如何从/漏洞中将漏洞扫描仪列入白 IPS 名单

漏洞扫描仪（如 Qualys 和 Rapid 7）经常用于识别 PA 防火墙上的漏洞以及防火墙背后的资源以实现合规性。这些扫描仪的流量会产生大量的威胁日志，大部分是误报。 本文档涵盖配置步骤，以便在有限的时间内安全地允许对背后的资源进行漏洞扫描 firewall ，并通过不暴露标准服务来减少威胁表。

• 漏洞扫描仪，如夸利、快速 7、内苏斯或其他。
• 网络服务器或其他资源的背后 Firewall 。
• PAN-OS 8.0.x 及更高

• 假设您正在运行扫描仪从您的 LAN 。
• 列出 ID 扫描过程中触发的威胁和间谍软件。
• 在 对象->漏洞保护->下创建新的威胁配置文件 <name such="" as="" profile_for_qualys="">，并为触发的所有威胁 ID 添加例外。</name> 除外，请根据需要更改操作。
• 现在创建一个新的安全性 Policy ，允许扫描仪 IP 从/访问 LAN 您的以下访问。
  • 名称：一些有用的名称 ，如允许扫描仪
  • 源区域选项卡：扫描仪所属的区域。
  • 源地址选项卡：扫描仪 IP 的地址
  • 目的地选项卡：目的地区
  • 服务/ URL 类别选项卡： ANY 和操作选项卡：允许。
  • 操作选项卡>配置文件设置：您可以将其保留为空档，也可以使用新创建的配置文件将所有例外。
  • 现在，将新安全 Policy （在此情况下允许扫描器）置于该 policy 区域其他流量之前的安全性之上 policy 。 请确保当扫描仪发送流量时，这是匹配的第一个 policy 流量。

• 万一扫描仪也在运行侦察，并且您想要允许它，请将扫描仪列入 IP 侦察保护的白名单。
• 此设置可在网络>区域保护>区域保护配置文件>恢复保护>源地址排除>Add完成
• 该列表最多支持 20 个 IP 地址或 Netmask 地址对象。