绿盟--漏洞扫描系统NSFOCUS-RSAS-S-v5.0知识讲解

选择漏洞管理产品的指标和建议
漏洞基础研究能力
拥有顶级安全专家的独立安全研究机 构（ NSFOCUS Security Team ）
发现包括Microsoft、 HP、SUN、
CISCO、 Juniper等多家厂商的40余 个严重安全漏洞
七年来一直维护国内最大最权威的中
文安全漏洞库NSBL，数目超过14000 条。
权威的漏洞检测库
基亍国内最权威中文漏洞库，精
心构造2800余条漏洞检测库，
识别各种安全漏洞隐患。 定期升级，重大漏洞两天 通过CVE兼容性认证 扫描涵盖了常见操作系统、数据 库、网络设备和应用程序 的远 程和本地可利用漏洞
Page 16
© 2011 绿盟科技
选择漏洞管理产品的指标和建议
© 2011 绿盟科技
入侵攻击与安全防护
扫描端口 识别服务 扫描漏洞 搜集信息 社会工程学
弱口令猜解 远程漏洞利用 敏感信息获取 暴力破解 伪造信息 拒绝服务
添加用户 权限提升 本地漏洞利用 破毁相关数据 盗窃机密资料 获取关联信息
植入木马 设置后门 跳板设置 清除痕迹
踩点+扫描 风险评估
攻击
入侵成功 系统加固 本地漏洞修补 入侵防护 虚拟补丁 主机加固
Page 22
© 2011 绿盟科技
丏攻术业，成就所托！
谢谢！
Page 23 © 2011 绿盟科技
……
Page 10
© 2011 绿盟科技
绿盟的关于漏洞认识和解决方案
“五个”过程
– – – – – 漏洞预警：获得权威漏洞信息 漏洞检测：检测资产存在的漏洞 风险管理：结合资产定位风险 漏洞修复：补丁系统联劢 漏洞审计：确认漏洞风险

R S A S产品白皮书 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-绿盟远程安全评估系统产品白皮书【绿盟科技】■文档编号产品白皮书■密级完全公开■版本编号■日期2015-10-19■撰写人尹航■批准人李晨2020 绿盟科技本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录插图索引一. 攻防威胁的变化利用安全漏洞进行网络攻击的互联网安全问题，好像阳光下的阴影，始终伴随着互联网行业的应用发展。

近些年，网络安全威胁的形式也出现了不同的变化，攻击方式从单个兴趣爱好者随意下载的简单工具攻击，向有组织的专业技术人员专门编写的攻击程序转变，攻击目的从证明个人技术实力向商业或国家信息窃取转变。

新攻击方式的变化，仍然会利用各种漏洞，比如：Google极光攻击事件中被利用的IE 浏览器溢出漏洞，Shady RAT攻击事件中被利用的EXCEL程序的FEATHEADER远程代码执行漏洞。

其实攻击者攻击过程并非都会利用0day漏洞，比如FEATHEADER远程代码执行漏洞，实际上，大多数攻击都是利用的已知漏洞。

对于攻击者来说，IT系统的方方面面都存在脆弱性，这些方面包括常见的操作系统漏洞、应用系统漏洞、弱口令，也包括容易被忽略的错误安全配置问题，以及违反最小化原则开放的不必要的账号、服务、端口等。

在新攻击威胁已经转变的情况下，网络安全管理人员仍然在用传统的漏洞扫描工具，每季度或半年，仅仅进行网络系统漏洞检查，无法真正达到通过安全检查事先修补网络安全脆弱性的目的。

网络安全管理人员需要对网络安全脆弱性进行全方位的检查，对存在的安全脆弱性问题一一修补，并保证修补的正确完成。

这个过程的工作极为繁琐，传统的漏洞扫描产品从脆弱性检查覆盖程度，到分析报告对管理人员帮助的有效性方面，已经无法胜任。

3.记录网络活动
安全日志
例如，通过查看安 全日志，管理员可 以找到非法入侵的 相关纪录，从而可 以做出相应的措施。
防火墙还能够监视并记录网络活动，并且提供警报功能。 通过防火墙记录的数据，管理员可以发现网络中的各种 问题。
4.限制网络暴露
NAT服务器 代理服务器
例如，防火墙的 NAT功能可以隐藏 内部的IP地址； 代理服务器防火墙 可以隐藏内部主机 信息。
续
基于网络的IDS（NIDS）：基于网络的IDS使用原始的网络分组数据包】 （IP包、TCP段）作为进行攻击分析的数据源，一般利用一个网络适配器来 实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS应答 模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络的入 侵检测系统的主要优点有： •成本低。攻击者转移证据很困难。实时检测和应答。一旦发生恶意访问或攻 击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应。从 而将入侵活动对系统的破坏减到最低。能够检测未成功的攻击企图。操作系 统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主 机的系统需要特定的操作系统才能发挥作用。 缺点：只能监控经过本网段的活动，精确度不高，在交换环境下难以配置。
1. 包过滤防火墙
简述：包过滤防火墙检查每一个通过的网络包， 决定或者丢弃，或者放行，取决于所建立的一 套规则。
地位：是第一代防火墙和最基本形式防火墙， 是目前建立防火墙系统首先要使用的部件，和 其他技术配合使用能得到较好的效果。
1. 包过滤防火墙
router
dualhomed-host
firewall
交换机
DMZ区
路由器
Internet
防火墙在网络中的位置

