天融信脆弱性扫描与管理系统用户管理手册

天融信脆弱性扫描与管理系统
（TopScanner）快速配置手册
北京市海淀区西北旺东路 10 号院西区 11 号楼东侧天融信科技集团 100193
电话：010-82776666
传真：010-82776677
服务热线：4007770777
http://www.topsec.com.cn
版权声明
本手册中的所有内容及格式的版权属于北京天融信公司（以下简
称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或
任意引用。
版权所有不得翻印 © 2023 天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公
司的注册商标或是版权属各商标注册人所有，恕不逐一列明。
TOPSEC® 天融信公司
信息反馈
http://www.topsec.com.cn
目录
目录
1 欢迎使用..............................................................................................................................................1
2 安装......................................................................................................................................................4
2.1 系统组成........................................................................................................................................4
2.2 安装前准备工作............................................................................................................................6
2.3 硬件设备安装................................................................................................................................8
2.4 安装后的检查................................................................................................................................8
3 初次使用..............................................................................................................................................9
3.1 登录 WEB 界面...........................................................................................................................10
3.2 登录 CLI 界面.............................................................................................................................11
3.3 启用远程管理...............................................................................................................................15
3.3.1 WEB.........................................................................................................................................15
3.3.2 CLI...........................................................................................................................................19
4 系统部署............................................................................................................................................20
5 维护....................................................................................................................................................22
5.1 修改管理员密码...........................................................................................................................22
