使用漏洞管理服务进行局域网主机扫描-九游平台

约束限制

codearts inspector服务通常对公网上可访问的主机进行漏洞扫描测试。该服务的扫描引擎出口公网ip地址：119.3.232.114、119.3.237.223、124.70.102.147、121.36.13.144、124.70.109.117、139.9.114.20和119.3.176.1。因此，被扫描的目标需要允许以上这些ip地址的访问。

场景说明

对于一些使用用户而言，用户的扫描目标主机部署在私有vpc中，没有公网ip地址，这使得codearts inspector服务的扫描引擎无法直接访问这些目标主机。为了实现对这类内网主机的漏洞扫描，我们提出了如下组网九游平台的解决方案。该方案需要使用一台配置了双ip地址的跳板机（跳转服务器），其中一个ip地址是公网ip，能够与扫描引擎通信；另一个ip地址位于内网中，用于与被扫描的目标主机互通。通过这种方式，我们能够建立从扫描引擎到被扫描目标主机的网络连接，进而完成内网主机的漏洞扫描。

1. 创建主机扫描任务。在ip地址栏填写被扫描目标机的内网ip。
2. 添加跳板机配置。

   配置的跳板机“公网ip”需要放通扫描引擎侧的公网ip（允许访问），跳板机的内网ip需要与被扫描目标机的内网环境互通。

   

3. 检查跳板机上配置文件。

   添加跳板机后，需要检查跳板机上的ssh配置文件。“/etc/ssh/sshd_config”中存在allowtcpforwarding yes的配置，用于支持ssh授权登录。修改配置后需重启sshd服务。 配置完成后可以执行命令 “sshd -t 2>/dev/null |grep allowtcpforwarding”检查是否配置成功。

   

验证

跳板机及被扫描对象的认证信息配置完成后可以单击“互通性”按钮验证认证信息配置的准确性。 如果不成功，可以按提示的信息（如：网络不通、密码不正确等）进行问题排查和修复。 如果成功，即可启动扫描。