绿盟远程安全评估系统客户培训-副本

扫描器的基础知识1绿盟安全评估系统WEB管理2绿盟安全评估系统控制台管理3扫描器基础学问绿盟——远程平安评估系统漏洞管理系列布署模式独立部署网络较为集中部署一台绿盟远程平安评估系统设备分权管理和运用多级分布式部署多级网络结构数据汇总、集中管理绿盟扫描器调度存活性推断扫描器的存活推断扫描手段有：ICMPEcho扫描TCPping端口UDPping端口ARPpingICMP推断1TCPSYN推断2存活且端口开放：收到SYN+ACK包2.1存活但端口不开放或被防火墙过滤：收到RST包2.2不存活或被防火墙DROP：直到超时都没有收到回应包2.3留意：强制扫描选项只在防火墙配置阻断时才有确定用途，但会导致整个扫描速度急剧下降！端口扫描TCP端口扫描技术：TCPConnect(举荐)SYN，半连接扫描。FIN等(已经较老的技术，不通用，不举荐）UDP端口扫描技术：靠端口不行达来进行推断。（UDP扫描特别慢，不建议运用）端口扫描范围：标准扫描：依据Service文件（缺省）快速扫描：只扫描1-1024端口自定义端口扫描TCPConnect扫描（全连接扫描）TCPconnect()假如端口是开放的TCPconnect()假如端口是关闭的端口扫描SYN扫描，（半连接扫描）SYN扫描，假如端口是开放的SYN扫描，假如端口是关闭的端口扫描TCPFIN标记扫描端口开放时TCPFIN的扫描结果端口关闭时TCPFIN的扫描结果常用的反转TCP标记扫描，探测数据包标记配置有如下三种类型：FIN探测数据包，设置了TCP的FIN标记XMAS探测数据包，设置了FIN、URG以及PUSH等TCP标记NULL探测数据包，不设置任何TCP标记服务识别如何识别服务？Banner抓取:一般可用于确定服务版本信息TCP栈协议识别，也叫指纹识别（Fingerprint）弱口令扫描哪些地方存在口令问题？Windows/Unix/Linux……系统口令(SMB/TELNET）Cisco/NetScreen……管理口令（HTTP/TELNET/SSH）SNMP/SQL/POP3/SMTPRSAS缺省扫描的弱口令TELNETFTPPOP3SNMPSMB"123456","abcdef","Admin","root","test","Guest123","test123","!@#$%^&*","*&^%$#@!","0","1","12","123","1234","12345","1234567","12345678","123456789",

插件扫描为什么要运用插件功能模块化可扩展化常见插件类别信息收集插件弱口令插件漏洞插件部分危急插件信息收集类插件……1用户、口令揣测类插件漏洞扫描类插件危急插件234Profile概念Profile：经过整理分类并依据特定格式存放的信息称为Profile。证书系统购买RSAS产品时都会发放一个证书文件，该证书包含了产品的运用授权信息：证书编号——证书在厂商数据库中的编号，用于客户服务跟踪。授权运用者——被授权的产品合法运用者名称。购买模块——包括网站扫描、数据分析、二次开发、分布式四个模块，用户须要购买才能运用。服务期限——厂商供应服务的起始日期和终止日期。证书类型——包括销售证书和试用证书。授权IP范围——用户购买扫描的IP地址范围。极光通过授权IP地址数量和授权IP地址记录，记录授权IP地址范围。WEB管理绿盟——远程平安评估系统漏洞管理系列一、扫描任务1、这里输入须要扫描的ip地址2、也可以导入地址簿3、点击高级选项点击端口扫描配置1、新建评估任务：弱口令扫描深度一、新建扫描任务绿盟平安评估系统通过预设帐号扫描能够获得到目标主机更多的漏洞信息，预设帐号可以运用本地管理员帐号或域管理员帐号。

在新建任务中的高级选项，选择预设登陆帐号，打开预设帐号配置界面：选中预设登陆帐号2、预设登陆帐号：点击新增一、新建扫描任务1）非指定账户扫描结果：3、漏洞分布比较2）指定账户扫描结果：二、网站扫描1、网站扫描配置网站扫描主要包括扫描跨站脚本漏洞和SQL注入漏洞扫描，跨站脚本攻击是指恶意攻击者往Web页面里插入恶意html代码，当用户阅读该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。SQL注入检测模块通过构造特殊URL来探测远程WWW服务器脚本中可能存在的SQL注入漏洞，配置方法如下图所示：注：只有许可证中包含此模块的授权，才能运用WEB扫描任务。Web应用漏洞（全部）快速扫描高危漏洞扫描SQL注入扫描XSS跨站扫描远程挂马扫描完整扫描扫描当前书目和子书目只扫描任务URL二、网站扫描2、高级选项

