分布式扫描引擎
分布式扫描引擎独立于安全控制台,并以一种使您的扫描环境尽可能高效的方式战略性地提供和定位。如果您打算维护安全控制台的生产部署,则分布式扫描引擎是绝对必要的。
本文将指导您完成分布式扫描引擎的部署和配置过程。
概览部署流程
部署分布式扫描引擎包括以下步骤:
- 在单独的主机上安装新的扫描引擎
- 根据您选择的通信方法,将扫描引擎与安全控制台配对
- 在安全控制台中刷新扫描引擎,以验证配对是否成功
沟通的方法
扫描引擎和安全控制台必须能够相互通信,以便启动扫描和集成扫描数据。分布式扫描引擎可以通过两种方式与安全控制台通信:
- Console-to-Engine-这是标准的沟通方式。在本例中,安全控制台指示扫描引擎通过端口40814初始化TCP连接来执行任务。
- Engine-to-Console-也被称为“反向”通信方法,引擎到控制台配对依赖于扫描引擎在引擎启动时启动到安全控制台的连接。
提示
您可以阅读更多关于这些配置扫描引擎通信方法帮助页面。
需求
要确保分布式扫描引擎的设置成功,请确保完成以下初步步骤:
- 验证您想要的扫描引擎主机是否满足系统需求.
- 如果您的网络上存在防火墙,请确保根据您选择的通信方法为安全控制台和扫描引擎主机列出必要的端口白名单。端口白名单要求请参考下表。
源 |
目的地 |
港口 |
协议 |
|
---|---|---|---|---|
Console-to-Engine |
控制台 |
扫描引擎 |
40814 |
TCP |
Engine-to-Console |
引擎 |
控制台 |
40815 |
TCP |
请注意
该表中显示的端口是安全控制台和扫描引擎使用的默认端口。如果在部署过程中修改这些默认端口,请确保防火墙规则与端口修改相匹配。
下载并安装扫描引擎
在验证满足硬件和网络需求之后,就可以下载并在目标主机上安装Scan Engine了。
提醒
不要在已经有安全控制台的主机上安装分布式扫描引擎!
“分布式”扫描引擎之所以如此命名,是因为它们使用的硬件完全是为其使用而保留的。所有安全控制台安装都已包含本地扫描引擎。
说明—虚拟机上的分布式扫描引擎
在虚拟机上部署分布式扫描引擎时,请根据系统需求为虚拟机预留足够的内存。
配置带有共享内存的虚拟机可能会导致扫描引擎在扫描期间耗尽内存。
下载扫描引擎安装程序
InsightVM产品安装程序还负责安装分布式扫描引擎。参观下载页下载Linux或Windows安装程序,以根据您要使用的主机的操作系统进行安装。
安装扫描引擎
提示
以下步骤适用于Linux命令行和Windows安装向导。
启动产品安装程序以开始。遵循初始提示,直到到达组件选择和通信方向步骤。
选择组件
在完成必要的确认之后,系统会提示您选择要安装的组件。
选择只扫描引擎.这将告诉安装程序您打算部署分布式扫描引擎。
选择通信方向
选择组件后,系统会提示您选择通信方向。
我应该使用哪种沟通方式?
最终决定扫描引擎如何与安全控制台通信取决于网络的配置和拓扑结构。生产部署通常有两种扫描引擎类型,以适应扫描条件,如资产位置和防火墙的存在。
看到扫描引擎通信方法帮助页面提供最佳实践和用例信息。
如果您选择引擎到控制台的方法,您将有机会在扫描引擎安装期间使用安全控制台配置反向对。如果你愿意,你可以跳过这个配对步骤,Rapid7建议你利用这个配对机会安装后反向配对过程涉及更复杂的步骤。
在安装扫描引擎时配置反向对:
- 在安装向导的提示下,输入安全控制台的IP地址。
- 为安装程序提供安全控制台共享秘密。
- 通过导航到安全控制台中,可以在安全控制台中生成共享秘密政府选项卡>“扫描选项”一节>管理旁边的“引擎”>“生成扫描引擎共享秘密”部分>生成.
