设置和运行扫描

在开始之前

  • 确认您要使用的传感器已安装、激活并启动
  • 确认您满足所有网络要求
  • 确认您满足所有部署要求
  • 是 CertCentral 帐户中的管理员或经理

请参阅 Discovery 工作流和权限传感器安装要求

收集所需信息

此外还需收集一些信息:

  • 用于扫描的传感器的名称
  • 向其分配传感器的分区(如果您在使用帐户中的分区)
  • 要用于扫描网络的端口
  • 要包括在扫描中的 FQDN 和 IP 地址
  • 确认您是否使用服务器名称指示 (SNI) 从一个单一 IP 地址为多个域服务*

设置和运行扫描

  1. 在 CertCentral 的侧栏菜单中,单击 Discovery > 管理 Discovery

  1. 在“管理扫描”页面上,单击添加扫描

  1. 设置扫描

    在“添加扫描”页的“设置扫描”下,提供必需的扫描信息。

    1. 扫描名称
      为扫描命名,使您可以轻松识别它(如果执行多次扫描,名称更加重要)。
    2. 分区
      选择具有您要用于扫描的传感器的分区。
      在安装期间,将传感器分配给分区。在“传感器”下拉列表中,您只能看到分配给所选分区的传感器。
      注意:如果您的帐户中没有使用分区,您将看到组织名称。
    3. 端口
      指定您要用于为 SSL/TLS 证书扫描网络的端口。
      使用所有将包括特定范围中的所有端口
      使用默认将包括 SSL/TLS 证书的常用端口:80、443、389、636、22、143、110、465、8443、3389。
    4. 启用 SNI*
      您是否使用服务器名称指示 (SNI) 从一个单一 IP 地址为多个域服务?选中此框将为扫描启用 SNI 扫描(每个服务器最多 10 个端口)。
      注意:SNI 扫描结果中可能不含 IP 信息。
    5. 传感器
      选择要用于扫描的传感器。在下拉列表中,您只能看到分配给您在分区下拉列表中所选分区的传感器。
      注意:如果您的帐户中没有使用分区,您将看到分配给组织的传感器。
    6. 要扫描的 FQDN/IP
      包括 FQDN 和 IP 地址:

      输入您要包括在扫描中的 FQDN 和 IP 地址,单击包括。您可以包括单个 IP 地址 (10.0.0.1)、IP 地址范围 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 范围 (10.0.0.0/24)。
      排除 FQDN 和 IP 地址:
      输入您要从 IP 地址范围中排除的 IP 地址并单击排除。您可以排除单个 IP 地址 (10.0.0.1)、IP 地址范围 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 范围 (10.0.0.0/24)。
    7. 完成后,单击下一步
  1. 扫描时间

    配置为立即扫描或在定时扫描。

    要设定未完成扫描在您停止之前运行的时长限制,选中停止超时扫描并选择最长运行时间。

  1. 设置:扫描选项

    优化的扫描提供基本 SSL/TLS 证书和服务器信息以及任何发现的严重的 TLS/SSL 服务器问题。(Heartbleed、Poodle[SSLv3],FREAK、Logjam、DROWN、RC4 和 POODLE[TLS])。

    选择扫描内容

    要自定义包括在扫描结果中的信息,请选择选择扫描内容。然后根据您的需要进行自定义扫描设置。例如,如果您要指定要扫描的 TLS/SSL 服务器问题,例如,POODLE (TLS) 或 BEAST,请选择选择要扫描的 TLS/SSL 服务器问题

添加更多扫描选项会增加扫描对网络资源的影响以及完成扫描所需的时间。

  1. 高级设置:扫描性能

    使用扫描性能选项配置快速完成扫描的时间或限制扫描对网络资源的影响。

    • 进攻性扫描
      对网络资源具有更大的影响。将大量扫描包向外发送到网络。Discovery 限制发送扫描包的数量,避免发送过量的扫描包。
      注意:使用进攻性设置可能会触发入侵检测系统 (IDS) 或入侵防护系统 (IPS) 的错误警报。
    • 慢扫描
      限制扫描对网络资源的影响,减少 IDS 或 IPS 错误警报的数量。一次发送少量扫描包,等待获得响应后再发送更多扫描包。
  1. 高级设置:更多设置

    通过限制 TLS/SSL 服务器检查来减少防火墙警报

    使用此选项时需了解它可能会限制扫描的有效性,导致 TLS/SSL 服务器问题遗漏。

    要识别 TLS/SSL 服务器问题(例如,Heartbleed),扫描有时会模拟 TLS/SSL 服务器问题以确保服务器安全。这些模拟可能触发网络上的错误防火墙警报。要避免触发此类警报,可以限制 TLS/SSL 服务器检查。

    指定要扫描的端口以确认主机可用性

    您在此处指定的端口仅用于确认主机可用性。

    扫描流程的第一步是 ping 主机以确认其可用性。
    如果在主机上禁用 Internet 控制消息协议 (ICMP) ping,则使用此设置指定可以对其扫描以确认主机可用性的端口。指定的端口数越少,扫描速度越快。

  1. 保存并定时/保存并运行

    完成后,请保存扫描。

    • 如果立即运行,则单击保存并运行
    • 如果定时扫描,则单击保存并定时

接下来

将立即扫描或定时扫描。扫描完成时间取决于网络大小以及在设置期间选择的扫描性能设置。

如果扫描在入侵检测系统 (IDS) 或入侵防护系统 (IPS) 中触发错误警报,请确保将扫描列入 IDS/IPS 实用工具中的白名单。此外还将扫描配置为运行。扫描速度越慢,越不容易触发错误警报。您可能还要将扫描列入防火墙白名单,以允许与 digicert.com 通信。

要管理扫描,请转到扫描页(在侧栏菜单中,单击 Discovery > 管理 Discovery)。

要查看扫描详细信息或修改扫描设置,请转到扫描的详细信息页面(单击“扫描”页面上的扫描名称链接)。

  • Discovery 位置扫描设置选项卡上,查看或修改扫描设置。
  • 扫描活动选项卡上,查看当前和过去的扫描详细信息,例如,开始时间、持续时间、扫描状态和操作。