一个实施例中的方法包括建立扫描仪与配置管理器之间的第一安全隧道以及扫描仪与扫描控制器之间的第二安全隧道,其中扫描仪位于公共网络中,并且配置管理器和扫描控制器位于专用网络中,从而通过第一安全隧道在扫描仪与配置管理器之间传递扫描仪配置信息,并且通过第二安全隧道在扫描仪与扫描控制器之间传递扫描信息。可通过将第一始发端口和第二始发端口分别转发到第一目的端口和第二目的端口,从专用网络中建立安全隧道。第一和第二始发端口可位于公共网络中,以及第一和第二目的端口可位于专用网络中。
【技术实现步骤摘要】
【国外来华专利技术】
一般来说,本公开涉及计算机网络领域,以及更具体来说,涉及。
技术介绍
计算机网络管理和支持的领域在当今社会已经变得越来越重要和复杂。计算机网络环境配置用于实际上每一个企业或组织,通常具有多个互连计算机(例如最终用户计算机、膝上型计算机、服务器、打印装置等)。在许多这类企业中,信息技术(IT)管理员可分派有维护和控制网络环境(包括主机、服务器和其它网络计算机上的可执行软件文件)的任务。随着网络环境中的可执行软件文件的数量增加,有效地控制、维护和矫正这些文件的能力能够变得更加困难。一般来说,网络的各种计算机中实现的软件的更大分集转换为管理这样的软件中的更大困难。另外,IT管理员和其它用户可希望使用有效计算机扫描方法来快速且有效地识别和消除脆弱性。当网络具有数 百至数百万个节点时,扫描所有节点的许多可能的脆弱性对IT管理员提出挑战。在许多情况下,IT管理员可能必须运行覆盖数千个应用和操作系统的大致30000个脆弱性检查,并且在任何给定周执行数十至数百次新的检查。因此,需要创新的工具来辅助IT管理员有效地控制和管理计算机网络环境中的计算机上的可执行软件文件和计算机扫描方法。【附图说明】为了提供对本公开及其特征和优点的更完整了解,参照结合附图的以下描述,其中相似标号表示相似部件,其中: 图1是用于网络环境中的计算机脆弱性的基于云的扫描的系统的一个示范实施例的简化框图; 图2是该系统的一个实施例的细节的简化框图; 图3是该系统的另一个实施例的简化框图; 图4是该系统的又一个实施例的简化框图; 图5是该系统的又一个实施例的简化框图; 图6是该系统的又一个实施例的简化框图;以及 图7是示出可与本公开的实施例关联的示例操作步骤的简化流程图。【具体实施方式】概述 一个实施例中的方法包括建立配置管理器与扫描仪之间的第一安全隧道以及扫描控制器与扫描仪之间的第二安全隧道,其中扫描仪位于公共网络中,并且配置管理器和扫描控制器位于专用网络中,从而通过第一安全隧道在扫描仪与配置管理器之间传递扫描仪配置信息,并且通过第二安全隧道在扫描仪与扫描控制器之间传递扫描信息。扫描控制器和配置管理器还可与位于专用网络中的一个或多个扫描仪进行通信。在具体实施例中,该方法包括标识第一始发端口、第二始发端口、第一目的端口和第二目的端口,并且从专用网络中将第一始发端口转发到第一目的端口以创建第一安全隧道,以及将第二始发端口转发到第二目的端口以创建第二安全隧道。第一始发端口和第二始发端口耦合到扫描仪,第一目的端口耦合到配置管理器,以及第二目的端口耦合到扫描控制器。此外,扫描仪可包括耦合到第一始发端口的第一端口以及耦合到第二始发端口的第二端口。在更具体的实施例中,该方法可包括将扫描仪配置成通过第二端口来传递扫描信息。在又一些实施例中,扫描仪可包括:扫描引擎,配置成基于扫描控制器所提供的扫描信息来扫描专用网络中的一个或多个资产;以及配置代理,配置成促进基于配置管理器所提供的扫描仪配置信息来配置扫描引擎。在更具体的实施例中,安全隧道可包括反向安全外壳(SSH)隧道。扫描仪还可包括SSH服务器和其它特征。示例实施例 图1是示出用于网络环境中的计算机脆弱性的基于云的扫描的系统10的一个示例实施例的简化框图。