配置内容,如存在放行所有报文的安全策略,否则本举例中的相关配置不会生效。
· 创建虚拟漏扫设备需提前制作好各规格对应的模板或直接导入虚拟机模板,导入时注意修改vSwitch为现场CAS实际存在的vSwitch。
· 基于虚拟漏扫模板创建服务前,需保证安全云与虚拟漏扫管理网所属网段、授权服务器三者网络可达。
· 为了能使虚拟漏扫扫描授权成功,则需保证授权服务器相关参数已经正确配置,已导入对应的License,且数目足够。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 安全资源池 > CAS资源池”,进入CAS资源池页面。
(3) 单击<下一步>按钮,进入模板配置页面,配置漏扫扫描设备模板。
图7 模板配置
(4) 单击<下一步>按钮,然后再单击<确定>按钮,完成漏洞扫描资源池实例创建。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 地址池 > 管理网地址池”,进入管理网配置页面,配置网络参数。
图10 管理网地址池配置
(3) 单击<完成>按钮,完成配置。
(4) 选择“资源管理 > 地址池 > 业务网地址池”,进入配置页面,配置网络参数。
图11 业务网地址池配置
(5) 单击<完成>按钮,完成配置。
(1) 使用组织管理员或系统管理员账号登录系统。
(2) 选择“安全市场”菜单,单击漏洞扫描对应的<立即开通>按钮,进入漏洞服务订购页面,资源类型选择按设备申请,按照如下内容完成参数配置。
· 选择用户:系统管理员可以给当前系统所有用户创建漏洞扫描服务,租户管理员可以选择给当前组织里面的所有用户创建漏洞扫描服务。
· 名称:服务名称。
· 规格:漏洞扫描设备规格值,可选基础版、专业版、企业版、旗舰版。
· 开通时长:开通服务的时间长度。
图12漏洞扫描订购页面
(3) 单击<下一步>按钮,提交创建漏洞扫描订单申请。
(4) 使用系统管理员账号登录系统。
(5) 选择“运营管理 > 审核订单”,在审核订单页面找到对应的未审核订单,单击<同意>按钮,提交订单审批意见,完成创建漏洞扫描服务。
(6) 选择“服务管理 > 策略管理 > 漏洞扫描>扫描设备”,进入漏洞扫描设备列表页面,可查看所创建的漏洞扫描设备。
图13漏洞扫描设备列表
(7) 在服务的操作栏内单击单点登录按钮,进入漏扫扫描设备系统的Web页面,可在该页面的新建任务菜单完成扫描任务的创建
任务下发后,进度不停更新直至100,可查看该任务的扫描报告。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