绿盟--漏洞扫描系统N S F O C U S-R S A S-S-v5.01.产品简介每年都有数以千计的网络安全漏洞被发现和公布，加上攻击者手段的不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。

事实证明，99%的攻击事件都利用了未修补的漏洞，使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦，蒙受巨大的经济损失。

寻根溯源，绝大多数用户缺乏一套完整、有效的漏洞管理工作流程，未能落实定期评估与漏洞修补工作。

只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作，才能够有效地避免由于攻击所造成的损失。

绿盟远程安全评估系统（NSFOCUS Remote Security Assessment System，简称：NSFOCUS RSAS）第一时间主动诊断安全漏洞并提供专业防护建议，让攻击者无机可乘，是您身边的“漏洞管理专家”。

产品为国内开发，具备自主知识产权，并经过三年以上应用检验并提供产品用户使用报告的复印件；产品具有高度稳定性和可靠性。

产品取得了中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，中华人民共和国国家版权局《计算机软件著作权登记证书》，中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》，国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》，中国信息安全测评中心《信息技术产品安全测评证书--EAL3》，中国信息安全认证中心《中国国家信息安全产品认证证书》。

厂商在信息安全领域有丰富的经验与先进的技术，须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。

产品使用了专门的硬件，基于嵌入式安全操作系统，大大提高了系统的工作效率和自身安全性。

系统稳定可靠，无需额外存储设备即可运行，系统采用B/S设计架构，并采用SSL加密通信方式，用户可以通过浏览器远程方便的对产品进行管理。

产品要求界面友好，并有详尽的技术文档；产品支持中英文图形界面，能够方便的进行语言选择，能够提供丰富的中英文语言的文档资料。

N S F-P R O D-W A F-V55-W e b管理用户使用手册(总75页)--本页仅作为文档封面，使用时请直接删除即可----内页可以根据需求调整合适字体及大小--冰之眼Web应用防火墙Web管理用户使用手册© 2021 绿盟科技■版权声明© 2007 绿盟科技本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

■商标信息NSFOCUS和冰之眼等均是绿盟科技的商标。

目录前言 .............................................................................................................................. 错误!未定义书签。

文档范围 .................................................................................................................. 错误!未定义书签。

期望读者 .................................................................................................................. 错误!未定义书签。

内容简介 .................................................................................................................. 错误!未定义书签。

获得帮助 .................................................................................................................. 错误!未定义书签。

绿盟漏洞扫描原理
绿盟漏洞扫描原理
绿盟漏洞扫描原理
绿盟漏洞扫描原理指的是绿盟科技公司所开发的漏洞扫描技术的基本原理。

该技术主要针对网络安全领域中存在的各种漏洞，主要应用于企业的信息安全管理，以及各种网络管理系统和网络安全系统的安全评估。

绿盟漏洞扫描的基本原理就是利用特定的漏洞扫描工具，对网络中所有的可达主机和设备进行全面的扫描，检测出其中的安全漏洞。

该技术利用了网络攻击者常用的各种攻击手段，包括端口扫描、漏洞利用、暴力破解等技术，从而通过漏洞扫描器对目标系统进行全面的安全评估。

绿盟漏洞扫描技术的主要优点在于其高效、准确和可靠性，同时还具有灵活性和易用性。

它可以快速地识别出网络中存在的各种漏洞，帮助企业及时修补漏洞，提高了企业的网络安全保障水平。

同时，它还可以对网络安全设备进行评估，帮助企业选择最适合的安全设备和技术。

总之，绿盟漏洞扫描技术是一种非常重要的网络安全评估工具，其原理和技术应用在企业的信息安全管理中具有广泛的应用前景。

- 1 -。

绿盟极光漏洞扫描（RSAS） 产品介绍
创发科技有限公司南京分公司
安全事件报告
CERT/CC安全事件和漏洞分析报告 “超过 95% 的安全事件 由已知漏洞和配置错误导致”
— CERT*
漏 洞 数 量
安 全 事 件
漏洞数量
安全事件
• 漏洞趋势：
•Gartner 预测（2003年12月）： •直到2009年，90%以上的黑客 攻击都会利用已知的软件漏洞 ...
方便的控制管理
10
友好的用户界面
11
丰富的报表
>> 提供丰富的报表功能
• 汇总漏洞分析报表
• 基于操作系统的漏洞分析报表 • 基于主机名的漏洞分析报表 • 基于IP地址漏洞分析报表 • 基于危险程度的漏洞分析报表 • 基于服务的漏洞分析报表 • 基于漏洞及解决方法的漏洞分析报表 • 基于趋势分布的漏洞分析报表 >> 报表可保存为多种文件格式 • HTML、EXCEL、Word、RTF、PEF、Text >> 中文形式报告 • 描述详细，图文并茂，易于理解 >> 风险界别划分 • 按漏洞的重要程度(High,Medium,Low)自动分类
• 保障业务安全
通过降低安全风险，提高业务安全状况
16
选择绿盟漏洞扫描的理由
• 功能全面、使用简便
全面扫描：操作系统、数据库、网络设备、安全设备… 丰富的漏洞库 扫描速度快 灵活的接入方式，适应性强
用户使用简单、方便
• 专业的技术队伍支持
CISSP CISP CCIE BS7799实施顾问&Lead Auditor CCNP…
扫描C类、B类网络。
扫描C类、B类、A类网络。 扫描任意网络范围，无IP地址限制。

