Skip to main content

設定和執行掃描

在您開始前

  • 確認已安裝、啟用和啟動您要使用的感應器。

  • 確認您的網路符合所有需求。

  • 確認您符合所有部署需求。

  • 需要系統管理員或管理員權限。

請參閱 探索工作流程和權限感應器安裝需求

收集需要的資料

  • 您要使用的感應器名稱。

  • 感應器所指派到的分部 (如果您正在使用您帳戶中的分部)。

  • 您要用於掃描您的網路的連接埠。

  • 您要加入掃描中的 FQDN 和 IP 位址。

  • 您是否正在使用伺服器名稱指示 (SNI) 來服務來自單一 IP 位址的多個網域。

設定和執行您的掃描

  1. 在您的 CertCentral 帳戶的資訊看板功能表中,選取探索 > 管理探索

  2. 管理掃描頁面上,選取新增掃描

  3. 設定您的掃描

    新增掃描頁面的建立掃描區段下,提供必需的掃描資料:

    1. 掃描名稱

      為您的掃描命名,這樣您可以輕鬆識別該掃描 (當您有多次掃描時,名稱會變得更重要)。

    2. 分區

      選擇有您要用於掃描的感應器的分部。

      在安裝期間,指派感應器給分部。您將只看到指派到所選取的分部的感應器。

      Note

      如果您的帳戶不使用分部,您將看到您的組織名稱。

    3. 連接埠

      指定您要用於掃描您的網路的 SSL/TLS 憑證的連接埠。

      使用全部納入指定範圍中的所有連接埠。

      使用預設值納入常用於 SSL/TLS 憑證的連接埠:443、389、636、22、143、110、465、8443、3389。

    4. 啟用 SNI (選用)

      如果您正在使用伺服器名稱指示 (SNI) 為來自單一 IP 位址的多個網域提供服務,請啟用掃描的 SNI 掃描 (限制為每個伺服器最多 10 個連接埠)。

      Note

      SNI 掃描可能不會使用 IP 資訊作為結果的一部分。

    5. 感應器

      選擇您要用於掃描的感應器。您將只看到指派到您選取的分部的感應器。

      Note

      如果您的帳戶不使用分部,您將看到您的組織名稱。

    6. 要掃描的 IP/FQDN

      納入 FQDN 和 IP 位址:

      輸入您要納入掃描中的 FQDN 和 IP 位址,然後選取納入。您可以納入單一 IP 位址 (10.0.0.1)、IP 位址範圍 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 範圍 (10.0.0.0/24)。

      排除 FQDN 和 IP 位址:

      輸入您要從 IP 位址範圍中排除的 IP 位址,然後選取排除。您可以排除單一 IP 位址 (10.0.0.1)、IP 位址範圍 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 範圍 (10.0.0.0/24)。

    7. 在掃描清單中,尋找您要從掃描中納入或排除的網域和子網域。然後,在動作欄中選取適當的連線。

      納入所有子網域 – 將網域的所有子網路納入掃描中。

      排除所有子網域 – 從掃描中排除網域的所有子網路。

      新增子網域編輯子網域 – 從您要納入或從掃描中排除的可用子網域中選擇。

      刪除 – 從掃描清單刪除 IP/FQDN。

    8. 當您完成時,選取下一步

      Note

      使用子網域時:

      • 您可以新增任何層級的子網域到掃描中。

      • 系統僅顯示比網域低一層的一個網域。

      • 僅可以選擇公開列出的子網域。例如,您僅可以新增子網域到公用 DNS 伺服器上可用或 CT 記錄的掃描中。

  4. 掃描時間

    設定您的掃描為立刻執行或安排的時間執行。

    若要設定在您停止前未完成的掃描應執行的時間長度限制,請選取掃描時間超過時停止,然後選取最長的執行時間。

  5. 設定:掃描選項

    最佳化的掃描提供基本 SSL/TLS 憑證和伺服器資訊,以及任何發現的重大 TLS/SSL 伺服器問題。(Heartbleed、Poodle (SSLv3)、FREAK、Logjam、DROWN、RC4、POODLE (TLS)、跨網站指令集、SQL 注入、跨網域原則和 CSRF)。

    選擇要掃描的內容

    自訂在您的掃描結果中加入的資訊。

    • 掃描已設定的加密套件:在您的伺服器上探索設定的加密套件和 TLS/SSL 通訊協定,以便在 TLS/SSL 交握期間建立安全的用戶端-伺服器通訊。

    • 啟用 SSLv2、SSLv3、TLSv1.0 和 TLSv1.1:啟用可用於交握的這些 TLS/SSL 通訊協定。

    • 每次掃描更新主機 IP 位址:如果主機的 IP 位址經常變更,每次掃描時請更新主機的 IP 位址。

      您也可以選取 OS伺服器應用程式選項以取得和以下有關的更新資訊:

