- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-网络资产扫描命令
本章节下载: 15-网络资产扫描命令 (183.39 KB)
目 录
1.1.8 weak-password-scan enable
1.1.10 weak-password-scan password
1.1.11 weak-password-scan service
1.1.12 weak-password-scan user
asset-scan命令用来进入资产扫描视图。
undo asset-scan命令用来删除资产扫描视图下的所有配置。
【命令】
asset-scan
undo asset-scan
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 进入资产扫描视图。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan]
auto-scan enable命令用来开启自动资产扫描功能。
undo auto-scan enable命令用来关闭自动资产扫描功能。
【命令】
auto-scan enable
undo auto-scan enable
【缺省情况】
自动资产扫描功能处于关闭状态。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
网络资产扫描功能用来对指定IP地址或IP地址范围中的主机、服务器和设备进行扫描分析,判断其是否存在开放端口、弱密码等风险因素,用户可根据扫描结果巩固设备的安全配置(如关闭无需开放的端口、提升密码的安全强度等)。
开启自动资产扫描功能后,设备将按扫描计划自动对指定IP地址或IP地址范围发起网络资产扫描。
【举例】
# 开启自动资产扫描功能。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] auto-scan enable
【相关命令】
· weak-password-scan enable
· ip
· ipv6
· schedule every
· tcp-port
· udp-port
ip命令用来配置网络资产扫描的目标IPv4地址段。
undo ip命令用来删除网络资产扫描的目标IPv4地址段。
【命令】
ip { subnet ip-address mask-length | range start-address end-address }
undo ip { subnet ip-address mask-length | range start-address end-address }
【缺省情况】
不存在网络资产扫描的目标IPv4地址段。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【参数】
subnet ip-address mask-length:指定IPv4网段,其中ip-address表示IPv4网络地址,mask-length表示子网掩码长度,取值范围为1~32。
range start-address end-address:指定IPv4地址范围。start-address表示起始IPv4地址,end-address表示结束IPv4地址,起始IPv4地址不得大于结束IPv4地址,如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
一个目标IPv4地址段是多个目标IPv4地址的集合。开启网络资产扫描功能后,设备对目标IPv4地址段中的所有地址进行网络资产扫描。
多次执行本命令可以配置多个目标IPv4地址段,多个目标IPv4地址段不能互相重叠。
如果未配置网络资产扫描的目标IPv4/IPv6地址段,网络资产扫描功能不生效。
【举例】
# 将192.168.1.1/24网络配置为网络资产扫描的目标IPv4地址段。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] ip subnet 192.168.1.1 24
【相关命令】
· auto-scan enable
· weak-password-scan enable
· ipv6
ipv6命令用来配置网络资产扫描的目标IPv6地址段。
undo ipv6命令用来删除网络资产扫描的目标IPv6地址段。
【命令】
ipv6 { subnet ipv6-address prefix-length | range start-address end-address }
undo ipv6 { subnet ipv6-address prefix-length | range start-address end-address }
【缺省情况】
不存在网络资产扫描的目标IPv6地址段。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【参数】
subnet ipv6-address prefix-length:指定IPv6网段,其中ipv6-address表示IPv6地址前缀,prefix-length表示前缀长度,取值范围为112~128。
range start-address end-address:指定IPv6地址范围。start-address表示起始IPv6地址,end-address表示结束IPv6地址,起始IPv6地址与结束IPv6地址的高112位必须相同,且起始IPv6地址不得大于结束IPv6地址,如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
一个目标IPv6地址段是多个目标IPv6地址的集合。开启网络资产扫描功能后,设备对目标IPv6地址段中的所有地址进行网络资产扫描。
多次执行本命令可以配置多个目标IPv6地址段,多个目标IPv6地址段不能互相重叠。
如果未配置网络资产扫描的目标IPv4/IPv6地址段,网络资产扫描功能不生效。
【举例】
# 将192:168::1:1/120网络配置为网络资产扫描的目标IPv6地址段。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] ipv6 subnet 192:168::1:1 120
schedule every命令用来配置自动资产扫描计划。
undo schedule every命令用来恢复缺省情况。
【命令】