5.2 配置备份与恢复...........................................................................................................................23
5.3 系统升级.......................................................................................................................................25
5.4 插件库升级...................................................................................................................................28
5.5 LICENSE 升级................................................................................................................................31
5.6 诊断...............................................................................................................................................32
5.7 重启...............................................................................................................................................33
服务热线：400-777- i
天融信脆弱性扫描与管理系统快速配置手
1 欢迎使用
 文档目的
本快速配置手册指导管理员如何快速了解 TopScanner 的安装、部署与维护，通过阅读本文档，管
理员可以根据实际网络环境部署 TopScanner，使 TopScanner 成功接入当前网络，并可在
TopScanner 运行出现故障时，快速定位并解决故障。
 读者对象
本文档适用于具有基本网络知识的系统管理员和网络管理员阅读，通过阅读本文档，他们可以
独自完成以下一些工作：
 部署 TopScanner
 维护 TopScanner
 检测 TopScanner 工作状态
 约定
本文档遵循以下约定。
1）图形界面操作的描述采用以下约定：
格式说明
【XX】表示按钮。如：点击【XX】按钮。
服务热线：400-777- 1
格式说明
“” 表示页面内容引用。如：激活“XX”页签，弹出“XX”窗口，在下拉
框中选择“XX”参数。
> 分隔多个菜单项，且此时菜单项采用“菜单命令”格式。
如：点击（选择）脆弱性评测 > 任务列表。
< > 带尖括号表示键盘按钮名。如：按 <Ctrl> + <Alt> 即可。
2）为了叙述方便，本文档采用了大量网络拓扑图，图中的图标用于指明天融信和通用的网络设备、外
设和其他设备，以下图标注释说明了这些图标代表的设备：
3）文档中出现的说明、注意、示例等标志，是关于管理员在安装和使用 TopScanner 过程中需要
特别注意的部分，请管理员在明确可能的操作结果后，再执行相关操作。这些标志的意义如下：
图标说明
“说明”图标，对操作内容的描述进行必要的补充和说明。
“注意”图标，提醒操作中应注意的事项，不当的操作可能会导致数
据丢失或设备损坏。
“示例”图标，对相关描述进行举例说明。
 文档意见反馈
如果您在阅读过程中发现文档的任何问题，可通过服务热线或电子邮件
（[email protected]）的方式进行反馈。感谢您的反馈，让我们做得更好！
服务热线：400-777- 2
 声明
1. 本文档中所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信不另行通知。
2. 本文档中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，
此可能产生的差异为正常现象，产品功能和性能请以产品说明书为准。
3. 本文档中没有任何关于其他同类产品的对比或比较，天融信也不对其他同类产品表达意见，如
引起相关纠纷应属于自行推测或误会，天融信对此没有任何立场。
4. 本文档中提到的信息为正常公开的信息，若因本文档或其所提到的任何信息引起了他人直接或
间接的资料流失、利益损失，天融信及其员工不承担任何责任。
5. 本产品生命周期结束后，如需报废，请联系具有电子产品报废处理资质的厂家进行处理。
服务热线：400-777- 3
2 安装
本章介绍了系统组成、安装 TopScanner 前的准备工作以及 TopScanner 的硬件安装过程，同时介
绍了安装后的检查，以指导管理员完整的做好 TopScanner 的安装。包括如下主要内容：
 系统组成
 安装前的准备工作
 硬件设备安装
 安装后的检查
2.1 系统组成
 系统组成
系统组成说明
分类
硬件形态 1U 或 2U 机架型设备。
软件平台支持 v3.22102 版本及后续升级版本。
其他配套主要包括产品软件或其他测试软件等。
软件
 产品外观
以 1U（产品型号：TopScanner7000(FT-A)V3）设备为例，该产品使用了 FT-1500A(4 核），1U 机
箱，设备外观如下图所示。
服务热线：400-777- 4
机箱前面板各个标号的具体说明如下表所示。
标号名称说明
1 指示灯标志设备的工作状态。
2 串口用于管理员对天融信脆弱性扫描与管理系统进行本
地配置和排除故障的接口。RJ45 形式；支持波特率
为 9600。
3 USB 口用于加密认证的加密卡 USB 等外设接入。
4 管理口 ETH0 口默认为管理口，以太网接口，支持独立的
10/100/1000MBase-T 自适应以太网接口，符合
