• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

目录

20-风险扫描配置指导

本章节下载 20-风险扫描配置指导  (269.93 KB)

20-风险扫描配置指导


1 弱密码扫描

1.1  弱密码扫描简介

弱密码扫描采用多线程方式对指定IP地址段(或单机)进行弱密码检测,支持自定义字典功能,提供单次弱密码扫描和周期性弱密码扫描方式,扫描服务包括: ftp、ssh、telnet、imap、smtp、pop3、mssql、mysql、postgres、rlogin、vnc。

 

1.2  弱密码扫描配置

表1-1所示步骤配置弱密码扫描:

表1-1 弱密码扫描配置

操作

命令

说明

进入系统视图

system-view

配置弱密码扫描任务

wps-task NAME { week DAY_LIST TIME |month DAY_LIST TIME | once } TARGETS SERVICE_LIST { fast | full | user-define LOGINDIC PWDDIC } { try-null-pwd | no} { try-login-pwd | no }

必选

NAME:扫描任务名。

week:任务每周执行一次。

month:任务每月执行一次。

once:任务立即执行。

DAY_LIST:任务执行日期,可以是1天或者多天,多天需要使用’,’分割每天,比如”1,3,5”。对于周任务,数字取值为<0-6>表示周日到周六;对于月任务,数字取值为<1-31>表示1号到31号,对于立即执行任务,本项直接输入”today”。

TIME:任务在一天中的执行时间,对于周期任务,格式”MM:SS”;对于立即执行任务,本项直接输入”now”。

TARGETS:扫描目标,可以是1个或多个目标或范围,多个需要使用’,’分割,比如”1.1.1.1,2.2.2.2,3.3.3.3-3.3.3.10”。

SERVICE_LIST:目标服务列表,可以是1个或多个,多个需要使用’,’分割,比如”telnet,ftp”

fast:快速扫描,使用100个条目的默认密码字典

full:全面扫描,使用500个条目的默认密码字典

LOGINDIC:指定一个或多个用户名字典,多个使用’,’分割。

PWDDIC:指定一个或多个密码字典,多个使用’,’分割。

try-null-pwd:扫描时尝试使用空密码。

try-login-pwd:扫描时尝试使用用户名做密码。

no:不使用对应的密码。

修改扫描任务对应的目标。

wps-task-mod NAME { add-target | del-target }

可选

修改扫描服务

wps-task-mod NAME { add-service | del-service }

可选

配置事件集描述

wps-task-mod NAME scan-type

可选

修改扫描任务使用的字典

wps-task-mod NAME { add-login-dic | del-login-dic | add-pwd-dic | del-pwd-dic }

可选

修改扫描任务中是否使用空密码及使用用户名做密码

wps-task-mod NAME { try-null-pwd | try-login-pwd } { enable | disable }

可选

修改扫描任务周期

wps-task-mod NAME set-period

可选

新建字典信息

wps-dic NAME

可选

如果字典信息已存在则进入字典配置视图

配置字典内容

item ITEM

可选

 

1.3  弱密码扫描显示和维护

表1-2所示步骤显示、维护弱密码扫描配置:

表1-2 弱密码扫描显示和维护

操作

命令

显示弱密码扫描配置信息

display running-config

 

1.4  弱密码扫描配置举例

1.4.1  入侵防御配置举例

1. 组网需求

在设备上开启弱密码扫描功能,扫描对象为telnet,ssh,ftp,扫描地址段为内网服务器网段,执行周期每周二、六。

2. 配置步骤

(1)     配置弱密码扫描。

host# system-view

host:(config)# wps-task week-scan week 2,6 15:50 192.168.2.1-192.168.2.250 telnet,ssh,ftp fast try-null-pwd try-login-pwd

host:(config)#wps-task week-scan description 每周二、六执行扫描任务

3. 验证配置

扫描任务会在指定时间进行定期扫描。

 

2 端口扫描

2.1  端口扫描简介

端口扫描采用多线程方式对指定IP地址段(或单机)进行开放端口检测,支持自定义端口和模糊端口功能,提供单次端口扫描和周期性端口扫描方式,扫描结果支持同步资产信息中。

2.2  端口扫描配置

表1-1所示步骤配置端口扫描:

表2-1 端口扫描配置

操作

命令

说明

进入系统视图

system-view

配置端口扫描任务

port-scan-task NAME target TARGETS { PORT | default | fuzzy } { week DAY_LIST TIME | month DAY_LIST TIME | once } { sync | ignore }

no port-scan-task NAME

必选

NAME:任务名称

Target:扫描目标关键字

TARGETS:扫描目标输入字符串,支持子网、IP、范围输入

PORT:指定扫描端口列表,用逗号分隔

fuzzy:指定模糊端口扫描

default:指定默认端口扫描

sync:端口扫描结果同步资产模块

ignore:端口扫描结果不同步资产模块

week:周任务

month:月任务

DAY_LIST:任务执行日期,可以是1天或者多天,多天需要使用’,’分割每天,比如”1,3,5”。对于周任务,数字取值为<0-6>表示周日到周六;对于月任务,数字取值为<1-31>表示1号到31号

TIME: 任务在一天中的执行时间,对于周期任务,格式“MM:SS”。

once:立即执行任务关键字。

暂停执行端口扫描任务

port-scan-task NAME pause

可选

重新执行端口扫描任务

port-scan-task NAME resume

可选

 

2.3  端口扫描显示和维护

表1-2所示步骤显示、维护端口扫描配置:

表2-2 端口扫描显示和维护

操作

命令

显示端口扫描配置信息

display running-config

 

2.4  端口扫描配置举例

2.4.1  端口扫描v4配置举例

1. 组网需求

在设备上开启端口扫描功能,扫描端口为21,22,23,扫描地址段为内网服务器网段,执行周期每周二、六,并将端口扫描发现的服务器资产同步到资产管理中。

2. 配置步骤

(1)     配置端口扫描任务。

host# system-view

host:(config)#port-scan-task portscan target 192.168.2.0/24 21,22,23 week 2,6 17:15 sync

host:(config)#port-scan-task portscan description 定期端口扫描任务

3. 验证配置

扫描任务会在指定时间进行定期扫描。

同步完成后会把扫描发现的资产同步到资产管理中。

 

2.4.2  端口扫描v6配置举例

1. 组网需求

在设备上开启端口扫描功能,扫描端口为21,22,23,扫描地址段为内网服务器网段,执行周期每周二、六,并将端口扫描发现的服务器资产同步到资产管理中。

2. 配置步骤

(1)     配置端口扫描任务。

host# system-view

host(config)# port-scan-task 123 target 2002::1/123 21,22,23 week 2,6 11:30 sync

host(config)# port-scan-task 123 description test

3. 验证配置

扫描任务会在指定时间进行定期扫描。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们