設定和執行掃描

在您開始前

  • 確認已安裝、啟用和啟動您要使用的感應器。
  • 確認您符合所有網路需求
  • 確認您符合所有部署需求
  • 成為 CertCentral 帳戶的系統管理員或管理員

請參閱探索工作流程和權限感應器安裝需求

收集需要的資料

另外,您想要收集某些資料:

  • 用於掃描的感應器名稱
  • 感應器所指派到的分區 (如果您正在使用您帳戶中的分區)
  • 您要用於掃描您的網路的連接埠
  • 您要加入掃描中的 FQDN 和 IP 位址
  • 瞭解您是否正在使用伺服器名稱指示 (SNI) 來服務來自單一 IP 位址的多個網域*

設定和執行您的掃描

  1. 在您的 CertCentral 帳戶的資訊看板功能表中,按一下探索 > 帳戶探索

  1. 在「管理掃描」頁面上,按一下新增掃描

  1. 設定您的掃描

    在「新增掃描」頁面的「設定掃描」下,提供必需的掃描資料。

    1. 掃描名稱
      為您的掃描命名,這樣您可以輕鬆識別該掃描 (當您有多次掃描時,名稱會變得更重要)。
    2. 分區
      選擇有您要用於掃描的感應器的分區。
      在安裝期間,將感應器指派到分區。在「感應器」下拉清單中,您只會看到指派給所選擇的分區的感應器。
      註:如果您未正在使用您帳戶中的分區,您將看到您的組織名稱。
    3. 連接埠
      指定您要使用於掃描您的網路是否有 SSL/TLS 憑證的連接埠。
      使用全部將所有連接埠加入指定的範圍中。
      使用預設值加入常用於 SSL/TLS 憑證的連接埠:80、443、389、636、22、143、110、465、8443、3389。
    4. 啟用 SNI*
      您是否正在使用伺服器名稱指示 (SNI) 來服務來自單一 IP 位址的多個網域?勾選此方塊以啟用用於掃描的 SNI 掃描 (限制為每部伺服器最多 10 個連接埠)。
      註:SNI 掃描可能不會使用 IP 資訊作為結果的一部份。
    5. 感應器
      選擇您要用於掃描的感應器。在下拉清單中,您只會看到指派給您在分區下拉清單中選擇的的分區的感應器。
      註:如果您未正在使用您帳戶中的分區,您將看到指派到您的組織的感應器。
    6. 要掃描的 FQDN/IP
      加入 FQDN 和 IP 位址:

      輸入您要加入掃描中的 FQDN 和 IP 位址,然後按加入。您可以加入單一 IP 位址 (10.0.0.1)、IP 位址範圍 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 範圍 (10.0.0.0/24).
      排除 FQDN 和 IP 位址:
      輸入您要從 IP 位址的範圍排除的 IP 位址,然後按排除。您可以排除單一 IP 位址 (10.0.0.1)、IP 位址範圍 (10.0.0.1-10.0.0.255) 或 CIDR 格式的 IP 範圍 (10.0.0.0/24)。
    7. 當您完成時,按一下下一步
  1. 掃描時間

    設定您的掃描為立刻執行或安排的時間執行。

    若要設定在您停止前,未完成的掃描應執行的時間長度限制,請檢查掃描時間超過停止,然後選擇最長的執行時間。

  1. 設定:掃描選項

    最佳化的掃描提供基本 SSL/TLS 憑證和伺服器資訊,以及任何發現的重大 TLS/SSL 伺服器問題。(Heartbleed、Poodle[SSLv3],FREAK、Logjam、DROWN、RC4 和 POODLE[TLS])。

    選擇要掃描的內容

    若要自訂您的掃描結果中包含的資訊,請選擇選擇要掃描的內容。然後,自訂符合您的需求的掃描。例如,如果您想要指定掃描哪些 TLS/SSL 伺服器問題,例如 POODLE (TLS) 或 BEAST,請選擇選擇要掃描的 TLS/SSL 伺服器問題

新增更多掃描選項會增加對網路資源,以及完成要花費多少時間的影響。

  1. 進階設定:掃描效能

    使用「掃描效能」選項設定掃描多快完成,或限制掃描對網路資源的影響。

    • 侵略性掃描
      對網路資源有較大的影響。傳出大量掃描封包到網路。探索傳送多少封包的上限,以避免傳出不要的封包數目。
      註:使用侵略性設定可能會引發對於入侵偵測系統 (IDS) 或防止入侵系統 (IPS) 發出錯誤警報。
    • 慢速掃描
      限制掃描對網路資源的影響,並減少f IDS 或 IPS 錯誤警報的次數。一次傳送一些掃描封包,並在傳送更多封包前等待回應。
  1. 進階設定:更多設定

    限制 TLS/SSL 伺服器檢查以減少防火牆警報

    使用此選項,理解可能會限制掃描的有效性,因為可能導致遺漏 TLS/SSL 伺服器問題。

    若要識別 TLS/SSL 伺服器問題 (例如 Heartbleed),掃描有時要模擬 TLS/SSL 伺服器問題,以確定伺服器是安全的。此類模擬可能觸發您的網路上的錯誤防火牆警報。若要避免此類警報,您可以限制 TLS/SSL 伺服器檢查。

    指定要掃描的連接埠以確認主機可用性

    您指定的連接埠僅使用於確認主機可用性。

    掃描程序的第一步是偵測主機,確認是否可用。
    如果網際網路控制訊息通訊協定 (ICMP) 偵測在主機上停用,請使用此設定指定可以掃描的連接埠,以確定主機的可用性。指定的連接埠越少,掃描的速度越快。

  1. 儲存和排程/儲存和執行

    完成時,您會想要儲存您的掃描。

    • 如果您正在執行,請按儲存並執行
    • 如果您已安排掃描時間,請按儲存和排程

下一步是什麼

您的掃描將立刻執行或依排程執行。掃描完成時間視網路規模,以及在設定期間選擇的掃描效能設定而定。

如果掃描觸發入侵偵測系統 (IDS) 或入侵防護系統的 (IPS 錯誤警報,請確定將掃描加入您的 IDS/IPS 公用程式的白名單中。此外,設定您的掃描為慢速執行。較慢的掃描較不可能觸發錯誤的警報。您也需要從您的防火牆將感應器加入白名單,以允許和 digicert.com 通訊。

若要管理您的掃描,請前往掃描頁面 (在資訊看板功能表中,按一下探索 > 管理探索)。

若要檢視掃描詳細資料或修改掃描設定,請前往掃描的詳細資料頁面 (在「掃描」頁面上,按一下掃描名稱連結)。

  • 探索位置掃描設定標籤上,檢視或修改掃描設定。
  • 掃描活動標籤上,檢視目前和過去的掃描詳細資料,例如開始時間、持續時間長度、掃描狀態和動作。