示范网络环境示出包括一个或多个扫描仪14的专用网络12,其中扫描仪14包括扫描引擎16和配置代理18以扫描各种资产20A-C的脆弱性。虽然图1中为了说明目的而仅示出三个资产,但是在本公开的广义范围之内,任何数量的资产可包含在系统10中。专用网络12中的某些资产,例如资产20A可部署在专用网络12的边缘,以便对于专用网络12外部的用户和/或系统可见,而某些其它资产,例如资产20B和20C可配置成是专用网络12外部的用户和/或系统不可见的。例如,资产20A可以是Web服务器,以及资产20B和20C可以是专用网络12中的台式计算机。扫描控制器22和配置管理器24可分别与扫描引擎16和配置代理18进行通信。在各个实施例中,扫描控制器22和配置管理器24可位于专用网络12中的相同或不同服务器上。专用网络12可通过防火墙28与公共网络26分隔。图1中,虽然示出防火墙28,但是可以理解,将专用网络12与公共网络26分隔的任何安全特征可用于系统10中,而没有背离本公开的广义范围。例如,交换机、路由器、分组过滤器等可将专用网络12与公共网络26分隔。扫描仪30可位于专用网络26中。仅为了说明而不是作为限制,图1中示出一个扫描仪,以及在本公开的范围之内,任何数量的扫描仪可部署在专用网络12外部。扫描仪30可包括扫描引擎32和配置代理34。在各个实施例中,扫描引擎32和配置代理34在功能上可分别基本上相当于扫描引擎16和配置代理18。系统10的实施例提供建立配置管理器24与扫描仪30之间的安全隧道36。系统10的实施例还提供建立扫描控制器22与扫描仪30之间的安全隧道38。在一些情况下,能够对基于公共网络的扫描仪30的扫描引擎32和配置代理34与基于专用网络的扫描控制器22和配置管理器24之间的通信建立单个安全隧道而不是两个不同隧道36、38 (如以下更详细论述)。如本文所使用的“安全隧道”包含通信协议,其保护通信信道免受不需要的和/或未经授权侵入和脆弱性、例如分组嗅探、数据泄漏、在运送中的同时的未经授权修改等。在图1所示的实施例中,各安全隧道能够包括反向安全外壳(SSH)隧道。SSH是用于通过例如运行SSH服务器程序的网络元件(例如SSH服务器40)与运行SSH客户端程序的另一个网络元件(例如SSH客户端42)之间的不安全网络(例如公共网络26)的安全通信(例如数据通信、远程外壳服务、远程登录、命令执行和其它安全网络服务)的网络协议。任何其它安全隧道(例如SSL、IPSec等)可适当地用于系统10中,而没有背离本公开的广义范围。为了说明目的,本文中结合系统10的实施例来描述反向SSH隧道。扫描控制器22可配置成向扫描引擎16提供一个或多个扫描指令(和其它扫描信息),并且通过专用网络12中的专用内部网络连接(例如以太网、无线连接等)接受来自扫描引擎16的扫描结果。扫描控制器22能够接受扫描请求(例如来自用户、网络管理员等),将其假脱机输出给各种扫描仪14,监测扫描仪14,并且接受来自扫描仪14的扫描结果。例如,扫描控制器22能够调度对资产20A-C的扫描,并且适当地向扫描引擎16分配扫描指令。按照系统10的实施例,扫描控制器22还可配置成向扫描引擎32提供一个或多个扫描指令(和其它扫描信息),并且通过安全隧道(例如安全隧道38)接受来自扫描引擎32的扫描结果(和其它扫描信息)。扫描引擎16、32能够包括程序逻辑以按照从扫描控制器22所指示的扫描指令(和其它扫描信息)来扫描资产20A-C。这样的逻辑在与来自扫描控制器22的其它扫描信息相结合时能够用来执行扫描,包括例如检测开放端口、确定正运行的服务、识别操作系统、记录MAC地址、主机名称以及与资产有关的其它信息;对于它在扫描资产上找到的数据处理并且模式匹配脆弱性定义;模拟恶意用户或系统访问资产并且监测作为模拟攻击的结果的资产的响应等;以及其它示例。配置管理器24可配置成通过专用网络12中的专本文档来自技高网...
