绿盟远程安全评估系统客户培训ppt课件

《绿盟远程安全评估系统客户培训ppt课件》由会员分享，可在线阅读，更多相关《绿盟远程安全评估系统客户培训ppt课件（53页珍藏版）》请在装配图网上搜索。

1、中联绿盟信息技术（北京）有限公司成都分公司成都分公司 于瑞阳于瑞阳绿盟远程安全评估系统操作指南扫描器的基础知识扫描器的基础知识1绿盟安全评估系统绿盟安全评估系统WEB管理管理2绿盟安全评估系统控制台管理绿盟安全评估系统控制台管理3扫描器基础知识扫描器基础知识绿盟绿盟远程安全评估系统远程安全评估系统漏洞管理系列漏洞管理系列布署模式独立部署独立部署网络较为集中网络较为集中部署一台绿盟远程安部署一台绿盟远程安全评估系统设备全评估系统设备分权管理和使用分权管理和使用多级分布式部署多级分布式部署多级网络结构多级网络结构数据汇总、集中管理数据汇总、集中管理绿盟扫描器调度存活性判断扫描器的存活判断扫描手段有

2、：ICMP Echo扫描TCP ping 端口UDP ping 端口ARP pingICMP判断1TCP SYN判断2存活且端口开放：收到SYN+ACK包2.1存活但端口不开放或被防火墙过滤：收到RST包2.2不存活或被防火墙DROP：直到超时都没有收到回应包2.3注意：强制扫描选项只在防火墙配置阻断时才有一定用途，但会导致整个扫描速度急剧下降！端口扫描TCP端口扫描技术：TCP Connect(推荐)SYN，半连接扫描。FIN等(已经较老的技术，不通用，不推荐）UDP端口扫描技术：靠端口不可达来进行判断。（UDP扫描非常慢，不建议使用）端口扫描范围：标准扫描：根据Service文件（缺省）快

3、速扫描：只扫描1-1024端口自定义端口扫描TCP Connect扫描（全连接扫描）TCP connect()如果端口是开放的TCP connect()如果端口是关闭的端口扫描SYN扫描，（半连接扫描）SYN扫描，如果端口是开放的SYN扫描，如果端口是关闭的端口扫描TCP FIN 标记扫描端口开放时TCP FIN的扫描结果端口关闭时TCP FIN的扫描结果常用的反转TCP标记扫描，探测数据包标记配置有如下三种类型：FIN 探测数据包，设置了TCP 的FIN 标记XMAS 探测数据包，设置了FIN、URG 以及PUSH 等TCP 标记NULL 探测数据包，不设置任何TCP 标记服务识别如何识别服

4、务？Banner 抓取:一般可用于确定服务版本信息TCP栈协议识别，也叫指纹识别（Fingerprint）弱口令扫描哪些地方存在口令问题？Windows/Unix/Linux 系统口令(SMB/TELNET）Cisco/NetScreen 管理口令（HTTP/TELNET/SSH）SNMP/SQL/POP3/SMTPRSAS 缺省扫描的弱口令TELNETFTPPOP3SNMPSMB123456,abcdef,Admin,root,test,Guest123,test123,!#$%&*,*&%$#!,0,1,12,123,1234,12345,1234567,12345678,12345678

5、9,插件扫描为什么要使用插件功能模块化可扩展化常见插件类别信息收集插件弱口令插件漏洞插件部分危险插件信息收集类插件1用户、口令猜测类插件漏洞扫描类插件危险插件234Profile概念Profile：经过整理分类并按照特定格式存放的信息称为：经过整理分类并按照特定格式存放的信息称为Profile。证书系统购买RSAS产品时都会发放一个证书文件，该证书包含了产品的使用授权信息：证书编号证书在厂商数据库中的编号，用于客户服务跟踪。授权使用者被授权的产品合法使用者名称。购买模块包括网站扫描、数据分析、二次开发、分布式网站扫描、数据分析、二次开发、分布式四个模块，用户需要购买才能使用。服务期限厂商提供服