网络安全漏洞扫描网络安全是当今互联网时代中一个关键的议题。

随着信息技术的不断发展和普及，网络攻击的威胁也日益增加。

为了保护网络系统的安全，识别和修复潜在的漏洞变得至关重要。

在这篇文章中，我们将探讨网络安全漏洞扫描的重要性，并介绍一些常用的扫描工具和技术。

一、网络安全漏洞的定义网络安全漏洞是指网络系统或应用程序中可能被黑客或其他未授权用户利用的弱点或缺陷。

这些漏洞可以导致敏感信息被窃取、系统被入侵或其他恶意活动。

通过发现和及时修复这些漏洞，我们能够有效地保护网络系统的安全和隐私。

二、网络安全漏洞扫描的目的网络安全漏洞扫描旨在通过自动化工具和技术来检测和评估网络系统中的潜在漏洞。

通过扫描网络系统，我们能够快速发现可能被攻击的漏洞，并及时采取修复措施，从而提高网络系统的安全性。

网络安全漏洞扫描的目的包括：1. 识别和评估网络系统中的漏洞和弱点。

2. 预防潜在的网络攻击和数据泄露。

3. 加强系统安全性，提高网络系统的整体稳定性。

4. 符合法规和合规要求，并保护用户数据的隐私。

三、网络安全漏洞扫描的工具和技术1. 漏洞扫描工具漏洞扫描工具是一种通过自动化方式扫描和评估网络系统中的潜在漏洞的软件程序。

以下是一些常用的漏洞扫描工具：- Nessus：一款功能强大的漏洞扫描工具，能够检测和评估各种网络系统中的漏洞。

- OpenVAS：一款开源的漏洞扫描工具，具有广泛的漏洞检测和报告功能。

- Nikto：专注于Web应用程序的漏洞扫描工具，能够检测和评估Web应用程序中的潜在漏洞。

- QualysGuard：一款云端漏洞扫描工具，提供全面的漏洞扫描和安全评估服务。

2. 漏洞扫描技术除了漏洞扫描工具，还有一些其他常用的漏洞扫描技术，包括：- 端口扫描：通过扫描网络系统的开放端口，识别可能存在的漏洞和弱点。

- 漏洞利用：通过利用已知的漏洞或弱点，进一步评估网络系统的安全性。

- 模糊测试：通过发送异常或非预期输入来评估应用程序的鲁棒性和安全性。

僵木蠕检测平台的实现思路行业技术部王卫东关键词: 僵尸网络木马蠕虫DDoS摘要:本文从僵尸、木马、蠕虫主机的检测目标出发，给出了僵木蠕检测的工作原理、僵木蠕检测平台的系统组成、各组件的具体作用以及将各组件整合成一个统一的检测平台的思路。

1.引言近年来，DDoS攻击愈演愈烈，最大规模攻击已经超过了300Gbps, 100Gbps以上的攻击也屡见不鲜了。

僵尸网络是DDoS的罪魁祸首，而蠕虫是僵尸网络传播的主要途径之一。

APT （Advanced Persistent Threat，高级持久性威胁）攻击逐渐成为信息安全领域的热点话题，而木马的传播与控制是APT攻击的主要步骤。

为了更好的防御这两类攻击，需要在预防环节上加大检测力度，从而在源头上实现攻击防御。

1.1僵木蠕的定义僵尸网络从诞生之日到现在，技术原理经历了很多演化，但本质上没有太大的改变。

早期的僵尸网络定义还局限于最初的实现技术，不够通用。

后来Bacher 等人[1]给出了一个更具通用性的定义：僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络。

但是这个定义又过于简单，没有给出僵尸网络的特性。

综合分析各种文献，这里尝试给出一个相对完整的定义：控制者(称为Botmaster)出于恶意目的，利用一对多的命令与控制信道对感染僵尸程序的大量主机进行控制而组成的网络。

僵尸网络一般由C&C服务器和大量的僵尸主机组成。

木马是攻击者在目标主机上植入的恶意程序，主要用于暗中窃取目标主机上的身份、账号、密码及数据文件等机密信息。

蠕虫是一种可以自我复制，通过网络自动传播的病毒。

单纯的蠕虫危害不是很大。

有些僵尸程序利用蠕虫的机制进行传播。

因此国外的有些文献将蠕虫和僵尸程序混淆在一起。

表1-1 僵木蠕属性对比1.2僵木蠕检测目标僵尸、木马与蠕虫是三种不同类型的恶意程序，其传播方式和工作机制等都有很大差别。

因此在检测目标上也有很大不同。

僵尸网络的检测目标：1）定位僵尸主机的IP地址：对于使用私有地址的僵尸主机，从公网一侧进行检测，只需定位其网络出口的公网地址。

7.1 概述 .................................................................................................................................................22 7.2 系统升级 .........................................................................................................................................23
四. 查看事件 .............................................................................................................................................15
4.1 事件概述 .........................................................................................................................................15 4.2 查看状态 .........................................................................................................................................15 4.3 入侵检测事件 .................................................................................................................................17

