为什么选择华为主机漏洞扫描
一、快速购买主机漏洞扫描工具
-
收起
了解详情操作场景 收起
该任务指导用户首次使用漏洞管理服务(主机漏洞扫描)时,如何购买漏洞管理服务(Web漏洞扫描)的专业版扫描功能。
须知:-仅支持从专业版升级至高级版,当您是专业版用户时,如果需要将专业版扫描配额包中的二级域名配额升级为一级域名配额,可以直接将专业版升级到高级版。
-不支持多个版本同时存在。如果是老客户,已购买的版本下存在基础版和专业版,基础版全部免费升级为专业版,版本到期时间以订单到期时间最长的为准。
-不支持从专业版或高级版直接升级至企业版,当您是专业版或高级版用户时,如果需要使用企业版,请直接购买企业版。为保证您的权益,请您购买企业版后,提工单退订专业版或高级版。
-购买漏洞扫描服务或配额后,不支持直接修改配额,仅支持升级规格,请谨慎操作。如需减少配额请参考如何减少漏洞管理服务配额?
-
收起
了解详情前提条件 收起
已获取管理控制台的登录帐号(拥有VSS Administrator与BSS Administrator权限)与密码。
-
收起
了解详情购买步骤 收起
1.登录管理控制台。
2.在页面上方选择区域或项目后,单击
,选择“安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理界面。
说明:-首次使用漏洞管理服务,您可以在页面左侧,单击“立即购买”,进入漏洞管理服务购买页面。
-如果您已经体验了漏洞管理服务基础版,请在页面的右上角,单击“升级规格”,进入漏洞管理服务购买页面。
3.在购买漏洞管理服务界面,进行服务选型配置。
-“计费模式”选择“包年/包月”,参数配置完成后,请执行4。
说明:-使用基础版的用户,可以继续使用基础版的功能,每个用户可添加的域名个数不超过5个。
-当用户在使用中需要增加专业版/高级版/企业版域名扫描配额,购买的数量不能小于已购买的数量,到期时间不变。
计费模式-包年/包月(专业版)
计费模式-包年/包月(高级版)
计费模式-包年/包月(企业版)
表1 服务选型参数说明
-计费模式选择“按需计费”,如图4所示。
- 创建任务时,保持升级开关关闭,开始扫描后默认享受单次基础版扫描服务。
- 创建任务时,开启升级开关,开始扫描后享受单次专业版扫描服务。扫描开始后进行一次性扣费,请保障您的账户余额充足。
- 基于基础版创建主机扫描时,每次扫描最多20台主机,扫描开始后进行一次性扣费,请保障您的账户余额充足。
图4 计费模式-按需计费
请参照以下操作步骤完成一次扫描任务:
1.单击“立即体验”回到“资产列表”界面。
说明:如果没有域名,请先添加域名并完成域名认证,再在创建任务界面进行单次按需购买。2.单击“扫描”,进入“创建任务”界面。扫描设置
您可以打开“是否将本次扫描升级为专业版规格”开关,将本次扫描升级为专业版。
设置完成后,用户可以根据需要选择定时扫描或者立即扫描,在弹出的“付费提醒”界面,单击“同意并扫描”。
说明:-在您开始扫描后,该费用将从您的账户余额中扣取,在页面右上角,单击“费用”,进入费用中心,查看余额变动,漏洞管理服务默认每隔1小时统计一次按需扫描的次数,进行费用扣取。
-用户选择“按需计费”的方式,在进行扫描时,如果扫描任务失败,直接单击“重新扫描”就可以免费再次按专业版规格进行扫描。
4.参数设置完毕后,在页面右下角,单击“立即购买”。
说明:-如果您对价格有疑问,可以单击“了解计费详情”了解产品价格。
5.确认订单详情无误并阅读《华为云漏洞管理服务声明》后,勾选“我已阅读并同意《华为云漏洞管理服务声明》”,单击“去支付”。
如果订单填写有误,用户可以单击“上一页”,回到服务选型页面修改配置信息后再继续购买。
6.在“付款”页面,选择付款方式进行付款。
二、主机漏洞扫描主机添加
-
收起
了解详情操作场景 收起
漏洞扫描服务支持添加Linux操作系统和Windows操作系统的主机。
Linux主机扫描支持主机漏洞扫描、基线检测、等保合规检测。
Windows主机扫描目前仅支持主机漏洞扫描。