6、务的起始日期和终止日期。证书类型包括销售证书和试用证书。授权IP范围用户购买扫描的IP地址范围。极光通过授权IP地址数量和授权IP地址记录，记录授权IP地址范围。WEBWEB管理管理绿盟绿盟远程安全评估系统远程安全评估系统漏洞管理系列漏洞管理系列一、扫描任务一、扫描任务1、这这里里输输入需要入需要扫扫描描的的ip地址地址2、也可以、也可以导导入地址簿入地址簿3、点、点击击高高级选项级选项点点击击端口端口扫扫描配置描配置 1、新建评估任务、新建评估任务：弱口令弱口令扫扫描深度描深度一、新建扫描任务一、新建扫描任务 绿盟安全评估系统通过预设帐号扫描能够获得到目标主机更多的漏洞信息，预设帐号可以使用

7、本地管理员帐号或域管理员帐号。在新建任务中的高级选项，选择预设登陆帐号，打开预设帐号配置界面：选中预设选中预设登陆帐号登陆帐号 2、预设登陆帐号、预设登陆帐号：点击新增点击新增一、新建扫描任务一、新建扫描任务1）非指定账户扫描结果：3、漏洞分布比较、漏洞分布比较2）指定账户扫描结果：二、网站扫描二、网站扫描 1、网站扫描配置、网站扫描配置 网站扫描主要包括扫描跨站脚本漏洞和SQL注入漏洞扫描，跨站脚本攻击是指恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。SQL注入检测模块通过构造特殊URL来探测远程WWW

8、服务器脚本中可能存在的SQL注入漏洞，配置方法如下图所示：注：只有许可证中包含此模块的授权，才能使用WEB扫描任务。Web应用漏洞（全部）快速扫描高危漏洞扫描SQL注入扫描XSS跨站扫描远程挂马扫描完整扫描扫描当前目录和子目录只扫描任务URL二、网站扫描二、网站扫描 2、高级选项、高级选项 注：只有许可证中包含此模块的授权，才能使用WEB扫描任务。二、网站扫描二、网站扫描 2、网站报表、网站报表 注：只有许可证中包含此模块的授权，才能使用WEB扫描任务。三、口令猜测三、口令猜测 1、口令猜测配置、口令猜测配置 选择需要口令猜选择需要口令猜测的服务类型测的服务类型 字典模式有：字典模式有：1）标

9、准模式：用户名和密码使用同一个字典。）标准模式：用户名和密码使用同一个字典。2）组合模式：用户名字典和密码字典组合使用）组合模式：用户名字典和密码字典组合使用三、口令猜测三、口令猜测 2、口令猜测结果、口令猜测结果 四、任务查询四、任务查询绿盟安全评估系统的数据搜索功能，可以从已经扫描的结果中查找需要的信绿盟安全评估系统的数据搜索功能，可以从已经扫描的结果中查找需要的信息息 点点击击搜索搜索根据任根据任务类务类型型进进行行筛选筛选可以通可以通过过IP地址或地址或任任务务名称名称对对任任务务搜搜索索搜索的结果如下图所示：搜索的结果如下图所示：注：只有许可证中包含数据分析模块的授权，才能使用IP速

10、查功能。五、在线报表五、在线报表1、查看在线报表内容：、查看在线报表内容：点点击击主机列表主机列表点点击击漏洞列表漏洞列表点点击击漏洞名称可以漏洞名称可以查查看漏洞的看漏洞的详细详细信息信息点点击击脆弱脆弱帐帐号号点点击击参考参考标标准准六、风险趋势分析六、风险趋势分析 1、通过对比分析，管理员可以了解不同时间段主机的风险的变化趋势、通过对比分析，管理员可以了解不同时间段主机的风险的变化趋势 点点击对击对比分析，比分析，查查看看风险风险的的趋势趋势选择选择需要需要对对比分析比分析的任的任务务注：只有许可证中包含数据分析模块的授权，才能使用对比分析功能。六、风险趋势分析六、风险趋势分析 2、趋势