绿盟产品概览--营销部编制2014年5月15日序号缩写简称英文全称中文全称简介备注1 RSAS NSFOCUS RSAS NSFOCUS Remote Security Assessment 绿盟远程安全评估系统漏洞管理产品，它高效、全方位的检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议，并贴合安全管理流程对修补效果进行审计，最大程度减小受攻击面，是您身边专业的"漏洞管理专家"2 BVS NSFOCUS BVS NSFOCUS Benchmark Verification System 绿盟安全配置核查系统采用高效、智能的识别技术，可以实现对网络资产设备自动化的安全配置检测、分析，并提供专业的安全配置建议与合规性报表3 WVSS NSFOCUS WVSS NSFOCUS Web Vulnerability Scanning System 绿盟WEB应用漏洞扫描系统自动获取网站包含的相关信息，并全面模拟网站访问的各种行为，通过内建的"安全模型"检测Web应用系统潜在的各种漏洞，同时为用户构建从急到缓的修补流程，满足安全检查工作中所需要的高效性和准确性。

4 WSM NSFOCUS WSM NSFOCUS WEB Security Monitoring System 绿盟网站安全监测系统能够根据站点管理者的监管要求，通过对目标站点进行不间断的页面爬取、分析、匹配，为客户的互联网网站提供远程安全监测、安全检查、实时告警，是构建完善的网站安全体系的最好补充5 ADS NSFOCUS ADS NSFOCUS Anti-DDoS System 绿盟抗拒绝服务系统及时发现背景流量中各种类型的攻击流量，针对攻击类型迅速对攻击流量进行拦截，保证正常流量的通过6 NF NF Next Firewall 绿盟下一代防火墙在用户网络边界建立以应用为核心的网络安全策略，通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视、可控、合规和安全，最终保障网络应用被安全高效的使用。

绿盟远程安全评估系统（漏洞管理系列）快速使用指南文档版本：V5.0.6.0-20090922© 2020 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录一、基础配置 (1)1.1 登录NSFOCUS RSAS设备 (1)1.2 登录Web管理界面 (3)3系统用户 (4)二、创建评估任务 (5)三、报表查看 (7)3.1 查看在线报表 (7)3.2 报表输出 (8)四、日常维护 (10)4.1 修改扫描接口IP地址 (10)4.2 测试网络连通性 (10)4.3 备份与恢复 (10)五、漏洞修复 (12)附录出厂参数 (12)1. 初始网络设置 (12)1.1管理口初始配置 (12)1.2 扫描口初始配置错误!未定义书签。

2. 初始用户帐号 ........... 错误!未定义书签。

3. 串口通讯参数 (12)本文针对初次使用绿盟远程安全评估系统（漏洞管理系列）的用户，介绍产品的基本配置和主要功能的使用方法。

一、基础配置1.1 登录NSFOCUS RSAS设备请将NSFOCUS RSAS设备按照如图1.1所示的拓扑结构方式接入网络。

此图考虑的是通常情况，在具体应用时，请根据实际网络的拓扑结构加以调整。

图1.1 NSFOCUS RSAS的网络接入拓扑结构图◆NSFOCUS RSAS无论接入网络何处都能使用，但考虑到使用性能建议将其接入到公司主干网的交换机上。

◆使用网络直连线连接交换机和NSFOCUS RSAS的扫描口（SCAN口）。

◆管理员可以通过设备的扫描口或管理口的缺省IP地址对设备进行管理。

◆NSFOCUS RSAS扫描接口（SCAN口）、管理接口（CONFIG口）的位置和缺省IP地址如图1.2所示。

1.产品简介每年都有数以千计的网络安全漏洞被发现和公布，加上攻击者手段的不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。

事实证明，99%的攻击事件都利用了未修补的漏洞，使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦，蒙受巨大的经济损失。

寻根溯源，绝大多数用户缺乏一套完整、有效的漏洞管理工作流程，未能落实定期评估与漏洞修补工作。

只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作，才能够有效地避免由于攻击所造成的损失。

绿盟远程安全评估系统（NSFOCUS Remote Security Assessment System，简称：NSFOCUS RSAS）第一时间主动诊断安全漏洞并提供专业防护建议，让攻击者无机可乘，是您身边的“漏洞管理专家”。

产品为国内开发，具备自主知识产权，并经过三年以上应用检验并提供产品用户使用报告的复印件；产品具有高度稳定性和可靠性。

产品取得了中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，中华人民共和国国家版权局《计算机软件著作权登记证书》，中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》，国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》，中国信息安全测评中心《信息技术产品安全测评证书--EAL3》，中国信息安全认证中心《中国国家信息安全产品认证证书》。

厂商在信息安全领域有丰富的经验与先进的技术，须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。

产品使用了专门的硬件，基于嵌入式安全操作系统，大大提高了系统的工作效率和自身安全性。

系统稳定可靠，无需额外存储设备即可运行，系统采用B/S 设计架构，并采用SSL加密通信方式，用户可以通过浏览器远程方便的对产品进行管理。

产品要求界面友好，并有详尽的技术文档；产品支持中英文图形界面，能够方便的进行语言选择，能够提供丰富的中英文语言的文档资料。

绿盟工控漏洞扫描系统产品白皮书© 2014 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录一. 概述 (1)二. 工控安全评估面临的挑战 (3)2.1工业控制系统面临更加苛刻的安全性要求 (3)2.2如何把成熟的IT风险评估技术移植到工业控制系统环境中 (4)三. 绿盟工控漏洞扫描系统 (5)3.1产品概述 (5)3.2产品特性 (6)3.2.1 覆盖多样的工业控制系统 (6)3.2.2 基于协议转换的漏洞扫描技术 (7)3.2.3 无损扫描技术 (9)3.2.4 可视化的工控风险展示 (9)3.2.5 基于工控资产的漏洞跟踪 (9)3.2.6 完善的漏洞管理流程 (10)3.2.7 高可靠的自身安全性 (10)3.2.8 持续快速漏洞响应机制 (10)3.3典型部署模式 (11)四. 结语 (11)五. 附录 (12)一. 概述实现以“数字化、智能化、网络化”为特点的工业信息化建设已经成为我国两化融合的重要目标，党的十八大提出要“坚持走中国特色新型工业化、信息化、城镇化、农业现代化道路”。