IEEE802.3 10Base-T、IEEE802.3u 100Base-TX、
IEEE802.3u 1000Base-T 标准。
5 网络接口六个以太网接口，支持独立的 10/100/1000MBase-T
自适应以太网接口，符合 IEEE802.3 10Base-
T、IEEE802.3u 100Base-TX、IEEE802.3u
1000Base-T
标准。
四个光纤接口。
6 针孔针孔内有按钮，用于重启设备。
7 扩展插槽两个可插拔的扩展插槽。
说明：
不同的 TopScanner 产品支持不同数量的扩展模块，
服务热线：400-777- 5
标号名称说明
扩展插槽用于扩展卡的安装。
2.2 安装前准备工作
 随机附件
安装 TopScanner 之前，请打开产品的随机配件盒检查配件是否齐全。产品的配件与产品型号相关，具
体请参见装箱物品清单。主要配件如下表所示。
配件说明
直通线接入网络时，一般需要使用直通线，如 TopScanner 与交换机等的
（直连网连接。
线）
电源线每台 TopScanner 都配备一根或两根电源线。
上架挂耳如果需要将 TopScanner 放到机架上，请用上架挂耳将其固定。
上架螺丝上架时需要使用的螺丝。
串口线使用 TopScanner 的串口配置时，需要使用串口线。
随机光盘内附产品相关工具、MIB 库及手册类文档等。
除随机配件盒内物品外，还需要进行如下表所示的准备工作。
项目说明
IP 地址请在网络中给 TopScanner 预留一个 IP 地址。
管理主机配置 TopScanner 需要一台管理用的主机，配置时需要通过网线连
接后使用 HTTPS 的方式登录 TopScanner 的 WEB 界面进行管理。
终端软件能够连接串口的终端软件（如超级终端软件）。
浏览器建议使用 Chome50、Firefox48、IE9 以上版本。
服务热线：400-777- 6
 环境要求
为保证 TopScanner 正常工作，并延长使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿
度过高，易造成绝缘材料绝缘不良甚至漏电，还会发生材料机械性能变化、金属部件锈蚀等现
象；温度过高会加速绝缘材料老化，使 TopScanner 的可靠性大大降低，严重影响其使用寿命。
TopScanner 对环境的具体要求如下：
 通风散热
 温度：0℃~40℃
 相对湿度：20%~90%（非凝露）
 防静电要求
尽管 TopScanner 在防静电方面采取了多种措施，但当静电超过一定限度时，仍会对电路及整机产生
巨大的破坏作用。在与 TopScanner 连接的通信网中，静电感应主要来自两个方面：一是室外高压输
电线、雷电等外界电场；二是室内环境、地板材料、整机结构等内部系统。因此为防止静电损
伤，应做到：
 TopScanner 良好接地。
 室内防尘。
 满足温度、湿度要求。
 接触电路板时，应戴防静电手套或手环，穿防静电工作服。
 检查机架
在对 TopScanner 进行安装前要保证以下条件：
 确认 TopScanner 的入风口及通风口处留有空间，以利于 TopScanner 机箱的散热。
 确认机架自身有良好的通风散热系统。
 确认机架足够牢固，能够支撑 TopScanner 及其安装附件。
 确认机架良好接地。
服务热线：400-777- 7
2.3 硬件设备安装
TopScanner 有两种安装方式：直接安置于平台上、安装到机柜中。
 直接安置于平台上
多数情况下，用户并不具备 19 英寸标准机柜，常用的方法就是将 TopScanner 放置于干净的工作
台上。此种操作比较简单，操作中需注意如下事项：
 保证工作台的平稳性与良好接地
 TopScanner 四周留出 10cm 的散热空间
 不要在 TopScanner 上放置重物
 安装到机柜中
TopScanner 是按照 19 英寸标准机柜的尺寸进行设计的，一般遵循如下步骤进行安装：步
骤 1 检查机柜的接地与稳定性。用螺钉将固定挂耳固定在 TopScanner 前面板两侧。
步骤 2 将 TopScanner 置于机柜的一个托架上。根据实际情况，沿机柜导轨移动 TopScanner 至
合适位置，注意保证 TopScanner 与导轨间的合适距离。
步骤 3 用满足机柜安装尺寸要求的螺钉将 TopScanner 通过固定挂耳固定在机柜上，保证
TopScanner 在机柜上的位置水平并牢固。
步骤 4 通过网络连接线将 TopScanner 的网络接口与对应安全区域中的网络设备相连接。步
骤 5 通过电源线连接 TopScanner 和电源。
步骤 6 启动 TopScanner 电源（电源开关位于 TopScanner 后端）。
2.4 安装后的检查
在 TopScanner 安装完成后，加电前需进行安装检查，检查事项如下：
 请检查 TopScanner 周围是否留有足够的散热空间，机柜是否稳固
 检查电源线所接电源与 TopScanner 要求的电源是否一致
 检查 TopScanner 的保护地线是否连接正确
 检查 TopScanner 与配置终端等其它设备的连接关系是否正确
服务热线：400-777- 8
 TopScanner 安装完成后的检查非常重要，因为安装的牢固与否、
接地良好与否、电源要求匹配与否等都将直接关系到 TopScanner
的正常使用。
3 初次使用
TopScanner 的管理界面包括 CLI 界面和 WEB 界面，CLI 界面只包括系统维护和网络配置相关功
能， WEB 界面包括整个系统的配置管理和维护功能。用户初次登录 TopScanner 时，可通过将管理
主机与 TopScanner 进行直连进而登录 TopScanner，对 TopScanner 进行启用远程管理配置（启用
远程管理配置请参见启用远程管理），实现管理员能远程登录 TopScanner。
与管理相关的出厂配置如下：
eth0 接口 IP 地址 192.168.1.254/24
管理员用
superman
户名
管理用户
管理员密
talent
