• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

04-DPI深度安全配置指导

目录

15-网络资产扫描配置

本章节下载 15-网络资产扫描配置  (216.33 KB)

15-网络资产扫描配置


1 网络资产扫描

1.1  网络资产扫描简介

网络资产扫描是一种用于识别和审计指定网络中的主机、服务器、设备等网络资产的技术。通过对指定网络进行探测,网络资产扫描可以发现处于在线状态的网络资产,并对其进行安全审计。网络管理员可以根据网络资产扫描的结果获悉网络资产信息和可能存在的安全风险,进而巩固相应的安全配置。

1.2  网络资产扫描原理

图1-1所示,网络资产扫描包括资产发现、端口扫描、服务/版本侦测、操作系统探测和弱密码检测等五个基本功能,每个功能的基本原理如下:

·     资产发现:设备向指定网络内的所有IP地址依次发送不同协议的探测报文,如果设备收到来自探测目标的任何一个响应报文,设备就将该探测目标记录为网络资产。

·     端口扫描:设备向网络资产的指定端口发送TCP/UDP探测报文,并根据来自该目标端口的TCP/UDP响应报文,判断该端口的开放情况。

·     服务/版本侦测:设备向网络资产的开放端口发送一系列服务探测报文,并将来自该目标端口的响应报文与设备内置的服务特征库进行比对,确定目标端口所提供的服务类型和服务的版本信息。

·     操作系统探测:设备向网络资产的端口(包括至少一个开放端口和关闭端口)发送一系列TCP/UDP探测报文,并将来自目标资产的响应报文与设备内置的系统特征库进行比对,确定目标资产上运行的操作系统。

·     弱密码检测:设备使用指定用户名搭配弱密码字典(内含常见的低安全性密码)中的密码,通过指定服务尝试登录网络资产。如果登录成功,说明该用户的密码安全性较低,需要替换为更高安全性的密码。

图1-1 网络资产扫描原理图

1.3  安全风险防护措施

网络资产扫描功能可以发现网络资产上可能存在的端口开放风险、特定服务风险和弱密码风险。网络管理员可以根据表1-1所示的安全防护措施,对网络资产及其安全网关进行相应配置,防范资产安全风险。

表1-1 针对不同风险类型的防护措施表

风险类型

防护措施

端口开放风险

·     手工关闭网络资产上无需开放的端口

·     配置安全网关的安全策略,拒绝访问网络资产特定端口的报文

特定服务风险

在安全网关上针对网络资产提供的特定服务类型配置攻击检测与防范、IPS等防护策略

弱密码风险

将网络资产上特定用户的弱密码替换为更高安全性的密码

 

1.4  网络资产扫描与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

F1000系列

型号

说明

F1000-X-G5系列

F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5

支持

F1000-X-XI系列

F1000-D-XI、F1000-E-XI

支持

 

F100系列

型号

说明

F100-X-G5系列

F100-A-G5、F100-C-G5、F100-E-G5、F100-M-G5、F100-S-G5

支持

F100-C-A系列

F100-C-A2、F100-C-A1

不支持

F100-X-XI系列

F100-C-XI、F100-S-XI

支持

F100-A-XI

不支持

 

1.5  配置网络资产扫描功能

1. 功能简介

网络资产扫描功能用来对指定目标IP地址段中的主机、服务器和设备进行扫描分析,判断其是否存在开放端口、弱密码等风险因素,用户可根据扫描结果巩固相关安全配置。

CLI(Command Line Interface,命令行接口)管理方式下仅提供自动资产扫描功能,设备将按扫描计划自动对目标IP地址段发起资产发现、端口扫描、服务/版本侦测、操作系统探测和弱密码检测。扫描结果将展示在设备“监控 > 资产管理 > 资产发现”Web界面上。

在Web管理方式下还支持立即资产扫描功能,设备将根据配置立即发起网络资产扫描任务。有关Web管理方式下网络资产扫描功能的详细介绍,请参见“资产发现Web联机帮助”。