相比西方发达国家因为历史原因形成的“先工业化再信息化”的发展路径(比如德国政府在2013年提出的“工业4.0”国家战略)，我国成功抓住了新一轮全球科技革命和产业变革机遇，实现了工业化和信息化同步发展。

而工业控制系统在工业信息化中有着举足轻重的位置，其广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业，被控对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。

它通过对工作过程进行自动化监测、指挥、控制和调节，保证工业设施的正常运转，是国家关键基础设施和信息系统的重要组成部分。

2021/7/26
31
• 设置SQL扫描 • 设置IPC扫描 • 设置IIS扫描 • 设置IIS扫描 • 设置IIS扫描 • 设置MISC扫描 • 设置PLUGINS扫描 • 设置扫描选项
2021/7/26
15
• 性能
• 扫描软件运行的时候，将占用大量的网络带宽， 因此，扫描过程应尽快完成。当然，漏洞库中 的漏洞数越多，选择的扫描模式越复杂，扫描 所耗时间就越长，因此，这只是个相对的数值。 提高性能的一种方式是在企业网中部署多个扫 描工具，将扫描结果反馈到一个系统中，对扫 描结果进行汇总。
2021/7/26
9
• 底层技术
• 选择漏洞扫描软件，首先要了解其底层技术。
漏洞扫描可以分为“被动”和“主动”两大类。
被动扫描不会产生网络流量包，不会导致目标
系统崩溃。被动扫描对正常的网络流量进行分
析，可以设计成“永远在线”的检测方式。主
动扫描更多地带有“入侵”的意图，可能会影
响网络和目标系统的正常操作。它们并不是持
2021/7/26
5
• 漏洞扫描的意义
• 多数的攻击者通常进行的是较为简单的攻击尝试。很明显，发现一个已知的漏洞， 远比发现一个未知漏洞要容易的多。这就意味着多数攻击者所利用的都是常见的 漏洞，而这些漏洞先前已经被发现并均有书面资料记载。因此，如果能够在黑客 利用这些常见漏洞之前检查出系统和网络的薄弱环节，就可以大大降低攻击发生 的可能性。可以看出，漏洞扫描对于系统和网络安全是至关重要的。如果说防火 墙是被动的防御手段，那么漏洞扫描就是一种主动的防范措施，可以有效避免黑 客攻击行为，做到防患于未然。
2021/7/26
29
• 启动流光
• 流光安装完成之后，即可以启动和使用流光。 启动后，会进入流光的主界面