-
收起
了解详情前提条件 收起
已获取管理控制台的登录账号与密码。
-
收起
了解详情操作步骤 收起
1.登录管理控制台。
2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。
3.在左侧导航栏,选择“资产列表 > 主机”。
4.进入添加主机入口,如图1所示。
图1 进入添加主机入口
5.在“添加主机”页面,执行以下操作。
-单个添加主机
单击“添加主机”,如图2所示,参数说明如表1所示。
图2 添加主机
表1 添加主机配置参数说明
-批量添加主机
1.单击“批量添加主机”,如图3所示,在“批量添加主机”对话框中,配置IP地址。多个IP地址,使用换行分开。
2.单击“添加主机”。
如果需要添加新的跳板机,请执行以下操作步骤。
a.单击“新增跳板机”。
b.在“添加跳板机”对话框中,设置配置参数,如图4所示,配置说明如表2所示。
表2 跳板机配置参数说明
c.阅读《华为云漏洞管理服务声明》后,勾选“我已阅读并同意《华为云漏洞管理服务声明》”,单击“确定”。
6.单击“下一步”,添加主机完成,请参见配置Linux主机授权和配置Windows主机授权执行主机授权的操作。
三、Web漏洞扫描配置Linux主机授权
-
收起
了解详情操作场景 收起
该任务指导用户通过漏洞扫描服务对已添加的Linux主机进行扫描授权。
-
收起
了解详情前提条件 收起
-已获取管理控制台的登录账号与密码。
-已添加Linux主机。
-
收起
了解详情操作步骤 收起
1.登录管理控制台。
2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。
3.在左侧导航栏,选择“资产列表 > 主机”。
4.批量选择需要配置的主机,单击“批量操作 > 编辑”,进入批量授权入口,如图1所示。
图1 进入批量授权入口
说明:用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“编辑”。
5.在主机授权页面,批量选择需要授权的主机,单击“批量配置授权信息”,如图2所示。
说明:-用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“配置授权信息”。
-如果需要修改主机名称,单击,在弹出的对话框中,进行修改。
6.选择SSH授权方式进行主机授权。
说明:如果需要修改已有SSH授权,单击“编辑”,进行修改。-如果需要删除已有SSH授权,单击“删除”,进行删除。
-选择已有SSH授权,或者单击“创建SSH授权”创建SSH授权,如图4所示,参数说明如表1所示。
表1 参数说明
7.单击“确定”,完成Linux主机授权。
四、Web漏洞扫描配置Windows主机授权
-
收起
了解情况操作场景 收起
该任务指导用户通过漏洞扫描服务对已添加的Windows主机进行扫描授权。
-
收起
了解详情前提条件 收起
-已获取管理控制台的登录账号与密码。
-登录用户只支持Administrator。
-已添加Windows主机。
-
收起
了解详情操作步骤 收起
1.登录管理控制台。
2.进入批量授权入口,如图1所示。
图1 进入批量授权入口
说明:用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“编辑”。
3.在主机授权页面,批量选择需要授权的主机,单击“批量配置授权信息”,如图2所示。
说明:-用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“配置授权信息”。
-如果需要修改主机名称,单击,在弹出的对话框中,进行修改。
4.在弹出的对话框中,选择已有windows授权,或者单击“创建windows授权”创建windows授权,
说明:-如果需要修改已有windows授权,单击“编辑”,进行修改。
-如果需要删除已有windows授权,单击“删除”,进行删除。
如果没有windows授权,单击“创建windows授权”创建授权,如图4所示,参数说明如表1。
