更新时间:2023-05-25
页面总览
SIP将联动AF\云眼,识别外网的服务器的暴露面风险,提供缩小暴露面的建议。在[重保中心/暴露面分析/外网服务器暴露面分析]页面下,可以查看当前互联网出口防火墙(AF)状态以及云眼接入状态、待确认资产数。
通过AF或云眼,将识别到存在外网暴露面风险的服务器在对外服务器列表下展示,如下图所示,可以查看资产信息、服务/端口情况、防火墙识别的情况。
对外服务器导入
服务器识别可能存在遗漏,支持导入补充外网服务器列表,点击<导入>,导入格式为CSV格式,下载示例文件并按要求编辑,选择对应文件,点击<确认>,即可完成遗漏的服务器导入。
对外服务器筛选
管理员可以通过风险类型、处置状态进行筛选。也支持通过资产名称、IP、域名/URL、ACL策略、端口等信息进行搜索筛选。
参数 |
说明 |
风险类型 |
常见的风险类型包括:全部风险、正常资产、风险资产、开放端口为any、开放无流量端口、开放高危端口、长时间无访问资产。 |
处置状态 |
常见的处置状态包括:全部处置状态、为处置、已处置。 |
对外服务器处置
管理员可以对暴露的服务器进行忽略/处置的操作。在对外服务器列表,选择需要处置的对外服务器,点击<风险详情>,可以查看详细情况,包括风险端口概览、资产组织、内网IP等,点击<流量分析>,可以跳转至[日志检索]页面,查看日志详情。
分析服务器暴露面是否存在风险,若存在风险,则做出相应处置,处置完成后,可以点击<标记为处置>;若服务器当前没有存在风险,则可以点击<忽略>。支持批量处置。
对外服务器导出
管理员可以对服务器列表进行导出,点击<导出>。若没有勾选,默认导出当前页面的所有对外服务器;若勾选指定服务器,则导出指定的服务器。
外网暴露面配置
预置条件
云眼或AF。
操作步骤
- 在[系统设置/系统设置/序列号]页签下,确认深信服接入序列号是否足够,需要接入云眼或AF,攻防演练期间销售设备不能临时开通接入授权。
- 在[重保中心/暴露面分析/外网服务器暴露面分析]页签下,先配置对接的云眼设备。作用在于:获取外网服务器。可以接入多个云眼。
点击<已接入>,页面跳转到[资产中心/脆弱性感知/云眼/云镜对接]页面,可以看到目前接入的云眼列表,如下图所示。
- 新增云眼,配置扫描器名称以及账号/密码。
- SIP一小时同步一次云眼数据,对于内网资产是通过域名访问的,SIP从STA收集到流量日志,识别http包里的host字段发现域名,与云眼识别到对应域名的外网IP进行匹对,可自动识别出外网和内网IP;对于内网资产通过IP访问的,需要手动配置内网IP。
- 互联网出口防火墙的设置。(必须使用双向认证,且AF8.0.28.407及以上版本)
• 设定ACL策略的来源防火墙;
• 获取IP对应的区域;这里要求开启日志记录;
• 每个小时,进行一次分析;
• 先要建立外网域名与内网资产的关联关系,内网资产需要手动填写;
• 建立关联关系后,每个小时分析一次这些开放到外网的内网资产,分析他们的端口开放情况。
- 同步完成云眼和AF的信息后,展示如下。
:
选择防火墙的时候,默认将日志设置开启,即在AF的日志设置上要把应用控制日志存储在防火墙上,否则无法使用。开启后会影响防火墙性能,因此暴露面分析完毕后可将它关闭。