文档版本：V5.6.3.25-20090828绿盟网络入侵防护系统用户使用手册© 2009 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录前言 (1)文档范围 (1)期望读者 (1)内容简介 (1)获得帮助 (2)格式约定 (2)一. 产品概述 (3)二. 基础知识 (4)2.1接口 (4)2.2子接口 (4)2.3安全区 (4)2.4对象 (5)2.5VLAN与VLAN路由 (5)2.6证书系统 (5)三. 登录引擎WEB管理界面 (7)3.1登录方法 (7)3.2导入证书 (8)3.3系统状态确认 (9)四. 部署方式 (11)4.1直通部署方式 (11)4.1.1 单路部署 (11)4.1.2 多路部署 (13)4.2三层部署方式 (14)4.2.1 静态路由部署 (14)4.2.2 OSPF动态路由部署 (23)4.2.3 RIP动态路由部署 (26)4.3BGP部署 (26)4.4VLAN部署 (27)4.4.1 VLAN部署方式一：隔离广播域 (28)4.4.2 VLAN部署方式二：Trunk (29)4.4.3 VLAN部署方式三：Trunk穿越 (30)4.4.4 VLAN部署方式四：混合部署 (31)4.5单臂路由部署方式 (32)4.6负载均衡部署方式 (33)4.7高可用性设置 (35)4.7.1 高可用性HA设置 (35)4.7.2 生成树配置 (36)五. 策略配置 (38)5.1对象 (38)5.1.1 网络对象 (38)5.1.2 服务对象 (46)5.1.3 事件对象 (49)5.1.4 IM/P2P对象 (60)5.1.5 时间对象 (63)5.2路由 (66)5.2.1 静态路由 (66)5.2.2 动态路由 (68)5.2.3 策略路由 (68)5.3防火墙策略 (69)5.3.1 阻断功能 (70)5.3.2 认证功能 (70)5.3.3 NAT功能 (73)5.3.4 一一映射和端口映射 (74)5.4IDS联动 (76)5.5入侵防护策略 (76)5.6流量管理策略 (77)5.6.1 保证带宽 (77)5.6.2 最大带宽 (78)5.7IM/P2P策略 (79)5.8WEB安全策略 (82)5.8.1 WEB信誉策略配置 (82)5.8.2 URL过滤策略配置 (83)5.9防病毒策略 (83)5.9.1 启用防病毒引擎 (84)5.9.2 防病毒策略配置 (85)5.10透明代理策略 (88)5.11DHCP服务 (89)5.11.1 DHCP服务配置 (89)5.11.2 DHCP中继配置 (91)5.11.3 租约列表 (92)5.12DNS服务 (92)5.12.1 DNS服务器配置 (92)5.12.2 DNS客户端配置 (93)5.13IPMAC绑定 (93)5.14策略配置生效方式 (95)六. 查看实时事件 (96)6.1流量 (96)6.2入侵防护事件 (96)6.3IM/P2P事件 (97)6.4WEB安全事件 (98)6.5防病毒事件 (99)七. 日志分析 (100)7.1防火墙日志 (100)7.2入侵防护日志 (101)7.3IM/P2P日志 (102)7.4WEB安全日志 (103)7.5防病毒日志 (104)7.6系统日志 (105)八. 统计报表 (107)8.1防火墙统计报表 (107)8.2入侵防护统计报表 (108)8.3IM/P2P统计报表 (108)8.4WEB安全统计报表 (109)8.5防病毒统计报表 (110)九. 系统维护 (112)9.1升级与恢复 (112)9.1.1 升级设置 (112)9.1.2 导入升级文件 (112)9.2下载与备份 (114)9.3系统配置 (114)9.3.1 引擎配置 (114)9.3.2 外置Bypass配置 (115)9.3.3 与安全中心连接 (116)9.3.4 SQL注入白名单 (117)9.3.5 恶意站点库白名单 (118)9.4帐号管理 (119)9.4.1 帐号管理 (119)9.4.2 参数配置 (121)9.5网络诊断与调试 (122)9.5.1 网络连接状态 (122)9.5.2 网卡状态 (123)9.5.3 ping工具 (123)9.5.4 traceroute工具 (124)9.6证书管理 (124)9.7系统控制 (124)十. 引擎串口管理 (126)10.1功能概述 (126)10.2登录串口 (126)10.3详细介绍 (129)10.3.1 查看系统信息 (129)10.3.2 配置安全中心 (130)10.3.3 诊断工具 (131)10.3.4 维护工具 (132)10.3.5 系统初始化 (133)10.3.6 重新启动系统 (134)10.3.7 存储当前设置 (134)10.3.8 退出配置界面 (135)十一. NSFOCUS NIPS规则库 (136)附录A出厂参数 (137)A.1引擎管理口初始设置 (137)A.2引擎初始用户 (137)A.2.1Web操作员初始帐号 (137)A.2.2Web审计员初始帐号 (137)A.2.3串口管理员初始帐号 (137)A.3绿盟安全中心管理员初始帐号 (137)A.4串口通讯参数 (138)A.5CLI管理员初始帐号 (138)插图索引图 3.1 登录时的安全警报界面 (7)图 3.2 NSFOCUS NIPS的WEB管理登录界面 (8)图 3.3 NSFOCUS NIPS当前的运行状态信息 (8)图 3.4 导入引擎证书之前 (9)图 3.5 导入引擎证书确认对话框 (9)图 3.6 正确导入引擎证书之后的证书信息 (10)图 4.1 部署方式–单路部署结构图 (11)图 4.2 单路部署方式–配置ETH0接口 (12)图 4.3 单路部署方式–配置ETH1接口 (12)图 4.4 单路部署方式–配置ETH2接口 (13)图 4.5 部署方式–单路部署的接口列表 (13)图 4.6 部署方式–多路部署结构图 (13)图 4.7 多路部署方式–配置ETH3接口 (14)图 4.8 部署方式–多路部署的接口列表 (14)图 4.9 部署方式–静态部署结构图 (15)图 4.10 静态路由部署方式–配置DMZ安全区 (16)图 4.11 静态路由部署方式–配置内网安全区 (16)图 4.12 静态路由部署方式–配置外网安全区 (16)图 4.13 静态路由部署方式–配置内网接口 (16)图 4.14 静态路由部署方式–配置外网接口 (17)图 4.15 静态路由部署方式–配置DMZ安全区接口 (17)图 4.16 静态路由部署方式–配置完成后的接口列表 (17)图 4.17 静态路由部署方式–创建节点对象（DMZ服务器） (18)图 4.18 静态路由部署方式–创建节点对象（一一映射公网的IP地址） (18)图 4.19 静态路由部署方式–创建节点对象（DMZ区域的WEB服务器内部IP地址） (18)图 4.20 静态路由部署方式–创建节点对象（外网接口IP地址） (19)图 4.21 静态路由部署方式–配置完成后的节点对象列表 (19)图 4.22 静态路由部署方式–创建IP池对象（NAT使用地址） (19)图 4.23 静态路由部署方式–配置完成后的IP池对象列表 (19)图 4.24 静态路由部署方式–配置防火墙规则的NAT (20)图 4.25 静态路由部署方式–配置完成后的防火墙规则列表 (20)图 4.26 静态路由部署方式–配置外网接口的一一映射规则 (21)图 4.27 静态路由部署方式–配置完毕的外网接口一一映射规则列表 (21)图 4.28 静态路由部署方式–创建“外网 外网”的防火墙规则 (21)图 4.29 静态路由部署方式–配置外网接口的端口映射规则 (22)图 4.30 静态路由部署方式–配置完毕的外网接口端口映射规则列表 (22)图 4.31 静态路由部署方式–创建静态路由1 (22)图 4.32 静态路由部署方式–创建静态路由2 (23)图 4.33 静态路由部署方式–配置完毕的静态路由列表 (23)图 4.34 部署方式–动态路由部署结构图（方式一） (24)图 4.35 部署方式–动态路由部署结构图（方式二） (25)图 4.36 部署方式–查看OSPF路由信息 (26)图 4.37 部署方式– BGP部署结构图 (27)图 4.38 部署方式– VLAN部署结构图（隔离广播域） (28)图 4.39 VLAN部署–创建ACCESS模式的安全区VLAN_A (28)图 4.40 VLAN部署–创建ACCESS模式的安全区VLAN_B (29)图 4.41 VLAN部署–隔离广播域的接口列表 (29)图 4.42 部署方式– VLAN部署结构图（TRUNK） (30)图 4.43 