#原创分享# 如何做关于的HTTP_CGI_漏洞扫描策略？

传递智慧，沉淀知识，发技术文章，拿现金奖励，点击了解详情

如何做关于的HTTP_CGI_漏洞扫描策略？

看今天的报告发现问题如下：

源IP是同个，目的IP是不一样的，果断排查这个IP 所在的电脑

经过分析发现源地址为某台主机在对外进行HTTP_CGI_漏洞扫描

，做个策略来阻止这些恶意行为的发生。

1、地址对象中定义源地址。对象管理---地址对象---地址节点进行配置如下图

2、入侵防御---特征进行事件集的配置，防护等级为中。

注：防护等级高         事件发生后危害较高,系统把所有此类型事件的默认动作设置为"重置",其他事件的默认动作设置为"通过".提供最高等级的安全防护

防护等级中         事件发生后危害很高,系统把此类型事件的默认动作设置为"重置",其他事件的默认动作设置为"通过".提供中等级的安全防护

防护等级低         事件一旦发生危害程度非常高,系统只把此类事件的默认动作设置为"重置",其他事件的默认动作为"通过".提供低等级的安全防护有效

3、安全防护表进行定义，入侵防御中事件集为上步中增加的HTTP_CGI_漏洞扫描。

4、入侵 防御中进行安全策略的配置，安全策略源为any\目的接口/安全域为any ;动作为PERMIT，安全防护为HTTP_CGI_漏洞扫描。提交

5、过几分后发现这个事件匹配数持续上升。

tip:

HTTP_CGI_漏洞扫描

说明 ：检测到源IP主机正在扫描目的IP地址主机漏洞的行为。

当WEB服务器存在漏洞时可能被入侵者探测到，并且进一步通过漏洞入侵服务器。  

危害：  获得系统管理员权限

建议部署深信服防火墙，一般来说有新的漏洞爆发，防火墙的威胁情报预警会根据新漏洞的利用情况主动扫描内网的设备是否存在漏洞，如果存在则可以一键曾加waf或者ips防护，这样可以快速响应目前实时出现的漏洞攻击。同时ips和waf功能也能实时保护好内网设备不被攻击。

感谢楼主的分享，漏洞扫描是一种常见的web攻击手段，建议部署深信服下一代防火墙，利用IPS模块对这种扫描行为进行有效的拦截。

您好，感谢您参与社区原创分享计划6，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

安全很重要，可是一般企业都不怎么重视！

不错不错

写的不错，值得一学

安全很重要

楼主做事很细致

感谢精彩分享

优秀贴子，赞一个