某用户拓扑如下,NGAF 路由模式部署。内网服务器区与用户区分别位于防火墙两个不同的接口。管理员希望知道 192.168.1.249 这台服务器上开放了哪些端口、存在哪些漏洞以及是否存在 sangfor 命名的弱密码。
第一步:在设置策略之前,需要在『网络配置』→『接口/区域』定义好接口所属的【区域】。『对象定义』→『IP 组』定义好服务器所属的【IP 组】。详细配置请参考 3.4.8 章节。此案例中将需要将 ETH1 定义为[外网区],ETH2 定义为[DMZ 区], ETH3 定义为[内网区]。192.168.1.249 定义为[249 服务器] 。界面如下:
第二步:设置应用控制策略。在『内容安全』->『应用控制策略』中,放通内网区到服 务器的所有服务,放通外网区到服务器的 http 服务,设置页面如下:
第三步:设置端口扫描。进入『风险分析』,不可信来访区域选择外网区、内网区,访 问的目标 IP 范围为 192.168.1.249,指定端口为设备内置的常用端口。界面如下:
第四步:设置弱密码扫描。进入『风险分析』,勾选“启用弱密码扫描”,使用默认的扫描范围,扫描方式为完整密码字典,点击高级选项,自定义用户名列表中填写“sangfor”。
界面如下:
第五步:点击 ,扫描结束后,显示的扫描结果如下:
将鼠标的指针至于风险提示上将详细显示可能存在的风险。
第六步:根据扫描提示防护风险。
1.修改弱密码。
可以根据风险提示,修改存在的弱密码
2.关闭不必要的端口。根据扫描结果,管理员可清楚的知道服务器上开放了哪些端口,管理员可手动关闭服务器上不必要的端口。比如说,此时要关闭内网区用户对服务器的 445 端口的访问,可以在相应的规则上点击操作
按钮,弹出的界面如下:
点击提交,显示如下图所示:
将自动生成一条应用控制策略,禁止内网区对 192.168.1.249 的 445 端口访问。
3.自动添加 IPS 规则和 WEB 应用防护规则。根据扫描结果可知,服务器上存在某些安全漏洞,并存在 WEB 应用风险,此时可以根据扫描结果智能的生成 IPS 规则和 WEB 应用防护规则。此处以第 3 条扫描结果为例进行介绍。勾选相应结果,点击防护风险,进行 WEB 应用风险防护和漏洞风险防护。
防护规则添加完成后,界面显示如下图所示:
第七步:查看智能生成的防护策略。点击查看已添加策略,界面如下图所示:
点击策略名称,可以查看添加的策略。
建议使用Chrome浏览器访问!