提示
多个扫描引擎可以为它们的每个反向配对过程使用相同的控制台生成的共享秘密。但是,共享的秘密仅在60分钟内有效。如果您的共享密钥过期了,您必须生成一个新的密钥来完成任何进一步的反向配对过程。
- 测试您的连接,以确保安全控制台和扫描引擎能够正确通信。
- 继续扫描引擎安装的其余部分。
- 扫描引擎完成安装后,直接进入刷新新的扫描引擎本指南的一部分。
如果您选择了控制台到引擎方法,在完成Scan Engine安装后,您需要使用安全控制台配置一个标准对。此时继续其余的安装。扫描引擎完成安装后,继续执行将扫描引擎与安全控制台配对本指南的一部分。
将扫描引擎与安全控制台配对
请注意
在继续安装后配对过程之前,请确保新的扫描引擎正在运行并可访问。您还必须具有对扫描引擎主机的管理员级访问权限,才能完成这些配对过程。
所有新的扫描引擎必须与安全控制台配对,才能用于扫描。这些引擎配对过程根据您想要实现的通信方法而有所不同。
你可以参考以下配对程序中的一种来选择沟通方法:
标准对(Console-to-Engine)
为了配置控制台到引擎的配对,必须让安全控制台知道可以使用新的扫描引擎,并且必须提供如何访问它的说明。因此,所有标准配对过程的第一步是将新的扫描引擎添加到安全控制台。
可以在站点配置中添加新的扫描引擎或通过政府页面。
在“站点配置”中添加引擎
在站点配置中添加扫描引擎:
- 在新的或现有的站点配置中,单击引擎选项卡。
- 您可以通过扩展创建下拉菜单,或通过单击“网站”表格中的编辑图标来访问现有网站首页页面。
- 单击添加扫描引擎subtab。
- 命名您的扫描引擎。
- 在“地址”字段中输入扫描引擎的IP地址。
- 如果需要调整默认端口号,请修改“port”字段的值。
- 假设您的站点拥有所需信息的最小集,单击保存当完成。
通过管理添加引擎
通过。添加扫描引擎政府标签:
- 浏览到并单击政府选项卡在左侧导航菜单中。
- 在“扫描选项”部分,单击创建旁边的“引擎”。
- 在一般选项卡,命名扫描引擎。
- 在“地址”字段中输入扫描引擎的IP地址。
- 点击保存当完成。
正确添加扫描引擎生成consoles.xml
文件在扫描引擎主机上。您将在下一步中修改此文件。
修改consoles.xml
的consoles.xml
在上一步中在扫描引擎主机上生成的文件包含一个用于添加扫描引擎的安全控制台的条目。必须启用控制台才能完成配对。
修改consoles.xml
文件适用于Linux或Windows主机:
- 浏览到
consoles.xml
文件存放在扫描引擎目录中。默认情况下,根据扫描引擎主机的操作系统,该文件位于以下位置:- Linux-
/ opt / rapid7 / nexpose /研究/ conf / consoles.xml
- 窗户-
文件\ Rapid7 \ NeXpose \了无\ conf \ consoles.xml
- Linux-
- 开放
consoles.xml
使用您选择的文本编辑器。导航到<控制台>
元素。添加扫描引擎的安全控制台显示为<控制台>
元素具有多个属性。- 通过检查安全控制台,可以识别正确的安全控制台
lastAddress
属性匹配要与之配对的安全控制台的IP地址。
- 通过检查安全控制台,可以识别正确的安全控制台
- 的值
启用
属性从0
来1
. - 保存并关闭
consoles.xml
文件。 - 重新启动扫描引擎主机,使您的更改生效。
配对过程完成了!
继续的验证步骤以完成扫描引擎部署。
扭转对(Engine-to-Console)
如果您在安装Scan Engine时利用了反向配对配置的机会,那么您已经完成了这个步骤!直接前往刷新新的扫描引擎部分以验证您的扫描引擎已准备好使用。
但是,如果您使用Engine-to-Console若未完成反向配对步骤,则必须使用单独的程序完成配对。看到安装后Engine-to-Console配对页上的说明如何做到这一点。
刷新新的扫描引擎
完成扫描引擎的标准或反向对后,必须刷新它的状态,以验证安全控制台可以与它正确通信。
要在安全控制台中刷新新的扫描引擎,请执行以下操作:
- 浏览到并单击政府选项卡在左侧导航菜单中。
- 在“扫描选项”部分,单击管理旁边的“引擎”。
- 在“扫描引擎”部分,单击刷新显示引擎.这确保您的扫描引擎表是最新的。
- 找到与安全控制台配对的分布式扫描引擎。点击“刷新”列中的图标,完成验证过程。
如果您已经正确地配置并对扫描引擎进行了配对,它现在会显示最新的版本和通信状态信息。“通信状态”列本身用箭头表示当前的通信方法,用颜色表示连接状态。指向“Engine”的箭头表示标准配对,而指向“Console”的箭头表示反向配对。此外,箭头图标可以有以下颜色代码:
- 绿色—扫描引擎处于激活状态
- 橙色—扫描引擎状态未知
- “未知”状态表明,即使没有记录错误,安全控制台和扫描引擎也无法通信。这通常是ping之间的重大失误造成的。刷新扫描引擎状态以再次尝试通信。
- 红色的-有三种可能与这个颜色代码相关:
- 等待授权—此状态表示尚未在扫描引擎上启用安全控制台。必须在扫描引擎上启用控制台在配对过程中.
- 不兼容的—此状态表示安全控制台和扫描引擎版本不一致。控制台和引擎必须在同一个版本上,以便正常通信。
- 下来—该状态表示扫描引擎处于离线状态。
恭喜你!
您现在应该已经成功地部署了分布式扫描引擎。