非华为云主机配置漏扫产品体验

背景介绍

某客户服务器需要部署一套漏扫服务，推荐了使用华为云的漏洞扫描服务。由于该客户为线下的物理机，所以本次记录在部署的时候遇到的坑，仅供参考。(所有信息均已脱敏)

华为云上的漏扫版本为专业版，防护能力还是可以的，价格也能接受。

资产列表设置

需要在资产列表中添加信息，这里包括了网站、主机两种类型，都支持华为云主机以及非华为云主机部署。主机这里添加系统目前我看只支持linux，需要注意下。

以添加网站为例：点击新增域名，设置域名或IP地址以及域名别称即可完成设置

对于本次的场景，需要进行域名认证，在平台会生成一个认证文件，下载到检测端服务器，并放置到网站的根目录下。认证文件是为了验证用户和被扫描的网站的所有权。华为云漏洞扫描服务不同于一般的扫描工具，需要确保用户扫描的网站的所有权是用户自己。因为VSS的扫描原理是基于自动化渗透测试（对被扫描的对象发送非恶意的“攻击报文”）。VSS为了验证用户和被扫描的网站的所有权，会生成一个唯一的文件，只要该文件存放到网站根目录下，文件能够正常被外界访问，VSS就认为当前用户拥有该站点的所有权。

这里遇到一些问题，点击认证是可以访问到的，但是却无法完成认证。究其原因，是因为网站设置了防火墙或其他安全策略，导致漏洞扫描的扫描IP被当成恶意攻击者而误拦截。将以下漏洞扫描的扫描IP添加至网站访问的白名单中，就可以了。

121.36.16.183，121.36.20.138，121.36.31.222

开始扫描

最后可以针对网站做一次全面的扫描，扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。得分越高，表示漏洞数量越少，网站越安全。其中网站扫描：高危减10分，中危减5分，低危减3分，无漏洞则不扣分。在扫描完毕后会给出修复建议，可根据建议完成修复。

扫描的种类也很丰富，主要是得益于够买的漏扫具备的能力，以下这些都是支持的：

Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞）

端口扫描

弱密码扫描

CVE漏洞扫描

网页内容合规检测（文字）

修复报告

比较疑惑的是，为什么不能有一键修复的按钮呢，我想可能涉及的太深入了，毕竟问题会千奇百怪，变形也很多，无法按照固定的方式修复。那么一键修复的就可能会有大概率失败，效果不好。

总结

1、在配置认证域名那里存在一些问题，防火墙或是安全软件不能有拦截

2、扫描完成后，给出的修复建议，需要手动完成修复

3、添加主机处外部的服务器不支持windows系统