設定和執行掃描

在您開始前

  • 確認已安裝、啟用和啟動您要使用的感應器。
  • 確認您符合所有網路需求
  • 確認您符合所有部署需求
  • 成為 CertCentral 帳戶的系統管理員或管理員

請參閱探索工作流程和權限感應器安裝需求

收集需要的資料

另外,您想要收集某些資料:

  • 用於掃描的感應器名稱
  • 感應器所指派到的分部 (如果您正在使用您帳戶中的分部)
  • 您要用於掃描您的網路的連接埠
  • 您要加入掃描中的 FQDN 和 IP 位址
  • 瞭解您是否正在使用伺服器名稱指示 (SNI) 來服務來自單一 IP 位址的多個網域*

設定和執行您的掃描

  1. 在您的 CertCentral 帳戶的資訊看板功能表中,按一下探索 > 帳戶探索

  1. 在「管理掃描」頁面上,按一下新增掃描

  1. 設定您的掃描

    在「新增掃描」頁面的「設定掃描」下,提供必需的掃描資料。

    1. 掃描名稱
       為您的掃描命名,這樣您可以輕鬆識別該掃描 (當您有多次掃描時,名稱會變得更重要)。
    2. 分部
       選擇有您要用於掃描的感應器的分部。
      在安裝期間,將感應器指派到分部。在「感應器」下拉清單中,您只會看到指派給所選擇的分部的感應器。
      註:如果您未正在使用您帳戶中的分部,您將看到您的組織名稱。
    3. 連接埠
       指定您要使用於掃描您的網路是否有 SSL/TLS 憑證的連接埠。
      使用全部將所有連接埠加入指定的範圍中。
      使用預設值加入常用於 SSL/TLS 憑證的連接埠:443、389、636、22、143、110、465、8443、3389。
    4. 啟用 SNI*
       您是否正在使用伺服器名稱指示 (SNI) 來服務來自單一 IP 位址的多個網域?勾選此方塊以啟用用於掃描的 SNI 掃描 (限制為每部伺服器最多 10 個連接埠)。
      註:SNI 掃描可能不會使用 IP 資訊作為結果的一部份。
    5. 感應器
       選擇您要用於掃描的感應器。在下拉清單中,您只會看到指派給您在分部下拉清單中選擇的的分部的感應器。
      註:如果您未正在使用您帳戶中的分部,您將看到指派到您的組織的感應器。
    6. 要掃描的 FQDN/IP
      加入 FQDN 和 IP 位址:
      輸入您要加入掃描中的 FQDN 和 IP 位址,然後按加入。您可以加入單一 IP 位址 (10.0.0.1)、IP 位址範圍 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 範圍 (10.0.0.0/24).
      排除 FQDN 和 IP 位址:
      輸入您要從 IP 位址的範圍排除的 IP 位址,然後按排除。您可以排除單一 IP 位址 (10.0.0.1)、IP 位址範圍 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 範圍 (10.0.0.0/24)。
    7. 當您完成時,按一下下一步

  1. 掃描時間

    設定您的掃描為立刻執行或安排的時間執行。

    若要設定在您停止前,未完成的掃描應執行的時間長度限制,請檢查掃描時間超過停止,然後選擇最長的執行時間。

  1. 設定:掃描選項

    最佳化的掃描提供基本 SSL/TLS 憑證和伺服器資訊,以及任何發現的重大 TLS/SSL 伺服器問題。(心跳、Poodle[SSLv3],FREAK、Logjam、DROWN、RC4 和 POODLE[TLS])。

    選擇要掃描的內容

    若要自訂您的掃描結果中包含的資訊,請選擇選擇要掃描的內容。然後,自訂符合您的需求的掃描。例如,如果您想要指定掃描哪些 TLS/SSL 伺服器問題,例如 POODLE (TLS) 或 BEAST,請選擇選擇要掃描的 TLS/SSL 伺服器問題

新增更多掃描選項會增加對網路資源,以及完成要花費多少時間的影響。

  1. 進階設定:掃描效能

    使用「掃描效能」選項設定掃描多快完成,或限制掃描對網路資源的影響。

    • 侵略性掃描
       對網路資源有較大的影響。傳出大量掃描封包到網路。探索傳送多少封包的上限,以避免傳出不要的封包數目。
      註:使用侵略性設定可能會引發對於入侵偵測系統 (IDS) 或防止入侵系統 (IPS) 發出錯誤警報。
    • 慢速掃描
       限制掃描對網路資源的影響,並減少f IDS 或 IPS 錯誤警報的次數。一次傳送一些掃描封包,並在傳送更多封包前等待回應。

  1. 進階設定:更多設定

    限制 TLS/SSL 伺服器檢查以減少防火牆警報

    使用此選項,理解可能會限制掃描的有效性,因為可能導致遺漏 TLS/SSL 伺服器問題。

    若要識別 TLS/SSL 伺服器問題 (例如 心跳),掃描有時要模擬 TLS/SSL 伺服器問題,以確定伺服器是安全的。此類模擬可能觸發您的網路上的錯誤防火牆警報。若要避免此類警報,您可以限制 TLS/SSL 伺服器檢查。

    指定要掃描的連接埠以確認主機可用性

    您指定的連接埠僅使用於確認主機可用性。

    掃描程序的第一步是偵測主機,確認是否可用。
    如果網際網路控制訊息通訊協議 (ICMP) 偵測在主機上停用,請使用此設定指定可以掃描的連接埠,以確定主機的可用性。指定的連接埠越少,掃描的速度越快。

    啟用篩選的連接埠記錄

    使用此選項記錄和收集與防火牆和關閉的連接埠有關的資料。

  1. 儲存和排程/儲存和執行

    完成時,您會想要儲存您的掃描。

    • 如果您正在執行,請按儲存並執行
    • 如果您已安排掃描時間,請按儲存和排程

下一步是什麼

您的掃描將立刻執行或依排程執行。掃描完成時間視網路尺寸,以及在設定期間選擇的掃描效能設定而定。

如果掃描觸發入侵偵測系統 (IDS) 或入侵防護系統的 (IPS 錯誤警報,請確定將掃描加入您的 IDS/IPS 公用程式的白名單中。此外,設定您的掃描為慢速執行。較慢的掃描較不可能觸發錯誤的警報。您也需要從您的防火牆將感應器加入白名單,以允許和 digicert.com 通訊。

若要管理您的掃描,請前往掃描頁面 (在資訊看板功能表中,按一下探索 > 管理探索)。

若要檢視掃描詳細資料或修改掃描設定,請前往掃描的詳細資料頁面 (在「掃描」頁面上,按一下掃描名稱連結)。

  • 探索位置掃描設定標籤上,檢視或修改掃描設定。
  • 掃描活動標籤上,檢視目前和過去的掃描詳細資料,例如開始時間、持續時間長度、掃描狀態和動作。
    • 若要檢視掃描的憑證詳細資料,請按一下檢視憑證
    • 若要取得與防火牆和關閉的連接埠有關的資訊,請按一下下載經篩選的連接埠報告

關於

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.