码
SSH/WebUI 服务开放
初次使用 TopScanner，用户需熟知：
 登录 WEB 界面：管理主机连接 TopScanner 的接口 eth0，使用浏览器登录 TopScanner 的 WEB 管
理界面进行配置管理。
 登录 CLI 界面：1）管理主机连接 TopScanner 的 CONSOLE 口；2）管理主机连接 TopScanner 的
接口 eth0，使用终端程序登录 TopScanner 的 CLI 界面。
 启用远程管理：实现用户能远程管理 TopScanner。
服务热线：400-777- 9
3.1 登录 WEB 界面
初次通过浏览器登录 TopScanner，登录之前，需执行如下配置：
 将 TopScanner 设备的 eth0(MGMT)口与管理主机直连；
 配置管理主机的 IP 地址为 192.168.1.X/24（X 取值范围为：1-253），确保管理主机的 IP
地址与 TopScanner 的 eth0(MGMT)接口 IP 处于同一网段（TopScanner 的 eth0(MGMT)接口出
厂配置为 192.168.1.254/24）。
登录 WEB 界面操作步骤如下：
步骤 1 在管理主机中打开浏览器，然后在地址栏中输入 TopScanner 的管理 URL
（https://192.168.1.254），弹出登录页面，如下图所示。
步骤 2 输入用户名、密码和验证码，点击【登录】按钮，可进入 TopScanner 的 WEB 管理界面。
 三权分立模式预置三个管理员账号，分别为系统管理员、安全保
密管理员、安全审计管理员，其用户名/密码依次为：
admin/talent、grantor/talent、auditor/talent。
服务热线：400-777- 1
3.2 登录 CLI 界面
用户初次登录 TopScanner 的 CLI 界面方式包括：1）管理主机连接 TopScanner 的 CONSOLE 口使
用终端程序登录； 2 ）管理主机连接 TopScanner 的接口 feth0 ，使用终端程序登录。登录到
TopScanner 的 CLI 界面，可以使用命令行对 TopScanner 进行初始配置。
 通过 Console 接口登录
步骤 1 用 DB9-DB9 Console 控制线连接 TopScanner 设备的 Console 口和计算机的串口。
步骤 2 建立 TopScanner 和管理主机的连接
管理主机如果自带终端程序，可直接打开终端程序连接 TopScanner；否则，需安装终端
程序后（如 Xshell、hypertrm、SecureCRT），再连接 TopScanner。下面以 Win7 操
作系统安装的终端程序“Xshell”为例，介绍如何通过终端程序连接 TopScanner。
1）打开终端程序，系统提示输入新建连接的名称，并选择协议为“SERIAL”。如下图
所示。
服务热线：400-777- 1
2）选择连接 > SERIAL，设置连接属性，如下图所示。
可以按照以下说明设置连接属性。
参数值
（以 Win7 为例）在管理主机桌面右键选择计算机 > 管

理
端口（Port）
打开“计算机管理”窗口，然后选择计算机管理 > 设备管
理器可查看连接串口使用的端口名称。
波特率（Baud
9600
Rate）
数据位（Data
8
Bits）
停止位（Stop
1
Bits）
服务热线：400-777- 1
参数值
奇偶校验
无
（Parity）
数据流控制（Flow
无
Control）
3）点击【确定】按钮，成功连接到 TopScanner 后，终端界面会出现输入用户名和密码
提示。直接输入默认的用户名/密码，即可登录到 TopScanner 的 CLI 界面。
步骤 3 登录后，用户便可使用命令行方式对 TopScanner 进行配置管理等操作。
 TopScanner 对于用户名和密码大小写敏感。
 通过 SSH 协议登录
初次通过 SSH 协议登录 TopScanner 的 CLI 界面，登录之前，需执行如下配置：
1.管理主机安装终端程序，如 Xshell、hypertrm、SecureCRT；
2. 将 TopScanner 设备的 feth0 口与管理主机直连；
3. 配置管理主机的 IP 地址为 192.168.1.X/24（X 取值范围为：1-253），确保管理主机的 IP
地址与 TopScanner 的 eth0(MGMT)口 IP 处于同一网段（TopScanner 的 eth0(MGMT)接口出厂配
置为 192.168.1.254/24）。
之后，用户即可通过管理主机的终端程序登录 TopScanner 进行初始配置，操作步骤如下：
步骤 1 （终端软件以 Xshell 为例）打开 Xshell，选择文件 > 新建，进入新建会话窗口，配
置如下图所示。
服务热线：400-777- 1
步骤 2 点击【确定】按钮，进入用户名输入窗口，输入用户名，如下图所示。
步骤 3 点击【确定】按钮，进入密码输入窗口，输入密码，如下图所示。
服务热线：400-777- 1
步骤 4 点击【确定】按钮，即可进入 CLI 管理界面，之后，用户便可使用命令行方式对 TopScanner
进行配置管理等操作。
3.3 启用远程管理
初次使用 TopScanner 时，需对 TopScanner 进行初始配置，例如，启用用户远程管理 TopScanner，
以实现管理员能远程登录 TopScanner 对 TopScanner 进行配置管理，配置说明包括：
 WEB：通过 WEB 界面配置。
 CLI：通过 CLI 界面配置。
3.3.1 WEB
步骤 1 进入 TopScanner 的 WEB 管理界面，操作请参见登录 WEB 界面。
步骤 2 添加接口 IP（以 eth0 口为例）
1）选择网络管理 > 接口 > 物理接口，如下图所示。
服务热线：400-777- 1
2）选择 eth0 口所在行，点击上方的“编辑”进入编辑页面。在 IPv4 页签的地址栏和
掩码栏中分别输入正确的 IP 地址和掩码，点击右侧【添加】按钮，如下图所示。