表1 参数说明
5.单击“确定”,完成Windows主机授权。
五、主机漏洞扫描开启
-
收起
了解详情操作场景 收起
该任务指导用户通过漏洞管理服务开启主机扫描。
开启主机扫描后,漏洞管理服务将对主机进行漏洞扫描与基线检测。
须知:漏洞管理服务的基础版不支持主机扫描功能,如果您是基础版用户,请通过以下方式使用主机扫描功能:
-购买专业版或企业版
-按次购买主机扫描功能
-按次一次性扣费,每次最多可以扫描20台主机。
-
收起
了解详情前提条件 收起
-已获取管理控制台的登录账号和密码。
-已添加主机。
说明:为了确保扫描成功,在开启主机扫描前,请先完成以下操作。
1.参照配置Linux主机授权和配置Windows主机授权完成主机授权。
2.如果主机所在的安全组设置了访问限制,请参见如何解决主机不能访问添加策略允许漏洞管理服务的IP网段访问您的主机。
3.如果用户同时使用了主机安全服务,参见配置SSH登录IP白名单将漏洞管理服务的IP配置为白名单。否则,漏洞管理服务的IP会被当成不信任IP被主机安全服务拦截,造成扫描任务失败。
-
收起
了解详情开启主机扫描 收起
1.登录管理控制台。
2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。
在左侧导航栏,选择“资产列表 > 主机”。
单击主机信息“操作”列的扫描,进入主机扫描入口,如图1所示。
图1 进入主机扫描入口
说明:您可以选中需要扫描的主机,在主机列表上方单击“一键扫描”,对选中的多台主机批量进行扫描。
3.在弹出的对话框中,单击“确定”。
开启主机扫描(基础版)
漏洞管理服务的基础版不支持主机扫描功能,如果您是基础版用户,请通过以下方式使用主机扫描功能:
-购买专业版或企业版
-按次购买主机扫描功能
-按次一次性扣费,每次最多可以扫描20台主机。
请参照以下操作步骤,按需购买主机扫描功能。
1.登录管理控制台。
2.选择“服务列表 >安全与合规 > 漏洞扫描服务”,进入漏洞扫描服务管理控制台。
3.在左侧导航栏,选择“资产列表 > 主机”。
4.勾选需要扫描的主机,单击“一键扫描”,进入主机扫描入口,如图2所示。
图2 进入主机扫描入口-基础版
5.在弹出的对话框中,选中“我已了解并同意支付该笔费用”,单击“确定”。
当账户余额充足时,系统在自动扣费后,将执行主机扫描任务。
须知:-当主机扫描任务成功时,请查看主机扫描详情,详细操作请参见查看主机扫描详情。
-当主机扫描任务失败时,请在扫描详情页面单击“重新扫描(免费)”,系统将重新执行扫描任务。
六、Web漏洞扫描查看主机扫描详情
-
收起
了解详情操作场景 收起
该任务指导用户通过漏洞管理服务查看主机扫描详情。
说明:-Linux主机扫描支持主机漏洞扫描、基线检测、等保合规检测。
-Windows主机扫描目前仅支持主机漏洞扫描。
-
收起
了解详情前提条件 收起
-已获取管理控制台的登录账号和密码。
-主机扫描任务已成功完成。
-
收起
了解详情操作步骤 收起
1.登录管理控制台。
2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。
3.在左侧导航栏,选择“资产列表 > 主机”。
4.单击主机信息“操作”列的扫描,进入主机扫描入口,如图1所示。
图1 进入主机扫描入口
说明:您可以选中需要扫描的主机,在主机列表上方单击“一键扫描”,对选中的多台主机批量进行扫描。
5.查看主机信息,相关参数说明如表1所示。
表1 主机资产列表参数说明
6.在目标主机所在行的“上一次扫描结果”列,单击分数或者“查看详情”,查看相应任务的“扫描项总览”,各栏目说明如表2所示。
须知:基础版用户按次购买主机扫描功能后,如果扫描任务失败,请在扫描详情页面单击“重新扫描(免费)”,系统将重新执行扫描任务。
表2 详情总览说明
7.选择“扫描项”页签,查看目标主机的扫描项信息,如图3所示。
图3 扫描项
8.选择“漏洞列表”页签,查看目标主机的漏洞信息,如图4所示。