【技术保护点】
一种方法,包括:建立配置管理器与扫描仪之间的第一安全隧道以及扫描控制器与所述扫描仪之间的第二安全隧道,其中所述扫描仪位于公共网络中,并且所述配置管理器和所述扫描控制器位于专用网络中;通过所述第一安全隧道在所述扫描仪与所述配置管理器之间传递扫描仪配置信息;以及通过所述第二安全隧道在所述扫描仪与所述扫描控制器之间传递扫描信息。
【技术特征摘要】
【国外来华专利技术】2011.12.29 US 13/3404571.一种方法,包括: 建立配置管理器与扫描仪之间的第一安全隧道以及扫描控制器与所述扫描仪之间的第二安全隧道,其中所述扫描仪位于公共网络中,并且所述配置管理器和所述扫描控制器位于专用网络中; 通过所述第一安全隧道在所述扫描仪与所述配置管理器之间传递扫描仪配置信息;以及 通过所述第二安全隧道在所述扫描仪与所述扫描控制器之间传递扫描信息。2.如权利要求1所述的方法,其中,各安全隧道是反向安全外壳(SSH)隧道。3.如权利要求1所述的方法,其中,建立所述第一安全隧道和所述第二安全隧道包括: 标识第一始发端口、第二始发端口、第一目的端口和第二目的端口,其中所述第一始发端口和第二始发端口耦合到所述扫描仪,所述第一目的端口耦合到所述配置管理器,并且所述第二目的端口耦合到所述扫描控制器;以及 从所述专用网络中将所述第一始发端口转发到所述第一目的端口以创建所述第一安全隧道,并且将所述第二始发端口转发到所述第二目的端口以创建所述第二安全隧道。4.如权利要求3所 述的方法,其中,所述扫描仪包括耦合到所述第一始发端口的第一端口以及耦合到所述第二始发端口的第二端口。5.如权利要求4所述的方法,还包括: 将所述扫描仪配置成通过所述第二端口传递扫描信息。6.如权利要求1所述的方法,其中,所述扫描仪包括: 扫描引擎,配置成基于所述扫描控制器提供的扫描信息来扫描所述专用网络中的一个或多个资产;以及 配置代理,配置成促进基于所述配置管理器提供的扫描仪配置信息来配置所述扫描引擎。7.如权利要求6所述的方法,其中,所述扫描仪还包括:SSH服务器。8.如权利要求1所述的方法,其中,所述扫描控制器和所述配置管理器与位于所述专用网络中的一个或多个扫描仪进行通信。9.如权利要求1所述的方法,其中,所述第一和第二安全隧道是相同隧道。10.如权利要求1所述的方法,其中,所述第一安全隧道与所述第二安全隧道不同。11.一种设备,包括: 扫描引擎; 配置代理; 第一端口 ; 第二端口 ; 存储器元件,配置成存储数据;以及 处理器,可操作以运行与所述数据关联的指令,其中所述设备配置用于: 建立配置管理器与所述配置代理之间的第一安全隧道以及扫描控制器与所述扫描引擎之间的第二安全隧道,其中所述设备位于公共网络中,并且所述配置管理器和所述扫描控制器位于专用网络中;通过所述第一安全隧道在所述配置代理与所述配置管理器之间传递扫描仪配置信息;以及 通过所述第二安全隧道在所述扫描引擎与所述扫描控制器之间传递扫描信息。12.如权利要求11所述的设备,其中,各安全隧道是反...
【专利技术属性】
技术研发人员:S施雷克,B罗比森,
申请(专利权)人:迈可菲公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。