本帮助主要介绍以下内容:
漏洞扫描可对指定IP地址或IP地址范围中的设备进行扫描分析,判断其是否存在开放端口、未防护漏洞、Web应用风险、弱密码等风险因素,设备管理员可根据扫描结果巩固设备的安全配置。
设备支持对指定IPv4或IPv6地址、指定TCP和UDP端口进行扫描。
各种风险类型建议的防护措施如下表所示:
表-1 风险类型对应建议的防护措施表
风险类型 | 防护措施 |
端口开放风险 | 在安全策略中拒绝访问当前端口的报文 |
未防护漏洞 | 在安全策略中配置入侵防御 |
Web应用风险 | 在安全策略中配置Web应用防护 |
弱密码风险 | 修改弱密码风险用户的弱密码 |
弱密码扫描功能用于发现指定服务下的用户弱密码风险。开启弱密码扫描功能后,设备检查指定IP地址或IP地址范围中的主机、服务器和设备上各类服务的用户密码是否存在不安全的情况,用户可根据扫描结果更换安全强度更高的密码。
非缺省VSystem对于本特性的支持情况,请以页面的实际显示为准。
漏洞扫描配置的IPv4和IPv6地址范围起始地址均不可大于结束地址,否则将无法扫描到结果。
在执行漏洞扫描任务过程中,请不要修改安全策略配置,否则可能导致无法获得准确的扫描结果。
若在漏洞扫描任务结束后进行了安全策略导入/导出操作,建议重新执行风险扫描,再对新的扫描结果进行批量处理。
选择“监控 > 诊断中心 > 漏洞扫描”。
选择地址类型,可选IPv4或IPv6类型。
配置“地址范围”。
选择或配置“TCP端口”。
选择或配置“UDP端口”。
(可选)配置是否“启用弱密码扫描”,若启用弱密码扫描功能,可单击<配置>按钮配置弱密码扫描的扫描范围和扫描模式。
弱密码扫描具体配置内容如下表所示:
表-2 弱密码扫描配置参数
风险类型 | 防护措施 |
扫描范围 | 设备检查用户使用指定服务时的密码是否存在不安全的情况,服务类型:FTP、SQL Server、HTTP、MySQL和SSH |
扫描模式 |
使用设备预定义弱密码字典进行扫描
使用用户自定义弱密码字典进行扫描
可以同时使用预定义和自定义的弱密码字典进行扫描 |
自定义用户名 | 配置弱密码扫描所针对的用户名 扫描模式为常规密码字典时,不支持此功能 |
自定义密码 | 配置用户自定义弱密码 扫描模式为常规密码字典时,不支持此功能 |
单击<确定>按钮,弱密码扫描配置成功。
单击<开始扫描>按钮,扫描进行时可最小化扫描进度窗口,以便进行其他模块的配置。扫描完成后,可在“扫描记录”区块中勾选一个或多个记录表项,然后单击<显示扫描结果>按钮查看漏洞扫描结果.
单击<批量风险处理>按钮,进入“批量风险处理”页面。
选择“地址类型”和“安全策略”,显示该安全策略相关的风险。
勾选需要处理的风险,单击<风险处理>按钮,进入“风险处理”页面。
通过配置安全策略处理风险,新建安全策略,具体配置内容如下表所示:
参数 | 说明 |
处理方式 | 处理方式包括如下:
|
名称 | 表示安全策略的名称,同一类型安全策略的名称不能相同 |
IP类型 | 安全策略包括IPv4和IPv6两种类型 |
策略模板 | 配置风险处理的安全策略模板,建议选择当前风险对应的安全策略 |
源安全域 | 配置源安全域作为安全策略的过滤条件 |
源IP/MAC地址 | 配置源IP地址或源MAC地址作为安全策略的过滤条件,源MAC地址过滤条件仅IPv4类型的安全策略支持 |
目的IP地址 | 配置目的IP地址作为安全策略的过滤条件 |
服务 | 配置服务作为安全策略的过滤条件 |
动作 | 安全策略动作包括如下:
|
内容安全 | 若内容安全中引用了相关策略,则会对符合安全策略过滤条件的报文进行相应的DPI(Deep Packet Inspection,深度报文检测)业务处理 |
单击<确定>按钮,完成风险处理。