图4 漏洞列表界面
说明:-如果您确认扫描出的漏洞不会对主机造成危害,您可以在目标漏洞所在行的“操作”列,单击“忽略”,忽略该漏洞,后续执行扫描任务会扫描出该漏洞,但相应的漏洞统计结果将发生变化,扫描报告中也不会出现该漏洞。
-单击漏洞名称,进入“漏洞详情”页面,根据修复建议修复漏洞。
9.选择“基线检查”页签,查看主机扫描的基线检查信息,如图5所示。
图5 基线检查
说明:-如果您确认扫描出的检查项不会对主机造成危害,您可以在目标检查项所在行“操作”列,单击“忽略”,忽略该检查项,后续执行扫描任务会扫描出该漏洞,但相应的检查项统计结果将发生变化,扫描报告中也不会出现该检查项。
-Windows扫描暂不支持基线检测扫描。
10.单击“等保合规(企业版)”页签,进入“等保合规(企业版)”的详情列表界面,显示目标主机的等保合规检测信息,如图6所示。
图6 等保合规
须知:-如果您确认扫描出的检查项不会对主机造成危害,您可以在目标检查项所在行的“操作”列,单击“忽略”,忽略该检查项,后续执行扫描任务会扫描出该漏洞,但相应的检查项统计结果将发生变化,扫描报告中也不会出现该检查项。
-VSS目前仅企业版用户支持等保合规检测,如果您需要对您的主机进行等保合规检测,请购买企业版。
七、主机漏洞扫描下载扫描报告
-
收起
了解详情操作场景 收起
当主机扫描任务成功完成后,您可以下载漏洞扫描报告和等保合规配置报告,报告目前只支持PDF格式。
须知:漏洞管理服务目前仅企业版用户支持等保合规检测,如果您需要下载等保合规配置报告,请购买企业版。
-
收起
了解详情前提条件 收起
已成功完成主机扫描任务,即目标主机的“上一次扫描结果”状态为“已完成”。
-
收起
了解详情操作步骤 收起
1.登录管理控制台。
2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。
3.在左侧导航栏,选择“资产列表 > 主机”。
4.选择主机,单击“下载报告”进入下载主机扫描报告入口。
5.选择“漏洞扫描报告”或“等保合规配置报告(企业版)”,将目标主机的扫描报告下载到本地。
主机漏洞扫描报告模板说明
下载扫描报告后,您可以根据扫描结果,对漏洞进行修复,报告模板说明如下:
概览
查看目标主机的扫描总览信息。
系统漏洞扫描详情
您可以根据修复建议修复系统漏洞。
基线检查详情
您可以根据修复建议修复基线漏洞。
等保合规配置报告模板说明
下载扫描报告后,您可以根据扫描结果,对漏洞进行修复,报告模板说明如下:
概览
查看等保合规配置报告的概览信息。
等保合规检查详情
您可以根据修复建议修复等保合规漏洞。
本小节主要介绍漏洞管理服务的计费说明,包括计费项、计费模式、续费等。详细信息请参考产品价格详情。
变更配置
-域名配额扩容:当您的业务需求增加,可在计费周期内“扩容”域名的扫描配额包。支持扩容专业版配额、高级版配额以及企业版配额。不支持多个版本同时存在。
-专业版升级为高级版:当您是专业版用户时,如果需要将专业版扫描配额包中的二级域名配额全部升级为一级域名配额,可以直接将专业版升级为高级版。
-退订:购买漏洞管理服务的扫描配额包后,如需停止使用,请到费用中心执行退订操作。
续费
扫描配额包到期后,您可以进行续费以延长扫描配额包的有效期,也可以设置到期自动续费。续费相关操作,请参见续费管理。
到期与欠费
-包周期资源开通成功后,如果没有按时续费,公有云平台会提供一定的保留期,详细信息请参见“保留期”。
-欠费后,可以查看欠费详情。为防止相关资源不被停止或者释放,请及时进行充值,帐号将进入欠费状态,需要在约定时间内支付欠款,详细操作请参考欠费还款。
活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理
活动时间: 2020年8月12日-2020年9月11日
活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;
-
漏洞管理服务的主机漏洞扫描IP有哪些?