VLAN部署–创建TRUNK模式的安全区VLAN_C (30)图 4.44 部署方式– VLAN部署结构图（TRUNK穿越） (31)图 4.45 部署方式– VLAN部署结构图（混合部署） (31)图 4.46 VLAN部署–创建三层模式的安全区VLAN_F (32)图 4.47 VLAN部署–创建ACCESS模式的安全区VLAN_G (32)图 4.48 部署方式–单臂路由部署结构图 (33)图 4.49 单臂路由部署方式–子接口列表 (33)图 4.50 部署方式–负载均衡部署结构图 (34)图 4.51 网络–高可用性设置 (35)图 4.52 网络－生成树配置 (37)图 5.1 对象–网络对象列表 (38)图 5.2 对象–创建网络对象 (39)图 5.3 对象–节点对象列表 (40)图 5.4 对象–创建节点对象 (40)图 5.5 对象–MAC地址对象列表 (42)图 5.6 对象–创建MAC地址对象 (42)图 5.7 对象– IP池对象列表 (43)图 5.8 对象–创建IP池对象 (43)图 5.9 对象–网络组对象列表 (44)图 5.10 对象–创建网络组对象 (45)图 5.11 对象–系统服务对象列表 (46)图 5.12 对象–自定义服务对象列表 (47)图 5.13 对象–创建自定义服务对象 (47)图 5.14 对象–服务组对象列表 (48)图 5.15 对象–系统分组对象列表 (50)图 5.16 对象–编辑系统分组对象 (50)图 5.17 对象–自定义规则列表 (51)图 5.18 对象–自定义IP规则 (52)图 5.19 对象–自定义UDP规则 (53)图 5.20 对象–自定义ICMP规则 (54)图 5.21 对象–自定义HTTP规则 (55)图 5.22 对象–自定义POP3规则 (55)图 5.23 对象–自定义MSN规则 (56)图 5.24 对象–自定义QQTCP规则 (57)图 5.25 对象–自定义FTP规则 (57)图 5.26 对象–自定义分组对象列表 (58)图 5.27 对象–创建自定义分组对象 (58)图 5.28 对象–事件组对象列表 (59)图 5.29 对象–系统IM/P2P对象列表 (60)图 5.30 对象–自定义IM/P2P对象列表 (61)图 5.31 对象–创建自定义IM/P2P对象 (62)图 5.32 对象– IM/P2P组对象列表 (63)图 5.33 对象–自定义时间对象列表 (64)图 5.34 对象–创建自定义时间对象 (64)图 5.35 对象–时间组对象列表 (65)图 5.36 路由–静态路由列表 (67)图 5.37 路由–创建静态路由 (67)图 5.38 路由–策略路由列表 (68)图 5.39 路由–创建策略路由 (68)图 5.40 防火墙策略–设置阻断功能 (70)图 5.41 防火墙策略–设置阻断功能的规则 (70)图 5.42 防火墙策略–认证配置 (71)图 5.43 防火墙策略–设置NSFOCUS EPS认证功能 (72)图 5.44 防火墙策略–设置NSFOCUS EPS认证功能的规则 (72)图 5.45 防火墙策略–设置NAT地址对象 (73)图 5.46 防火墙策略–设置防火墙规则（NAT功能） (73)图 5.47 一一映射–设置接口的一一映射规则 (74)图 5.48 一一映射–设置完毕的一一映射规则列表 (74)图 5.49 端口映射–设置接口的端口映射规则 (75)图 5.50 端口映射–设置完毕的端口映射规则列表 (75)图 5.51 入侵防护策略–创建阻断蠕虫和病毒的规则 (76)图 5.52 入侵防护策略–创建检查全部事件的规则 (77)图 5.53 配置完毕的入侵防护规则列表 (77)图 5.54 流量管理策略–创建流量管理规则（保证带宽） (78)图 5.55 流量管理策略–创建流量管理规则（最大带宽） (79)图 5.56 IM/P2P策略–创建阻断迅雷、BT下载和电驴的规则 (80)图 5.57 IM/P2P策略–定义上班时间对象 (80)图 5.58 IM/P2P策略–时间对象列表 (80)图 5.59 IM/P2P策略–创建在线视频和网络游戏事件上班时间的规则 (81)图 5.60 IM/P2P策略–创建检查全部事件的规则 (81)图 5.61 配置完毕的IM/P2P规则列表 (81)图 5.62 WEB安全策略–配置WEB信誉 (82)图 5.63 WEB安全策略–触发规则时的页面显示 (82)图 5.64 WEB安全策略–创建URL过滤规则 (83)图 5.65 配置完毕的URL过滤规则列表 (83)图 5.66 防病毒策略– NSFOCUS病毒引擎配置 (84)图 5.67 防病毒策略–创建防病毒规则 (85)图 5.68 配置完毕的防病毒规则列表 (85)图 5.69 防病毒配置– NSFOCUS病毒引擎 (86)图 5.70 防病毒配置– KASPERKAY病毒引擎 (86)图 5.71 防病毒策略–白名单 (87)图 5.72 防病毒配置–许可证 (87)图 5.73 防病毒策略–病毒库版本信息 (87)图 5.74 透明代理－新建配置 (88)图 5.75 透明代理配置列表 (88)图 5.76 DHCP –新建动态DHCP服务 (90)图 5.77 DHCP –新建静态DHCP服务 (90)图 5.78 DHCP –配置完毕的DHCP服务列表 (91)图 5.79 DHCP –新建DHCP中继 (91)图 5.80 DHCP –配置完毕的DHCP服务列表 (91)图 5.81 DHCP –租约列表 (92)图 5.82 DNS –新建DNS服务器 (92)图 5.83 DNS –配置完毕的DNS服务器列表 (92)图 5.84 DNS –新建DNS客户端 (93)图 5.85 网络– IP和MAC绑定规则列表 (93)图 5.86 网络–新建IP地址与MAC地址的绑定 (94)图 5.87 网络– IPMAC在线状态 (95)图 6.1 NSFOCUS NIPS引擎实时流量统计信息 (96)图 6.2 事件–入侵防护事件TOP20 (97)图 6.3 事件– IM/P2P事件TOP20 (98)图 6.4 事件– WEB安全事件TOP20 (98)图 6.5 事件–防病毒事件TOP20 (99)图7.1 日志分析–防火墙日志 (100)图7.2 日志分析–入侵防护日志 (101)图7.3 日志分析– IM/P2P日志 (102)图7.4 日志分析– WEB安全日志 (103)图7.5 日志分析–防病毒日志 (104)图7.6 日志分析–系统日志 (105)图8.1 统计报表–防火墙统计报表 (107)图8.2 统计报表–入侵防护统计报表 (108)图8.3 统计报表– IM/P2P统计报表 (109)图8.4 统计报表– WEB安全统计报表 (110)图8.5 统计报表–防病毒统计报表 (111)图9.1 系统–导入升级文件 (113)图9.2 系统–下载文件 (114)图9.3 系统–引擎配置 (115)图9.4 系统–外置BYPASS设备 (116)图9.5 系统–配置引擎的安全中心 (116)图9.6 系统配置–SQL注入白名单 (118)图9.7 系统配置–恶意站点库白名单 (119)图9.8 系统–帐号管理 (120)图9.9 添加新账户 (121)图9.10 帐号管理－参数配置 (122)图9.11 系统–当前的网络连接状态 (123)图9.12 系统–当前的网卡状态 (123)图9.13 系统–网络诊断工具（PING工具） (124)图9.14 系统–网络诊断工具（TRACEROUTE工具） (124)图9.15 系统–系统控制 (125)图10.1 超级终端运行的位置信息 (126)图10.2 输入超级终端连接描述 (127)图10.3 选择超级终端连接端口 (127)图10.4 设置超级终端连接端口 (128)图10.5 选择引擎管理菜单语言 (128)图10.6 NSFOCUS NIPS引擎的串口管理主菜单 (129)图10.7 引擎串口管理–查看系统信息 (130)图10.8 引擎串口管理–配置网络引擎参数 (131)图10.9 引擎串口管理–诊断工具 (132)图10.10 引擎串口管理–维护工具 (133)图10.11 引擎串口管理–系统初始化 (133)图10.12 引擎串口管理–重新启动系统 (134)图10.13 引擎串口管理–存储当前设置 (134)图11.1 帮助–规则库搜索 (136)前言文档范围本文将覆盖绿盟网络入侵防护系统（NSFOCUS Network Intrusion Prevention System，以下简称NSFOCUS NIPS）的Web管理界面和串口管理界面的所有功能点，详细介绍使用方法。