schedule every { day start-time | hour start-hour | week week-days start-time }
undo schedule every { day start-time | hour start-hour | week week-days start-time }
【缺省情况】
自动资产扫描计划为每隔12小时扫描一次。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【参数】
day start-time:表示每天扫描一次。start-time表示扫描开始时间,格式为HH:MM(小时:分钟)。
hour start-hour:表示以配置时间为准,每隔start-hour小时扫描一次,start-hour的取值范围为1~12。
week week-days start-time:表示每周扫描一次。week-days表示扫描日,可选择Mon、Tue、Wed、Thu、Fri、Stat和Sun。start-time表示扫描开始时间,格式为HH:MM(小时:分钟)。
【使用指导】
开启自动资产扫描功能后,设备按指定扫描计划自动向目标IP地址段中的地址发起网络资产扫描。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 自动资产扫描计划为每周五12时30分开始扫描。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] schedule every week Fri 12:30
【相关命令】
· auto-scan enable
· weak-password-scan enable
· ip
· ipv6
· tcp-port
· udp-port
tcp-port命令用来配置网络资产扫描的目标TCP端口号。
undo tcp-port命令用来删除网络资产扫描的目标TCP端口号。
【命令】
tcp-port port-number
undo tcp-port [ port-number ]
【缺省情况】
目标TCP端口号为23、80、139、443、445、554、631、3389、3872、5800、7080、8000、8080、8088、8180、8443。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【参数】
port-number:TCP端口号,取值范围为1~65535。
【使用指导】
开启网络资产扫描功能后,设备将针对目标TCP端口号进行端口扫描。
多次执行本命令可以配置多个目标TCP端口号。
执行undo tcp-port命令时,如果不指定port-number参数,则删除所有目标TCP端口号。
如果既未配置网络资产扫描的目标TCP端口号,又未配置目标UDP端口号,设备将针对缺省目标TCP端口号和UDP端口号进行扫描,否则设备仅针对配置的目标端口号进行扫描。
【举例】
# 配置网络资产扫描的目标TCP端口号为80。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] tcp-port 80
【相关命令】
· auto-scan enable
· udp-port
udp-port命令用来配置网络资产扫描的目标UDP端口号。
undo udp-port命令用来删除网络资产扫描的目标UDP端口号。
【命令】
udp-port port-number
undo udp-port [ port-number ]
【缺省情况】
目标UDP端口号为137。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【参数】
port-number:UDP端口号,取值范围为1~65535。
【使用指导】
开启网络资产扫描功能后,设备将针对目标UDP端口号进行端口扫描。
多次执行本命令可以配置多个目标UDP端口号。
执行undo udp-port命令时,如果不指定port-number参数,则删除所有目标UDP端口号。
如果既未配置网络资产扫描的目标UDP端口号,又未配置目标TCP端口号,设备将针对缺省目标TCP端口号和UDP端口号进行扫描,否则设备仅针对配置的目标端口号进行扫描。
【举例】
# 配置网络资产扫描的目标UDP端口号为138。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] udp-port 138
【相关命令】
· auto-scan enable
· tcp-port
weak-password-scan enable命令用于开启弱密码扫描功能。
undo weak-password-scan enable命令用来关闭弱密码扫描功能。
【命令】
weak-password-scan enable
undo weak-password-scan enable
【缺省情况】
弱密码扫描功能处于关闭状态。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
弱密码扫描功能用于发现指定服务下的用户弱密码风险。开启弱密码扫描功能后,设备检查指定IP地址或IP地址范围中的主机、服务器和设备上各类服务的用户密码是否存在不安全的情况,用户可根据扫描结果更换安全强度更高的密码。
开启自动资产扫描功能后,本功能才能生效。
【举例】
# 开启弱密码扫描功能。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] weak-password-scan enable
【相关命令】
· auto-scan enable
· weak-password-scan mode
· weak-password-scan password
· weak-password-scan service
· weak-password-scan user
weak-password-scan mode命令用来配置弱密码扫描模式。
undo weak-password-scan mode命令用来删除指定弱密码扫描模式。
【命令】
weak-password-scan mode { custom | dict } *
undo weak-password-scan mode
【缺省情况】
未配置弱密码扫描模式。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【参数】
Custom:表示自定义模式,即使用用户自定义弱密码字典进行扫描。
