绿盟远程安全评估系统客户培训--副本.ppt

1、NSFOCUS扫描仪基础知识、漏洞管理系列、部署模式、独立部署网络、NSFOCUS设备集中部署、分散管理和使用、多级分布式部署、多级网络结构数据聚合和集中管理、NSFOCUS扫描仪调度、生存性判断、扫描仪生存性判断的扫描方式有：ICMP Echo扫描、TCP ping端口、UDP ping端口、ARP ping、ICMP判断、1、TCP SYN判断、2、活动和端口开放：收到SYN确认包、2.1、活动但端口未开放或被防火墙过滤；收到RST数据包，2.2，未激活或被防火墙丢弃：在超时之前没有收到响应数据包，2.3。注意：强制扫描选项仅在防火墙配置被阻止时有用，但它会导致整体扫描速度急剧下降！端口扫

2、描，TCP端口扫描技术：TCP连接(推荐)同步，半连接扫描。UDP端口扫描技术，如FIN(这是一种旧技术，不通用，也不推荐):根据无法到达的端口来判断。(UDP扫描非常慢，不推荐)端口扫描范围：标准扫描：根据服务文件快速扫描(默认):仅扫描1-1024端口定制、端口扫描、TCP连接扫描(完全连接扫描)、TCP连接()如果端口打开，TCP连接()如果端口关闭，端口扫描、同步扫描(半连接扫描)、同步扫描、如果端口打开，同步扫描、如果端口关闭，TCP FIN标记扫描、 TCP FIN扫描结果当端口打开时，TCP FIN扫描结果当端口关闭时，常用的反向TCP标签扫描，探测包标签配置有以下三种类型：FI

3、N探测包，设置FIN标签XMAS探测包的TCP，设置空探测包的TCP标签如FIN，URG和PUSH，不设置任何TCP标签，服务识别，如何识别服务？ 横幅抓取：一般可以用来确定服务版本信息的TCP协议栈标识，也叫指纹，弱密码扫描，密码问题在哪里？Windows/Unix/Linux系统密码(SMB/TELNET) Cisco/NetScreen管理密码(http/TELNET/ssh)SNMP/SQL/POP3/SMTP RSA弱密码telnet FTP POP3 SNMP SMB，123456，abcdef，admin，root，test，guest123，test 123！#$%*，*%$#

4、！0，1，12，123，1234，12345，1234567，12345678，123456789，插件扫描，为什么使用插件功能模块化和可扩展的通用插件类别信息收集插件弱密码漏洞插件部分危险插件，信息收集插件，1，用户和密码猜测插件，漏洞扫描插件，危险插件，2，3，4，概要概念，概要，证书系统，当您购买RSAS产品时，您将颁发一个证书文件，其中包含产品的许可证信息：制造商数据库中证书编号的编号，用于客户服务跟踪。授权用户授权产品的合法用户名。购买模块包括网站扫描、数据分析、二次开发和发布四个模块，用户在使用前需要购买。服务期限供应商提供服务的开始日期和结束日期。证书类型包括销售证书和试用证书。

5、授权知识产权范围用户购买扫描的知识产权地址范围。奥罗拉通过授权IP地址的数量和授权IP地址记录来记录授权IP地址范围。国家自然科学基金远程安全评估系统，1。扫描任务，1。在此输入要扫描的ip地址，2。你也可以导入通讯录，3。单击高级选项，然后单击端口扫描配置，1。创建新的评估任务：弱密码扫描深度，1。创建新的扫描任务，国家自然科学基金安全评估系统可以通过预设的账户扫描获得更多的目标主机漏洞。在新增任务的高级选项中，选择预置登录账户，打开预置账户配置界面：1、选择预置登录账户，2、预置登录账户，点击【添加】，1、新建扫描任务，1)扫描未指定账户的结果，3、漏洞分布比较，2)扫描指定账户的结果，2

6、、网站扫描，1、网站扫描配置，网站扫描主要包括扫描跨站点脚本漏洞。跨站点脚本攻击是指恶意攻击者将恶意html代码插入网页。当用户浏览网页时，嵌入在网页中的html代码将被执行，从而达到恶意用户的特殊目的。SQL注入检测模块通过构造一个特殊的网址来检测远程万维网服务器脚本中可能存在的SQL注入漏洞。配置方法如下图所示：注意：只有包含此模块授权的许可证才能使用网络扫描任务。Web应用程序漏洞(全部)快速扫描高风险漏洞扫描SQL注入扫描XSS跨站点扫描远程挂马扫描，完整扫描扫描当前目录和子目录仅扫描任务网址，2。网站扫描，2。高级选项、注意：只有包含此模块授权的许可证才能使用web扫描任务。2。网站