WEB管理
绿盟——远程安全评估系统 漏洞管理系列
一、扫描任务
1、新建评估任务：
弱口令扫描深度
1、这里输入需要扫描 的ip地址
2、也可以导入地址 簿
点击端口扫描配置
3、点击高级选项
一、新建扫描任务
2、预设登陆帐号：
绿盟安全评估系统通过预设帐号扫描能够获得到目标主机更多的漏洞信息，预设帐号可 以使用本地管理员帐号或域管理员帐号。 在新建任务中的高级选项，选择预设登陆帐号，打开预设帐号配置界面：
点击搜索 根据任务类型进 行筛选 可以通过IP地址或 任务名称对任务搜 索
搜索的结果如下图所示：
注：只有许可证中包含数据分析模块的授权，才能使用IP速查功能。
五、在线报表
1、查看在线报表内容：
点击漏洞列表 点击主机列表 点击参考标准
选中预设 登陆帐号
点击新增
一、新建扫描任务
3、漏洞分布比较
1）非指定账户扫描结果： 2）指定账户扫描结果：
二、网站扫描
1、网站扫描配置
网站扫描主要包括扫描跨站脚本漏洞和SQL注入漏洞扫描，跨站脚本攻击是指恶意攻击者往 Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从 而达到恶意用户的特殊目的。SQL注入检测模块通过构造特殊URL来探测远程WWW服务器脚本中 可能存在的SQL注入漏洞，配置方法如下图所示：
•Web应用漏洞（全部） •快速扫描 •高危漏洞扫描 •SQL注入扫描 •XSS跨站扫描 •远程挂马扫描
•完整扫描 •扫描当前目录和子目录 •只扫描任务URL
注：只有许可证中包含此模块的授权，才能使用WEB扫描任务。
二、网站扫描
2、高级选项