dict:表示预定义模式,即使用设备预定义弱密码字典进行扫描。
【使用指导】
设备采用遍历弱密码字典的方式进行弱密码扫描,即依次选择弱密码字典中的密码配合指定用户名尝试登录各类服务,如果登录成功则表示发现该用户的弱密码风险。
设备支持两类弱密码字典:
· 自定义的弱密码字典:执行weak-password-scan password命令配置的弱密码。
· 设备预定义的弱密码字典。
可以同时指定custom和dict关键字,表示自定义模式下既使用自定义弱密码字典也使用设备预定义弱密码字典进行扫描。
如果未配置弱密码扫描模式,弱密码扫描功能不生效。
【举例】
# 配置弱密码扫描模式为自定义模式。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] weak-password-scan mode custom
【相关命令】
· auto-scan enable
· weak-password-scan enable
· weak-password-scan password
· weak-password-scan service
· weak-password-scan user
weak-password-scan password命令用来配置用户自定义弱密码。
undo weak-password-scan password命令用来删除指定用户自定义弱密码。
【命令】
weak-password-scan password password
undo weak-password-scan password [ password ]
【缺省情况】
未配置用户自定义弱密码。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【参数】
password:以明文方式配置的用户自定义弱密码,为1~31个字符的字符串,区分大小写。
【使用指导】
用户自定义弱密码用于生成自定义模式下弱密码扫描功能使用的弱密码字典。
多次执行本命令可以配置多个用户自定义弱密码。
对于自定义模式下的弱密码扫描功能,如果未配置用户自定义弱密码,弱密码扫描功能不生效。
执行undo weak-password-scan password命令时,如果不指定password参数,则删除所有用户自定义弱密码。
【举例】
# 配置用户自定义弱密码为1234。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] weak-password-scan password 1234
【相关命令】
· auto-scan enable
· weak-password-scan enable
· weak-password-scan mode
· weak-password-scan service
· weak-password-scan user
weak-password-scan service命令用来配置弱密码扫描所针对的服务类型。
undo weak-password-scan service命令用来恢复缺省情况。
【命令】
weak-password-scan service { ftp | http | mysql | sql-server | ssh } *
undo weak-password-scan service
【缺省情况】
未配置弱密码扫描所针对的服务类型。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【参数】
ftp:表示对FTP服务进行弱密码扫描。
http:表示对HTTP服务进行弱密码扫描。
mysql:表示对MySQL服务进行弱密码扫描。
sql-server:表示对SQL Server服务进行弱密码扫描。
ssh:表示对SSH服务进行弱密码扫描。
【使用指导】
开启弱密码扫描功能后,设备检查用户使用指定服务时的密码是否存在不安全的情况。
多次执行本命令,最后一次配置的命令生效。
如果未配置弱密码扫描所针对的服务类型,弱密码扫描功能不生效。
【举例】
# 配置弱密码扫描所针对的服务类型为FTP、SQL Server和HTTP。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] weak-password-scan service ftp sql-server http
【相关命令】
· auto-scan enable
· weak-password-scan enable
· weak-password-scan mode
· weak-password-scan password
· weak-password-scan user
weak-password-scan user命令用来配置弱密码扫描所针对的用户名。
undo weak-password-scan user命令用来删除指定弱密码扫描所针对的用户名。
【命令】
weak-password-scan user username
undo weak-password-scan user [ username ]
【缺省情况】
未配置弱密码扫描所针对的用户名。
【视图】
资产扫描视图
【缺省用户角色】
network-admin
context-admin
【参数】
username:表示弱密码扫描所针对的用户名,为1~60个字符的字符串,区分大小写。
【使用指导】
开启弱密码扫描功能后,设备检查指定用户使用各类服务时的密码是否存在不安全的情况。
多次执行本命令可以配置多个弱密码扫描的用户名。
对于自定义模式下的弱密码扫描功能,如果未配置弱密码扫描所针对的用户名,弱密码扫描功能不生效。
执行undo weak-password-scan user命令时,如果不指定username参数,则删除所有弱密码扫描所针对的用户名。
【举例】
# 配置弱密码扫描所针对的用户名为admin。
<Sysname> system-view
[Sysname] asset-scan
[Sysname-asset-scan] weak-password-scan user admin
【相关命令】
· auto-scan enable
· weak-password-scan enable
· weak-password-scan mode
· weak-password-scan password
· weak-password-scan service
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
