风险分析

本帮助主要介绍以下内容:

特性简介

风险分析可对指定IP地址或IP地址范围中的设备进行扫描分析,判断其是否存在开放端口、未防护漏洞、Web应用风险、弱密码等风险因素,设备管理员可根据扫描结果巩固设备的安全配置。

设备支持对指定IPv4或IPv6地址、指定TCP和UDP端口进行扫描。

各种风险类型建议的防护措施如下表所示:

表-1 风险类型对应建议的防护措施表

风险类型

防护措施

端口开放风险

在安全策略中拒绝访问当前端口的报文

未防护漏洞

在安全策略中配置入侵防御

Web应用风险

在安全策略中配置Web应用防护

弱密码风险

修改弱密码风险用户的弱密码

弱密码扫描功能用于发现指定服务下的用户弱密码风险。开启弱密码扫描功能后,设备检查指定IP地址或IP地址范围中的主机、服务器和设备上各类服务的用户密码是否存在不安全的情况,用户可根据扫描结果更换安全强度更高的密码。

vSystem相关说明

非缺省VSystem对于本特性的支持情况,请以页面的实际显示为准。

使用限制和注意事项

配置指南

配置思路

风险分析功能的配置思路如下图所示:

图-1 风险分析功能配置思路图

配置准备

在配置本特性之前,需要完成以下任务:

  • 配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。

  • 配置路由,保证路由可达。路由在“网络 > 路由”页面配置。

  • 创建安全域。安全域在“网络 > 安全域”页面配置。

  • 配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。

  • 配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。

配置漏洞扫描并查看扫描结果

具体配置步骤如下:

  1. 选择“系统 > 诊断中心 > 风险分析”,进入“风险分析”页面。

  2. 在"扫描配置"区域配置相关参数,具体的配置参数如下表所示。

    图-2 扫描配置

    表-2 扫描配置参数

    参数

    说明

    地址类型

    • IPv4

    • IPv6

    地址范围

    漏洞扫描的地址范围,可输入单个IP地址(如1.1.1.1)或IP地址范围(如1.1.1.1-1.1.1.100),其中IPv6地址范围所包含的地址个数不得超过256个

    TCP端口

    选择或配置漏洞扫描的的目标TCP端口号

    UDP端口

    选择或配置漏洞扫描的的目标UDP端口号

  3. (可选)配置是否“启用弱密码扫描”,若启用弱密码扫描功能,可单击<配置>按钮配置弱密码扫描的扫描范围和扫描模式,具体的配置参数如下表所示。完成相关参数的配置后单击<确定>按钮,弱密码扫描配置成功。

    图-3 配置弱密码扫描

    表-3 弱密码扫描配置参数

    风险类型

    防护措施

    扫描范围

    设备检查用户使用指定服务时的密码是否存在不安全的情况,服务类型:FTP、SQL Server、HTTP、MySQL和SSH

    扫描模式

    • 常规密码字典

    使用设备预定义弱密码字典进行扫描

    • 自定义密码字典

    使用用户自定义弱密码字典进行扫描

    • 常规密码字典+自定义密码字典

    可以同时使用预定义和自定义的弱密码字典进行扫描

    自定义用户名

    配置弱密码扫描所针对的用户名

    扫描模式为常规密码字典时,不支持此功能

    自定义密码

    配置用户自定义弱密码

    扫描模式为常规密码字典时,不支持此功能

  4. 单击<开始扫描>按钮,扫描进行时可最小化扫描进度窗口,以便进行其他模块的配置。扫描完成后,可在“扫描记录”区块中勾选一个或多个记录表项,然后单击<显示扫描结果>按钮查看风险分析结果。

    图-4 风险分析结果

配置批量风险处理并查看防护记录

  1. 完成漏洞扫描后,在“扫描结果”区域,单击<批量风险处理>按钮,进入“批量风险处理”页面。

    图-5 批量风险处理页面

  2. 选择“地址类型”和“安全策略”,显示该安全策略相关的风险。勾选需要处理的风险,单击<风险处理>按钮,进入“风险处理”页面。

  3. 通过配置安全策略处理风险,新建或修改安全策略,具体配置内容如下表所示:

    图-6 风险处理页面

    表-4 风险处理配置参数表

    参数

    说明

    处理方式

    处理方式包括如下:

    • 新建策略:基于策略模板新建一个安全策略

    • 修改策略:基于策略模板修改当前安全策略配置

    名称

    表示安全策略的名称,同一类型安全策略的名称不能相同

    IP类型

    安全策略包括IPv4和IPv6两种类型

    策略模板

    配置风险处理的安全策略模板,建议选择当前风险对应的安全策略

    源安全域

    配置源安全域作为安全策略的过滤条件

    源IP/MAC地址

    配置源IP地址或源MAC地址作为安全策略的过滤条件,源MAC地址过滤条件仅IPv4类型的安全策略支持

    • 地址对象组:选择地址对象组

    • IPv4地址:输入以英文逗号分隔的IPv4地址、范围或子网

    目的IP地址

    配置目的IP地址作为安全策略的过滤条件

    • 地址对象组:选择地址对象组

    • IPv4地址:输入以英文逗号分隔的IPv4地址、范围或子网

    服务

    配置服务作为安全策略的过滤条件

    • 服务对象组

    • 协议和端口号

    • 动作:安全策略动作

      • 允许:表示对符合安全策略过滤条件的报文进行允许通过处理

      • 拒绝:表示对符合安全策略过滤条件的报文进行阻断处理

    内容安全

    若内容安全中引用了相关策略,则会对符合安全策略过滤条件的报文进行相应的DPI(Deep Packet Inspection,深度报文检测)业务处理

    • Web应用防护

    • 入侵防御配置文件

  4. 单击<确定>按钮,完成风险处理。

  5. 单击<防护记录日志>可查看具体的防护信息。

    图-7 防护记录日志