▶如果设置了访问限制,请添加策略允许VSS的IP地址可以访问您的主机。如果您使用了主机安全防护软件,请将VSS访问主机的IP地址添加到该软件的白名单中,以免该软件拦截了VSS访问用户主机的IP地址。
119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1
-
漏洞扫描时如何对主机进行授权
▶操作场景
该任务指导用户通过漏洞扫描服务对已添加的Linux主机进行扫描授权。
前提条件
已获取管理控制台的登录账号与密码。
已添加Linux主机。
操作步骤
登录华为云管理控制台。
选择“服务列表 >安全与合规 > 漏洞扫描服务”,进入漏洞管理服务管理控制台。
在左侧导航栏,选择“资产列表 > 主机”。
批量选择需要配置的主机,单击“批量操作 > 编辑”,进入批量授权入口,如图1所示。
图1 进入批量授权入口
说明:用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“编辑”。在主机授权页面,批量选择需要授权的主机,单击“批量配置授权信息”。
说明:用户也可以单台主机授权,在目标主机所在行的“操作”列,单击“配置授权信息”。如果需要修改主机名称,单击,在弹出的对话框中,进行修改。
选择SSH授权方式进行主机授权。
说明:如果需要修改已有SSH授权,单击“编辑”,进行修改。如果需要删除已有SSH授权,单击“删除”,进行删除。
选择已有SSH授权,或者单击“创建SSH授权”创建SSH授权,如图4所示,参数说明如表1所示。
表1 参数说明
参数名称
参数说明
SSH授权别称
自定义SSH授权名称。
登录端口
SSH授权登录的端口号。
请确保安全组已添加该端口,以便主机可通过该端口访问漏洞管理服务。
选择登录方式
“密码登录”
“密钥登录”
选择加密密钥
为了保护主机登录密码或密钥安全,请您必须使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。
您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建VSS专用的默认主密钥。
须知:
您也可以在数据加密服务的以下区域创建密钥:
华北-北京一
华北-北京四
华南-广州
华东-上海一
华东-上海二
西南-贵阳一
华南-深圳
有关创建密钥的详细操作,请参见创建密钥。
使用数据加密服务需要单独计费,详细的服务资费和费率标准,请参见价格详情。
Root权限是否加固
打开该权限后,不可以用root账号直接登录,而只能通过普通用户登录,然后才能切换到root用户。
sudo用户名
默认为root。
sudo密码
设置sudo用户对应的密码,单击“加密保存”,对密码进行加密保存。
单击“确定”,完成Linux主机授权。
-
漏洞扫描时如何解决主机不能访问?
在使用主机扫描时会显示扫描失败,无法访问您的主机,可能有如下两个原因。
- 安全组和网络ACL访问限制。
- 网络故障。
如果是网络故障的原因导致主机不能访问,请在网络恢复后重新进行主机扫描,如果是因为安全组和网络ACL访问限制导致的主机不能访问,请您将以下漏洞管理服务的扫描IP添加至主机访问的白名单中:
119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1
-
漏洞管理服务支持哪些操作系统的主机扫描?
漏洞管理服务支持扫描的主机操作系统版本如下:
支持的Linux操作系统版本,如表1所示。
表1 Linux操作系统版本
-
主机漏洞扫描为什么会扫描失败?
