【CSMP】【虚拟waf组件】配置openssh漏洞防护

虞超01发表于:2021年08月17日 10:19:16更新于:2021年08月19日 08:20:39

1     简介

简述产品配置文档的适用场景。

本文档介绍CSMP平台中的虚拟waf组件在配置openssh漏洞防护的基本步骤

2     配置前提

本文档适用于CSMP2.0.4以及以上版本的waf组件,需要按照文档配置的要求按照步骤操作

本文档前提是虚拟waf组件被漏洞扫描工具(或者漏洞扫描设备)扫出来了类型于下图中的关于openssh协议的漏洞

                                              image.png

3     配置举例

3.1      组网需求

暂无

3.2      配置思路

严格按照配置步骤操作即可

3.3      使用版本

CSMP版本2.0.4及以上即可

3.4      配置步骤

1.    登陆waf界面,进入【系统管理】> 【远程管理】 ,默认会有一条0.0.0.0的全部允许的访问策略

image.png

2.    双击该条目,编辑这条策略,去掉ssh的选项。禁止所有ip以ssh的方式登陆

image.png

3.    点击右上角【添加】按钮,添加新的策略,将CSMP的ip以及需要使用ssh方式访问waf后台的ip加入访问控制选项,且仅开通ssh策略

image.png

 

4     验证配置

为验证问题是否解决,检查以下内容:

验证步骤1:

进入访问控制页面,再次查看策略编辑

image.png

验证步骤2:

再次针对改waf进行漏洞扫描,会发现扫不出来openssh的漏洞

5     注意事项

保留0.0.0.0的web访问的选项,否则会造成无法正常登陆页面