2. 配置限制和指导

设备必须使用三层接口向目标IP地址段发起网络资产扫描。如果设备使用二层接口接入网络,网络资产扫描功能不生效。

设备的安全策略规则需放行Local安全域发往目标IP地址段所在安全域的报文,否则探测报文无法发送至目标IP地址段,造成网络资产扫描功能不生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入资产扫描视图。

asset-scan

(3)     配置网络资产扫描的目标IP地址段。

¡     配置网络资产扫描的目标IPv4地址段。

ip { subnet ip-address mask-length | range start-address end-address }

缺省情况下,不存在网络资产扫描的目标IPv4地址段。

¡     配置网络资产扫描的目标IPv6地址段。

ipv6 { subnet ipv6-address prefix-length | range start-address end-address }

缺省情况下,不存在网络资产扫描的目标IPv6地址段。

(4)     (可选)配置网络资产扫描的目标端口号。

¡     配置网络资产扫描的目标TCP端口号。

tcp-port port-number

缺省情况下,目标TCP端口号为23、80、139、443、445、554、631、3389、3872、5800、7080、8000、8080、8088、8180、8443。

¡     配置网络资产扫描的目标UDP端口号。

udp-port port-number

缺省情况下,目标UDP端口号为137。

如果既未配置目标TCP端口号,又未配置目标UDP端口号,设备将针对缺省目标TCP端口号和UDP端口号进行扫描,否则设备仅针对配置的目标端口号进行扫描。

(5)     (可选)配置弱密码扫描功能。

¡     配置弱密码扫描模式。

weak-password-scan mode { custom | dict } *

缺省情况下,未配置弱密码扫描模式。

可以同时指定customdict关键字,表示自定义模式下既使用自定义弱密码字典也使用设备预定义弱密码字典进行扫描。

¡     配置弱密码扫描所针对的用户名。

weak-password-scan user username

缺省情况下,未配置弱密码扫描所针对的用户名。

仅弱密码扫描模式配置为自定义模式时,才需要配置弱密码扫描所针对的用户名。

¡     配置用户自定义弱密码。

weak-password-scan password password

缺省情况下,未配置用户自定义弱密码。

仅弱密码扫描模式配置为自定义模式时,才需要配置用户自定义弱密码。

¡     配置弱密码扫描所针对的服务类型。

weak-password-scan service { ftp | http | mysql | sql-server | ssh } *

缺省情况下,未配置弱密码扫描所针对的服务类型。

¡     开启弱密码扫描功能。

weak-password-scan enable

缺省情况下,弱密码扫描功能处于关闭状态。

(6)     配置自动资产扫描计划。

¡     配置自动资产扫描计划。

schedule every { day start-time | hour start-hour | week week-days start-time }

缺省情况下,自动资产扫描计划为每隔12小时扫描一次。

¡     开启自动资产扫描功能。

auto-scan enable

缺省情况下,自动资产扫描功能处于关闭状态。

1.6  网络资产扫描典型配置举例

1.6.1  网络资产扫描基本组网典型配置举例

1. 组网需求

公司内部网络192.168.1.0/24中部署了数台主机和服务器,同时其网络出口部署了一台Device,作为安全网关对内部网络进行安全防护。现在,网络管理员需要每周五14时对公司内部网络资产进行扫描和安全审计,定期检测网络资产上可能存在的安全风险。

2. 组网图

图1-2 网络资产扫描典型配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     将接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置安全策略

# 配置名称为local-trust的安全策略,保证Device可以对Trust安全域内的网络资产发起扫描,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name local-trust

[Device-security-policy-ip-1-local-trust] source-zone local

[Device-security-policy-ip-1-local-trust] destination-zone trust

[Device-security-policy-ip-1-local-trust] destination-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-1-local-trust] action pass

[Device-security-policy-ip-1-local-trust] quit

[Device-security-policy-ip] quit

(4)     配置网络资产扫描功能

# 配置网络资产扫描的目标IPv4地址段为192.168.1.0/24。

[Device] asset-scan

[Device-asset-scan] ip subnet 192.168.1.0 24

# 配置弱密码扫描功能,扫描模式为预定义模式,服务类型为FTP、HTTP、MySQL、SQL Server和SSH。

[Device-asset-scan] weak-password-scan mode dict

[Device-asset-scan] weak-password-scan service ftp http mysql sql-server ssh

[Device-asset-scan] weak-password-scan enable

# 配置自动资产扫描计划,每周五14时开始扫描。

[Device-asset-scan] schedule every week Fri 14:00

[Device-asset-scan] auto-scan enable

4. 验证配置

# 完成以上配置后,Device将在每周五14时对内网发起网络资产扫描。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们