脆弱性スキャナをホワイトリストに載付ける方法 IPS /脆弱性

Qualys や Rapid 7 などの脆弱性スキャナは、ファイアウォールの脆弱性や、ファイアウォールの背後にあるリソースのコンプライアンスを識別するために頻繁 PA に使用されます。これらのスキャナのトラフィックは、圧倒的な量の脅威ログを作成します。 このドキュメントでは、限定期間内のリソースに対して脆弱性スキャンを安全 firewall に許可し、標準サービスを公開しないことで脅威を軽減するための構成手順について説明します。

• クアラス、ラピッド7、ネッサスなどの脆弱性スキャナ。
• Web サーバーまたはその背後にあるその他のリソース Firewall 。
• PAN-OS 8.0.x 以上

• からスキャナを実行しているとします LAN 。
• IDスキャン中にトリガーされた脅威とスパイウェアのリストを作成します。
• [オブジェクト>の脆弱性保護>] で新しい脅威プロファイル<name such="" as="" profile_for_qualys="">を作成し、トリガーされたすべての脅威 ID に対して例外を追加します。</name> 例外では、許可に応じてアクションを変更します。
• 次に、新しいセキュリティ Policy を作成して、スキャナー IP が次からアクセスできるようにします LAN 。
  • 名前:スキャナー許可などの便利な名前
  • [ソース ゾーン] タブ: スキャナーが属するゾーン。
  • [送信元アドレス] タブ: スキャナの IP アドレス
  • [デスティネーション]タブ:デスティネーションゾーン
  • [サービス/ URL カテゴリ]タブ: ANY および[アクション]タブ: 許可します。
  • [アクション] タブ>プロファイル設定: 空のままにするか、新しく作成したプロファイルを使用すると、すべての例外を使用できます。
  • 次に、新しいセキュリティ Policy (この場合はスキャナーを許可する) を、 policy policy そのゾーン内の他のトラフィックの前にセキュリティの上に配置します。 スキャナがトラフィックを送信する際に、これが最初に policy 一致していることを確認してください。

• スキャナーも偵察を実行しており、それを許可したい場合は、スキャナーの IP 偵察保護をホワイトリストに記載してください。
• この設定は、ネットワーク>ゾーン保護>ゾーン保護プロファイル>ゾーン保護>ソース アドレスの除外>追加で行うことができます
• このリストは、最大 20 個の IP アドレスまたは Netmask アドレス オブジェクトをサポートします。