11、分析结果、趋势分析结果 从下图中可以看出任务二的风险值明显低于任务一的风险值，说明该主机以及进行了系统加固，风险值已经下降到一个可以接受的水平 查查看看漏漏洞洞变变化化的的情况情况六、风险趋势分析六、风险趋势分析 3、漏洞的变化、漏洞的变化 管理员可以点击漏洞变化，查看哪些漏洞已经被修复了，如下图所示：减少的漏洞减少的漏洞七、报表输出七、报表输出 1、报表输出范围的方式、报表输出范围的方式：1）按任务输出：可以输出想要查看的扫描任务，同时支持主机筛选，只输出想要查看的主机2）按IP范围输出：可以输出想要查看的ip地址范围。按任按任务输务输出出报报表表从任从任务务中中筛选筛选主机主机点点击报击报

12、表表输输出出七、报表输出七、报表输出 2、报表输出的结构、报表输出的结构 V5报报表表增增加加了了网网络络风风险和主机统计险和主机统计八、定制策略八、定制策略 1、定制插件模板、定制插件模板2、选择协议类选择协议类型型3、选择该类选择该类型型下的漏洞插件下的漏洞插件1、点、点击击增增加模板加模板4、点、点击击保存，保存，自定自定义扫义扫描模板描模板完成完成八、定制策略八、定制策略 2、定制报表模板、定制报表模板 1、点点击击增增加加模模板板2、选选择择报报表表内内容容3、点击保存、点击保存八、定制策略八、定制策略 3、定制密码字典、定制密码字典 1、点击增加字典、点击增加字典2、输输入入新新的

13、的用用户名：密码户名：密码3、点击另存为、点击另存为八、定制策略八、定制策略 4、定制标准扫描端口、定制标准扫描端口 2、定制服、定制服务务名名3、定制端口、定制端口号号4、选择协议类选择协议类型型1、选择选择增增加加5、保存、保存九、风险管理九、风险管理 1、绿盟安全评估系统通过风险管理模块实现漏洞管理、绿盟安全评估系统通过风险管理模块实现漏洞管理 点击符号点击符号编辑节点编辑节点点击符号点击符号删除子节点删除子节点下下达达扫扫描描任务任务九、风险管理九、风险管理 2、设备风险提示、设备风险提示 点击设备点击设备列列出出这这台台设设备备扫扫描描情况情况1）已登记设备：完成设备管理员名称和邮箱

14、登记的设备。2）未登记设备：未完成设备管理员名称和邮箱登记的设备。一般是自动发现的设备。十、用户管理十、用户管理绿盟安全评估系统缺省用户包括系统管理员、报表管理员、审计管理员，绿盟安全评估系统缺省用户包括系统管理员、报表管理员、审计管理员，系统管理员可以添加普通管理员。系统管理员可以添加普通管理员。点点击击添添加加用用户户添添加普通管理员加普通管理员十一、日志审计十一、日志审计绿盟远程安全评估系统系统对用户登录和操作进行了严格的审计，目前支持绿盟远程安全评估系统系统对用户登录和操作进行了严格的审计，目前支持的审计内容有：的审计内容有：登录日志、操作日志、异常日志。登录日志、操作日志、异常日志。

15、点点击击任任务务名称即可名称即可查查看在看在线报线报表表十二、系统管理十二、系统管理查查看系看系统统状状态态 1、系统状态和授权注册信息、系统状态和授权注册信息接口接口连连接状接状态态CUP、MEM、DISK使用情况使用情况系系统统版本版本查查看授看授权权注册信息注册信息点点击击已已经经使用使用IP十二、系统管理十二、系统管理2、在配置菜单中包括网络配置、并发数配置、邮件配置、升级配置等内容、在配置菜单中包括网络配置、并发数配置、邮件配置、升级配置等内容 点点击击任任务务名称即可名称即可查查看在看在线报线报表表修改修改扫扫描描接口接口IP配置配置扫扫描描主机数和主机数和任任务务数数如果需要如果