      • 作業系統

      • 伺服器類型

      • 伺服器應用程式

      • 應用程式版本

    • 啟用 SSH 金鑰探索:在您的伺服器上探索設定的 SSH 金鑰。掃描在啟用 SSH 的連接埠 (預設連接埠 22) 上,識別設定用於您的伺服器的 SSH 金鑰指紋、演算法和驗證 SSH 金鑰的方法。

      如需更多有關 SSH 金鑰的資訊,請參閱 SSH 金鑰

    • 僅掃描重大的 TLS/SSL 伺服器問題 (較快):僅探索重大的 TLS/SSL 伺服器問題,例如 Heartbleed、Poodle (SSLv3)、FREAK、Logjam、DROWN、RC4、POODLE (TLS)、跨網站指令碼、SQL 注入、跨網域原則和 CSRF。

    • 選擇要掃描什麼 TLS/SSL 伺服器問題:指定您要掃描的 POODLE、BEAST、SWEET32 等 TLS/SSL 伺服器問題 (重大和/或非重大) 以自訂您的掃描。

      Note

      新增更多掃描選項會增加掃描對網路資源的影響,導致掃描時間更長。

  6. 進階設定:掃描效能

    使用以下的掃描效能選項設定掃描多快完成,或限制掃描對網路資源的影響:

    • 侵略性掃描對網頁資訊造成較大的負擔,並且傳送大量掃描封包到網路中。探索傳送多少封包的上限,以避免傳出不要的封包數目。

      Note

      使用侵略性設定可能會引發對於入侵偵測系統 (IDS) 或防止入侵系統 (IPS) 發出錯誤警報。

    • 慢速掃描限制掃描對網路資源的影響,並減少 IDS 或 IPS 錯誤警報的次數。它們一次傳送一些掃描封包,並在傳送更多封包前等待回應。

  7. 進階設定:新增標籤到掃描中

    使用此選項新增標籤到您的掃描中。標籤套用到網路掃描期間找到的所有憑證中。使用此方式識別和管理在您的網路上或您管理的任何其他網路上設定的憑證。

  8. 進階設定:更多設定

    限制 TLS/SSL 伺服器檢查以減少防火牆警報

    使用此選項,理解可能會限制掃描的有效性,因為可能導致遺漏 TLS/SSL 伺服器問題。

    若要識別 TLS/SSL 伺服器問題 (例如 Heartbleed),掃描有時要模擬 TLS/SSL 伺服器問題,以確定伺服器是安全的。此類模擬可能觸發您的網路上的錯誤防火牆警報。若要避免此類警報,您可以限制 TLS/SSL 伺服器檢查。

    指定要掃描的連接埠以驗證主機可用性

    您指定的連接埠僅使用於確認主機可用性。

    掃描程序的第一個步驟是偵測主機以驗證其可用性。

    如果網際網路控制訊息通訊協定 (ICMP) 偵測在主機上停用,請使用此設定指定可以掃描的連接埠,以確定主機的可用性。指定的連接埠越少,掃描的速度越快。

    啟用連接埠除錯

    使用此選項記錄和收集與防火牆和關閉的連接埠有關的資料。

  9. 儲存和排程/儲存和執行

    完成時,您需要儲存您的掃描。

    • 如果您正在執行,請選取儲存和執行

    • 如果您想要稍後執行,請選取儲存和排程

下一步是什麼

您的掃描將立刻執行或依排程執行。掃描完成時間視網路規模,以及在設定期間選擇的掃描效能設定而定。

Important

如果掃描觸發入侵偵測系統 (IDS) 或入侵防護系統的 (IPS),請確定將您的 IDS/IPS 公用程式的掃描列入清單中。

慢速掃描較不可能觸發錯誤的警報。您也需要從您的防火牆將感應器加入允許清單,以便允許和 digicert.com 通訊。

若要管理您的掃描,請前往管理掃描頁面 (在資訊看板功能表中,選取探索 > 管理探索)。

若要檢視掃描詳細資料或修改掃描設定,請前往掃描的詳細資料頁面 (在管理掃描頁面上,選取掃描名稱)。

  • 探索位置掃描設定標籤上,檢視或修改掃描設定。

  • 掃描活動標籤上,檢視目前和過去的掃描詳細資料,例如開始時間、持續時間長度、掃描狀態和動作。

    • 若要檢視掃描的憑證詳細資料,請選取檢視憑證

    • 若要取得與防火牆和關閉的連接埠有關的資訊,請選取下載除錯報告

    • 若要檢視探索到的金鑰詳細資料,請選取檢視金鑰

: