- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-網絡資產掃描配置
本章節下載: 15-網絡資產掃描配置 (216.33 KB)
目 錄
網絡資產掃描是一種用於識別和審計指定網絡中的主機、服務器、設備等網絡資產的技術。通過對指定網絡進行探測,網絡資產掃描可以發現處於在線狀態的網絡資產,並對其進行安全審計。網絡管理員可以根據網絡資產掃描的結果獲悉網絡資產信息和可能存在的安全風險,進而鞏固相應的安全配置。
如圖1-1所示,網絡資產掃描包括資產發現、端口掃描、服務/版本偵測、操作係統探測和弱密碼檢測等五個基本功能,每個功能的基本原理如下:
· 資產發現:設備向指定網絡內的所有IP地址依次發送不同協議的探測報文,如果設備收到來自探測目標的任何一個響應報文,設備就將該探測目標記錄為網絡資產。
· 端口掃描:設備向網絡資產的指定端口發送TCP/UDP探測報文,並根據來自該目標端口的TCP/UDP響應報文,判斷該端口的開放情況。
· 服務/版本偵測:設備向網絡資產的開放端口發送一係列服務探測報文,並將來自該目標端口的響應報文與設備內置的服務特征庫進行比對,確定目標端口所提供的服務類型和服務的版本信息。
· 操作係統探測:設備向網絡資產的端口(包括至少一個開放端口和關閉端口)發送一係列TCP/UDP探測報文,並將來自目標資產的響應報文與設備內置的係統特征庫進行比對,確定目標資產上運行的操作係統。
· 弱密碼檢測:設備使用指定用戶名搭配弱密碼字典(內含常見的低安全性密碼)中的密碼,通過指定服務嚐試登錄網絡資產。如果登錄成功,說明該用戶的密碼安全性較低,需要替換為更高安全性的密碼。
網絡資產掃描功能可以發現網絡資產上可能存在的端口開放風險、特定服務風險和弱密碼風險。網絡管理員可以根據表1-1所示的安全防護措施,對網絡資產及其安全網關進行相應配置,防範資產安全風險。
|
風險類型 |
防護措施 |
|
端口開放風險 |
· 手工關閉網絡資產上無需開放的端口 · 配置安全網關的安全策略,拒絕訪問網絡資產特定端口的報文 |
|
特定服務風險 |
在安全網關上針對網絡資產提供的特定服務類型配置攻擊檢測與防範、IPS等防護策略 |
|
弱密碼風險 |
將網絡資產上特定用戶的弱密碼替換為更高安全性的密碼 |
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
F1000係列 |
型號 |
說明 |
|
F1000-X-G5係列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-X-XI係列 |
F1000-D-XI、F1000-E-XI |
支持 |
|
F100係列 |
型號 |
說明 |
|
F100-X-G5係列 |
F100-A-G5、F100-C-G5、F100-E-G5、F100-M-G5、F100-S-G5 |
支持 |
|
F100-C-A係列 |
F100-C-A2、F100-C-A1 |
不支持 |
|
F100-X-XI係列 |
F100-C-XI、F100-S-XI |
支持 |
|
F100-A-XI |
不支持 |
網絡資產掃描功能用來對指定目標IP地址段中的主機、服務器和設備進行掃描分析,判斷其是否存在開放端口、弱密碼等風險因素,用戶可根據掃描結果鞏固相關安全配置。
CLI(Command Line Interface,命令行接口)管理方式下僅提供自動資產掃描功能,設備將按掃描計劃自動對目標IP地址段發起資產發現、端口掃描、服務/版本偵測、操作係統探測和弱密碼檢測。掃描結果將展示在設備“監控 > 資產管理 > 資產發現”Web界麵上。
在Web管理方式下還支持立即資產掃描功能,設備將根據配置立即發起網絡資產掃描任務。有關Web管理方式下網絡資產掃描功能的詳細介紹,請參見“資產發現Web聯機幫助”。
設備必須使用三層接口向目標IP地址段發起網絡資產掃描。如果設備使用二層接口接入網絡,網絡資產掃描功能不生效。
設備的安全策略規則需放行Local安全域發往目標IP地址段所在安全域的報文,否則探測報文無法發送至目標IP地址段,造成網絡資產掃描功能不生效。
(1) 進入係統視圖。
system-view
(2) 進入資產掃描視圖。
asset-scan
(3) 配置網絡資產掃描的目標IP地址段。
¡ 配置網絡資產掃描的目標IPv4地址段。
ip { subnet ip-address mask-length | range start-address end-address }
缺省情況下,不存在網絡資產掃描的目標IPv4地址段。
¡ 配置網絡資產掃描的目標IPv6地址段。
ipv6 { subnet ipv6-address prefix-length | range start-address end-address }
缺省情況下,不存在網絡資產掃描的目標IPv6地址段。
(4) (可選)配置網絡資產掃描的目標端口號。
¡ 配置網絡資產掃描的目標TCP端口號。
tcp-port port-number
缺省情況下,目標TCP端口號為23、80、139、443、445、554、631、3389、3872、5800、7080、8000、8080、8088、8180、8443。
¡ 配置網絡資產掃描的目標UDP端口號。
udp-port port-number
缺省情況下,目標UDP端口號為137。
如果既未配置目標TCP端口號,又未配置目標UDP端口號,設備將針對缺省目標TCP端口號和UDP端口號進行掃描,否則設備僅針對配置的目標端口號進行掃描。
(5) (可選)配置弱密碼掃描功能。
¡ 配置弱密碼掃描模式。
weak-password-scan mode { custom | dict } *
缺省情況下,未配置弱密碼掃描模式。
可以同時指定custom和dict關鍵字,表示自定義模式下既使用自定義弱密碼字典也使用設備預定義弱密碼字典進行掃描。
¡ 配置弱密碼掃描所針對的用戶名。
weak-password-scan user username
缺省情況下,未配置弱密碼掃描所針對的用戶名。
僅弱密碼掃描模式配置為自定義模式時,才需要配置弱密碼掃描所針對的用戶名。
¡ 配置用戶自定義弱密碼。
weak-password-scan password password
缺省情況下,未配置用戶自定義弱密碼。
僅弱密碼掃描模式配置為自定義模式時,才需要配置用戶自定義弱密碼。
¡ 配置弱密碼掃描所針對的服務類型。
weak-password-scan service { ftp | http | mysql | sql-server | ssh } *
缺省情況下,未配置弱密碼掃描所針對的服務類型。
¡ 開啟弱密碼掃描功能。
weak-password-scan enable
缺省情況下,弱密碼掃描功能處於關閉狀態。
(6) 配置自動資產掃描計劃。
¡ 配置自動資產掃描計劃。
schedule every { day start-time | hour start-hour | week week-days start-time }
缺省情況下,自動資產掃描計劃為每隔12小時掃描一次。
¡ 開啟自動資產掃描功能。
auto-scan enable
缺省情況下,自動資產掃描功能處於關閉狀態。
公司內部網絡192.168.1.0/24中部署了數台主機和服務器,同時其網絡出口部署了一台Device,作為安全網關對內部網絡進行安全防護。現在,網絡管理員需要每周五14時對公司內部網絡資產進行掃描和安全審計,定期檢測網絡資產上可能存在的安全風險。
圖1-2 網絡資產掃描典型配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置安全策略
# 配置名稱為local-trust的安全策略,保證Device可以對Trust安全域內的網絡資產發起掃描,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name local-trust
[Device-security-policy-ip-1-local-trust] source-zone local
[Device-security-policy-ip-1-local-trust] destination-zone trust
[Device-security-policy-ip-1-local-trust] destination-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-1-local-trust] action pass
[Device-security-policy-ip-1-local-trust] quit
[Device-security-policy-ip] quit
(4) 配置網絡資產掃描功能
# 配置網絡資產掃描的目標IPv4地址段為192.168.1.0/24。
[Device] asset-scan
[Device-asset-scan] ip subnet 192.168.1.0 24
# 配置弱密碼掃描功能,掃描模式為預定義模式,服務類型為FTP、HTTP、MySQL、SQL Server和SSH。
[Device-asset-scan] weak-password-scan mode dict
[Device-asset-scan] weak-password-scan service ftp http mysql sql-server ssh
[Device-asset-scan] weak-password-scan enable
# 配置自動資產掃描計劃,每周五14時開始掃描。
[Device-asset-scan] schedule every week Fri 14:00
[Device-asset-scan] auto-scan enable
# 完成以上配置後,Device將在每周五14時對內網發起網絡資產掃描。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