7、扫描，2。网站报告、注意：只有包含此模块授权的许可证才能使用网络扫描任务。3.密码猜测1。密码猜测配置。选择需要密码猜测的服务类型。字典模式如下：1)标准模式：用户名和密码使用同一个字典。2)组合方式：用户名字典和密码字典组合使用；3.密码猜测。2.密码猜测结果；4。任务查询，NSFOCUS的数据搜索功能，可以从扫描结果中找到所需的信息；单击“搜索”，根据任务类型进行筛选，并按IP地址或任务名称搜索任务。搜索结果如下图所示：注意，5。在线报告，1。检查在线报告的内容：单击主机列表，单击漏洞列表，单击漏洞名称查看漏洞详细信息，单击脆弱帐户，单击参考标准，6。风险趋势分析，1。通过比较分析，管理员

8、可以了解不同时期主机风险的变化趋势。、注意：只有许可证可用。VI .风险趋势分析。趋势分析结果、从下图可以看出，任务2的风险值明显低于任务1，表明主机已经进行了安全加固，风险值已经下降到可以接受的水平。检查漏洞更改。六.风险趋势分析。漏洞更改、管理员可以单击漏洞更改来查看哪些漏洞已被修复，如下图所示、VII。报告输出、1。报表输出范围：1)按任务输出：可以输出您想查看的扫描任务，支持主机过滤，只能输出您想查看的主机；2)按ip范围输出：可以输出您想查看的IP地址范围。根据任务输出报告，从任务中筛选主机，单击报告输出，7。报告输出，2。报告输出的结构，8。自定义策略，1。自定义插件模板，2。选择

9、协议类型，3。在此类型下选择易受攻击的插件，1。单击添加模板，4。2.自定义报告模板、1。单击添加模板，2。选择报告内容，3。单击保存，8。自定义策略，3。自定义密码字典，2。输入新用户名：密码，3。单击另存为，8。自定义策略，4。自定义标准扫描端口。9.风险管理：1 .NSFOCUS通过风险管理模块实施漏洞管理。单击符号编辑节点，单击符号删除子节点，并发出扫描任务。9.风险管理。单击设备，列出该设备的扫描情况。1)注册设备：已完成设备经理姓名和电子邮件地址注册的设备。2)未注册设备：设备经理姓名和电子邮件地址未注册的设备。通常，它是一个自动发现的设备。10.用户管理。NSFOCUS安全评估系

10、统的默认用户包括系统管理员、报告管理员和审计管理员。系统管理员可以添加普通管理员。单击添加用户添加普通管理员。XI。日志审计。NSFOCUS的远程安全评估系统对用户登录和操作进行了严格的审核。目前支持的审计内容包括登录日志、操作日志和异常日志。单击任务名称查看在线报告，单击使用的IP，单击系统管理，检查系统状态、接口连接状态、CPU、MEM、磁盘使用情况、系统版本，检查授权注册信息，单击使用的IP，单击系统管理，并包括单击任务名称查看在线报告，修改扫描接口IP，配置扫描主机和任务数量，如果需要发送邮件报告，需要配置邮件服务器，手动升级，配置自动升级站点，同步时间服务器，与WSUS服务器链接，1

11、2。系统管理。配置系统服务和备份还原点。系统将自动保存还原点(每周一上午6: 00自动创建)。用户也可以自己创建还原点，还原点可以下载到本书中保存。十三.常用工具。国家自然科学基金远程安全评估系统自带四种诊断工具，主要用于设备诊断和故障排除。国家自然科学基金远程安全评估系统控制台管理，国家自然科学基金远程安全评估系统漏洞管理系列，准备登陆控制台。管理员登录控制台前，应做好以下准备工作：连接工作计算机的串行电缆，能够连接串行端口的终端软件(如Windows自带的超级终端软件)使用串行电缆将国家自然科学基金远程安全评估系统设备与工作计算机连接起来。以Windows自带的超级终端软件为例，介绍了实际

12、的连接过程、控制台登录和控制台管理员的初始帐户。第二，配置扫描网络参数，操作时注意以下几点：配置完成后立即生效；如果设备需要在线升级，网关和域名系统服务器需要正确配置。配置网络参数时，请注意格式(例如，网络掩码)。3.配置和管理网络参数。操作时请注意以下几点：默认地址为/24,无法配置网关地址管理机。它需要配置在与设备管理接口相同的网段上。4.网络诊断，在网络诊断菜单中为管理员提供一些诊断网络故障的工具，包括PING命令、路由跟踪、网络状态、路由信息、DNS解析查询等。5.系统管理，在系统管理菜单中，主要提供关闭系统、重启系统、修改控制台管理员密码、设置系统时钟、关闭/打开SSH服务、关闭/打开远程协助、重置WEB界面管理员密码、关闭/打开调试模式等工具。六.系统状态。在系统状态菜单中，主要