主机扫描失败的主要原因有主机未进行授权、主机不可达,请参考以下方法排查您的主机扫描失败的原因并解决问题。
1.排查主机是否完成了授权,如果未授权,请参见如何对主机进行授权完成主机授权。
2.排查主机是否能正常访问,主机不能访问可能有以下两个原因:
-主机所在的安全组或网络ACL设置了访问限制,请参见如何解决主机不能访问添加策略允许漏洞管理服务的IP网段访问您的主机。
-主机IP被当成不信任IP被主机安全服务拦截,请参见解除拦截受信任的IP解除主机IP封禁,并参见配置SSH登录IP白名单将您的主机IP配置为白名单。
-
漏洞管理服务可以扫描本地的物理服务器吗?
漏洞管理服务可以扫描本地的物理服务器。若需要扫描本地的物理服务器,需要满足以下条件。
-本地网络可通外网。
-本地物理服务器为Linux操作系统,且满足以下版本要求:
1.EulerOS:支持的最低系统版本为EulerOS 2.2。
2.CentOS:支持的最低系统版本为CentOS 6.5。
3.RedHat:支持的最低系统版本为Red Hat Enterprise Linux 6.10。
4.Ubuntu:支持的最低系统版本为Ubuntu 16.04 server。
5.SUSE:支持的最低系统版本为SUSE Enterprise 11 SP4。
6.OpenSUSE:支持的最低系统版本为OpenSUSE 13.2。
7.Debian:支持的最低系统版本为Debian 8.2.0。
8.Kylin OS:支持的系统版本为Kylin OS V10 SP1。
-可以远程登录到本地物理服务器。
本地物理服务器满足以上条件后,可以在漏洞扫描服务界面通过添加跳板机的方式,使用漏洞扫描服务扫描本地的物理服务器。
有关物理服务器使用VSS的详细介绍,请参见物理服务器可以使用漏洞扫描服务吗?。
-
如何扫描修改了IP地址的主机?
漏洞扫描时如果您的主机已在本地配置了账号和密码,当您修改该主机的IP地址后,请先在本地重新配置该主机的账号和密码,然后在漏洞扫描服务中添加该主机并授权漏洞扫描服务可以访问该主机。
有关对主机进行授权的详细操作,请参见如何对主机进行授权?。
-
主机漏洞扫描可以关闭基线检查吗?
主机漏洞扫描不能关闭基线检查。如果您确认基线检查漏洞扫描出的检查项不会对主机造成危害,您可以在目标检查项所在行的“操作”列,单击“忽略”,忽略该检查项,相应的检查项统计结果将发生变化,扫描报告中也不会出现该检查项。
-
等保合规的检查项可以忽略吗?
可以。
-如果您确认漏洞扫描出的检查项不会对主机造成危害,您可以在目标检查项所在行的“操作”列,单击“忽略”,忽略该检查项,后续执行漏洞扫描任务会扫描出该漏洞,但相应的检查项统计结果将发生变化,漏洞扫描报告中也不会出现该检查项。
-漏洞管理服务目前仅企业版用户支持等保合规检测,如果您需要对您的主机进行等保合规检测,请购买企业版。
-
主机互通性测试异常如何处理?
通过互通性测试可以测试待漏洞扫描的主机与漏洞扫描环境的连通性是否正常。
目前支持密码登录模式下的root用户名密码、root权限加固情况下的普通用户sudo场景以及配置了跳板机的场景,暂不支持密钥登录模式。
主机互通性测试不同异常提示的处理方法如下:
1.网络不可达,请确认网络是否可连通
待漏洞扫描的主机或跳板机的IP地址网络不通,解决办法请参见如何解决主机不能访问?。
2.认证失败,请确认授权信息是否正确
主机授权信息中用户密码不正确,解决办法请参见配置Linux主机授权。
3.提权失败,请确认授权信息是否正确
主机授权信息中root权限加固场景下,用户密码不正确,解决办法请参见配置普通用户和sudo提权用户漏洞扫描失败案例。
4.认证场景不支持互通性测试
目前互通性测试暂不支持使用密钥登录模式的认证场景。
