安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.92
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","风险端口")}}

风险端口

更新时间:2024-07-17

风险端口是服务对外网开放的可进行远程登录或远程文件传递的端口,如开放的端口对应服务存在弱口令,容易被不法分子爆破登录成功直接控制服务器,造成数据的丢失或服务器破坏;同时,不法分子控制服务器后,可进一步对内网其他主机进行渗透攻击。

风险端口识别与处置标记

[配置风险/风险端口]页面下,管理员可查看识别到的风险端口信息,主要包括所属资产组织、协议与端口、确定性、流入/流出流量、外网源IP TOP3等信息;同时,支持管理员通过重要级别、确定性、时间范围及资产组织等信息进行筛选与关键字查询,并可对已完成处置的时间进行“处理状态标记”,如下图所示。

其中:

服务器:存在配置风险的服务器IP地址;

协议与端口:被检测出来的风险端口;

确定性:存在风险端口的确定程度,包括高可信、中可信及低可信等级别;

流入/流出流量:检测到的流量大小;

外网源IP TOP3互联网IP访问该风险端口最多的3IP

处理状态:当前若已经处置,可以标记处理,如无需处置,可以加入白名单;

操作:点击查看日志,可以跳转到[原始日志]页面进行查看。

同时,支持管理员通过点击<导出>进行风险端口识别列表的导出操作。

处置建议

建议关闭非业务必须的可进行远程登录或远程文件传递的端口;

如需要开启,建议关闭对外网的访问权限;

如需对外开放,严格设置账号权限,加强密码复杂度,定期更换密码;

如有防火墙,建议对服务器开启爆破防护。