注：只有许可证中包含此模块的授权，才能运用WEB扫描任务。二、网站扫描2、网站报表

注：只有许可证中包含此模块的授权，才能运用WEB扫描任务。三、口令揣测1、口令揣测配置

选择须要口令揣测的服务类型字典模式有：1）标准模式：用户名和密码运用同一个字典。2）组合模式：用户名字典和密码字典组合运用三、口令揣测2、口令揣测结果

四、任务查询绿盟平安评估系统的数据搜寻功能，可以从已经扫描的结果中查找须要的信息点击搜寻依据任务类型进行筛选可以通过IP地址或任务名称对任务搜寻搜寻的结果如下图所示：注：只有许可证中包含数据分析模块的授权，才能运用IP速查功能。五、在线报表1、查看在线报表内容：

点击主机列表点击漏洞列表点击漏洞名称可以查看漏洞的具体信息点击脆弱帐号点击参考标准六、风险趋势分析1、通过对比分析，管理员可以了解不同时间段主机的风险的变更趋势

点击对比分析，查看风险的趋势选择需要对比分析的任务注：只有许可证中包含数据分析模块的授权，才能运用对比分析功能。六、风险趋势分析2、趋势分析结果

从下图中可以看出任务二的风险值明显低于任务一的风险值，说明该主机以及进行了系统加固，风险值已经下降到一个可以接受的水平

查看漏洞变更的状况六、风险趋势分析3、漏洞的变更

管理员可以点击漏洞变更，查看哪些漏洞已经被修复了，如下图所示：削减的漏洞七、报表输出

1、报表输出范围的方式：1）按任务输出：可以输出想要查看的扫描任务，同时支持主机筛选，只输出想要查看的主机2）按IP范围输出：可以输出想要查看的ip地址范围。按任务输出报表从任务中筛选主机点击报表输出七、报表输出2、报表输出的结构

V5报表增加了网络风险和主机统计八、定制策略1、定制插件模板2、选择协议类型3、选择该类型下的漏洞插件1、点击增加模板4、点击保存，自定义扫描模板完成八、定制策略2、定制报表模板

1、点击增加模板2、选择报表内容3、点击保存八、定制策略3、定制密码字典

1、点击增加字典2、输入新的用户名：密码3、点击另存为八、定制策略4、定制标准扫描端口

2、定制服务名3、定制端口号4、选择协议类型1、选择增加5、保存九、风险管理1、绿盟平安评估系统通过风险管理模块实现漏洞管理

点击符号编辑节点点击符号删除子节点下达扫描任务九、风险管理2、设备风险提示

点击设备列出这台设备扫描状况1）已登记设备：完成设备管理员名称和邮箱登记的设备。2）未登记设备：未完成设备管理员名称和邮箱登记的设备。一般是自动发觉的设备。十、用户管理绿盟平安评估系统缺省用户包括系统管理员、报表管理员、审计管理员，系统管理员可以添加一般管理员。

点击添加用户添加一般管理员十一、日志审计绿盟远程平安评估系统系统对用户登录和操作进行了严格的审计，目前支持的审计内容有：登录日志、操作日志、异样日志。

点击任务名称即可查看在线报表十二、系统管理查看系统状态1、系统状态和授权注册信息接口连接状态CUP、MEM、DISK运用状况系统版本查看授权注册信息点击已经运用IP十二、系统管理2、在配置菜单中包括网络配置、并发数配置、邮件配置、升级配置等内容

点击任务名称即可查看在线报表修改扫描接口IP配置扫描主机数和任务数假如须要发送邮件报表，须要配置邮件服务器手工升级配置自动升级站点同步时间服务器与WSUS服务器联动十二、系统管理3、

配置系统服务和备份还原点系统会自动保存一个还原点（在每周一的上午6：00自动创建）用户也可以自己创建一个还原点还原点可以下载到本的保存十三、常用工具绿盟远程平安评估系统自带了四个诊断工具，主要用于设备的诊断和排错

绿盟远程平安评估系统

限制台管理绿盟——远程平安评估系统漏洞管理系列登陆限制台的准备管理员登录限制台之前，须要做好以下准备工作：工作计算机1台随机附带的串口线1根能够连接串口的终端软件（比如Windows自带的超级终端软件）用串口线将绿盟远程平安评估系统设备和工作计算机连接下面以Windows自带的超级终端软件为例，介绍实际连接过程限制台登录限制台管理员初始账号二、配置扫描网络参数操作时留意以下几点：配置完毕选择确定后马上生效；假如须要设备在线升级网关和DNS服务器须要正确配置。配置网络参数时，请留意格式（比如，网络掩码）。三、配置管理网络参数操作时留意以下几点：缺省地址为/24，不能配置网关地址管理机须要和设备管理接口配置在同一个网段。四、网络诊断在网络诊断菜单中供应应管理员一些诊断网络故障的工具，包括PING吩咐、路由追踪、网络状态、路由信息、DNS解析查询等五、系统管理在系统管理菜单中，主要供应了关闭系统、重启系统、修改限制台管理员口令、设置系统时钟、关闭/开启SSH服务、关闭/开启远程帮助、重置WEB界面管理员口令、关闭/开启调试模式等工具六、系统状