16、需要发发送送邮邮件件报报表，需表，需要配置要配置邮邮件服件服务务器器手工升手工升级级配置自配置自动动升升级级站点站点同步同步时间时间服服务务器器与与WSUS服服务务器器联动联动十二、系统管理十二、系统管理3、配置系统服务和备份还原点配置系统服务和备份还原点 系系统统会自会自动动保存一个保存一个还还原点（在每周一原点（在每周一的上午的上午6：00自自动创动创建）建）用用户户也可以自己也可以自己创创建一个建一个还还原点原点还还原点可以下原点可以下载载到本到本的保存的保存十三、常用工具十三、常用工具 绿盟远程安全评估系统自带了四个诊断工具，主要用于设备的诊断和排绿盟远程安全评估系统自带了四个诊断工具

17、，主要用于设备的诊断和排错错 绿盟远程安全评估系统绿盟远程安全评估系统控制台管理控制台管理绿盟绿盟远程安全评估系统远程安全评估系统漏洞管理系列漏洞管理系列登陆控制台的准备管理员登录控制台之前，需要做好以下准备工作：工作计算机1台随机附带的串口线1根能够连接串口的终端软件（比如Windows自带的超级终端软件）用串口线将绿盟远程安全评估系统设备和工作计算机连接下面以下面以Windows自自带带的超的超级终级终端端软软件件为为例，介例，介绍实际绍实际连连接接过过程程控制台登录控制台管理控制台管理员员初始初始账账号号用用户户名名conadmin密密码码nsfocus二、配置扫描网络参数二、配置扫描网

18、络参数操作时注意以下几点：操作时注意以下几点：配置完毕选择确定后立刻生效；配置完毕选择确定后立刻生效；如果需要设备在线升级网关和如果需要设备在线升级网关和DNS服务器需要正确配置。服务器需要正确配置。配置网络参数时，请注意格式（比如，网络掩码配置网络参数时，请注意格式（比如，网络掩码255.255.255.0）。）。三、配置管理网络参数三、配置管理网络参数操作时注意以下几点：操作时注意以下几点：缺省地址为缺省地址为1.1.1.1/24，不能配置网关地址，不能配置网关地址管理机需要和设备管理接口配置在同一个网段。管理机需要和设备管理接口配置在同一个网段。四、网络诊断四、网络诊断 在网在网络诊络诊

19、断菜断菜单单中提供中提供给给管理管理员员一些一些诊诊断网断网络络故障的工具，包括故障的工具，包括PING命令、命令、路由追踪、网路由追踪、网络络状状态态、路由信息、路由信息、DNS解析解析查询查询等等五、系统管理五、系统管理 在系统管理菜单中，主要提供了关闭系统、重启系统、修改控制台管理员口令、在系统管理菜单中，主要提供了关闭系统、重启系统、修改控制台管理员口令、设置系统时钟、关闭设置系统时钟、关闭/开启开启SSH服务、关闭服务、关闭/开启远程协助、重置开启远程协助、重置WEB界面管理员界面管理员口令、关闭口令、关闭/开启调试模式等工具开启调试模式等工具 六、系统状态六、系统状态 在系统状态菜

20、单中，主要提供了系统状态检测、数据库状态检测、网络状态信息、在系统状态菜单中，主要提供了系统状态检测、数据库状态检测、网络状态信息、网卡信息等工具网卡信息等工具 在检测系统状态或数据库状态的过程中，将会停止正在进行的评估任务。为防止数据丢失，请在任务结束后进行状态检测。用于用于检测检测系系统统服服务务是否正常是否正常七、备份与恢复七、备份与恢复 备份与恢复是绿盟远程安全评估系统非常重要的功能，在设备一旦出现故障备份与恢复是绿盟远程安全评估系统非常重要的功能，在设备一旦出现故障时，能够及时恢复数据。在备份与恢复菜单中，绿盟远程安全评估系统提供了以时，能够及时恢复数据。在备份与恢复菜单中，绿盟远程安全评估系统提供了以下几种工具下几种工具 系系统诊统诊断断生成生成还还原点原点系系统统恢复恢复重新安装系重新安装系统统