3）点击【确定】按钮完成接口 IP 的设置。
步骤 3 选择网络管理 > 路由 > 静态路由，添加一条出接口为 eth0 的默认路由，如下图所示。
服务热线：400-777- 1
步骤 4 选择系统管理 > 本地保护，点击【添加】，设置可访问 TopScanner 的 WEB 管理界面主
机，如下图所示。
步骤 5 选择系统管理 > 系统设置 > 本地服务设置，确保 httpd 服务处于开启状态，并可根
据需要修改 WEBUI 服务端口，同时可根据需求启用 WEB 登录认证功能，如下图所示。
 出厂配置中，系统服务：https 处于开启状态；本地保护服务：
eth0 所属区域的 webui 服务处于开启状态。如果不对管理
TopScanner 的管理员主机进行严格限制，无需执行以上步骤 4-5。
服务热线：400-777- 1
步骤 6 配置完成后，管理员可以通过访问 https://接口 IP 地址:服务端口远程登录 TopScanner 并对
TopScanner 进行配置管理。
服务热线：400-777- 1
3.3.2 CLI
步骤 1 进入 TopScanner 的 CLI 配置界面，操作请参见登录 CLI 界面。
步骤 2 配置接口 IP 地址
 查看接口配置信息
TopsecOS#network interface show <cr>
 配置接口 IP 地址
IPv4 地址：TopsecOS#network interface <接口名称> ip set <接口 IP 地址> mask <掩
码地址>
IPv6 地址：TopsecOS#network interface <接口名称> ipv6 set <接口 IP 地址> prefix <
前缀长度>
例如：
TopsecOS#network interface eth0 ip set 192.168.10.20 mask 255.255.255.0
步骤 3 配置路由
 查看路由配置
TopsecOS#network route show<cr>
 配置路由
IPv4 路由：TopsecOS#network route add dst <目的地址> gw <网关地址> [dev <出
接口名称>] [metric <度量值>] [family <ipv4>]
IPv6 路由：TopsecOS#network route add dst <目的地址> gw <网关地址> [dev <出
接口名称>] [metric <度量值>] family <ipv6>
例如：
TopsecOS#network route add dst 0.0.0.0/0 gw 192.168.10.1
步骤 4 开放管理员远程访问 WEB/CLI 管理界面服务
 启动 https/sshd/telnetd 进程
服务热线：400-777- 1
TopsecOS#system service httpd on
TopsecOS#system service sshd on
TopsecOS#system service telnetd on
 开放 WEBUI/SSH/TELNET 服务
TopsecOS#local-protect rule add name <webui|ssh|telnet> interface <接口名称> ipaddr
<地址>
例如：
TopsecOS#local-protect rule add name webui interface eth0
 出厂配置中，系统服务：https/sshd/telnetd 进程处于开启状态；
本地保护服务：eth0 所属区域的 ssh/webui/telnet 服务处于开
启状态，如果管理员开放的 WEB/CLI 管理服务为 eth0 区域的管理
服务，无需以上步骤 4 操作。
步骤 5 保存配置
TopsecOS#save <cr>
4 系统部署
TopScanner 采用旁路方式部署于网络中。用户需部署 TopScanner 的数量随网络规模的不同有差异，
对于小型网络环境，用户部署单个 TopScanner 即可满足扫描整个内网资产的需求；而对于大中型网
络环境，可部署多个 TopScanner，由多个 TopScanner 共同分担扫描整个网络资产的负
荷。TopScanner 旁路部署模式示意图如下：
服务热线：400-777- 2
 配置要点
 接入网络（配置接口 IP、配置路由）
 配置扫描任务
 查看扫描结果
 配置步骤
步骤 1 配置网络
选择网络管理 > 接口 > 物理接口，选中业务接口列表，点击列表上方的【编辑】，配
置业务接口 IP 地址。
选择网络管理 > 路由 > 静态路由，点击【添加】，配置路由，实现 TopScanner 与扫
描目标网络连通。
步骤 2 配置扫描任务
选择脆弱性评测 > 任务列表，点击【添加任务】，进入“添加任务”窗口，激活“系
统扫描/WEB 扫描/弱口令猜测”页签，配置扫描任务。
步骤 3 启动扫描进程
服务热线：400-777- 2
对于需手动启动扫描进程的任务，需点击扫描任务列表“操作”栏的“立即执行”按
钮启动扫描进程。
对于立即执行或周期性自动启动扫描进程的任务，无需管理员手工操作，到达扫描任务
启动时间，TopScanner 自动启动扫描进程。
步骤 4 查看扫描结果
点击已扫描完成的扫描任务名称，可查看扫描结果。
如果扫描任务启用了生成报表功能，扫描完成后，选择脆弱性评测 > 报表管理 > 报
表列表，可查看根据扫描结果生成的报表。
5 维护
本章以系统管理员登录系统为例，介绍维护 TopScanner 的常用操作，包括：
 修改管理员密码
 配置备份与恢复
 系统升级
 漏洞库升级
 License 升级
 诊断
 重启
5.1 修改管理员密码
修改管理员密码的具体操作步骤如下：
步骤 1 选择系统管理 > 系统设置 > 密码设置，如下图所示。
服务热线：400-777- 2
步骤 2 输入原始密码，新密码，并再次输入新密码，点击【应用】按钮完成密码的修改。
5.2 配置备份与恢复
系统升级、将当前系统配置复制至其他系统，或者恢复系统故障，需使用备份的系统配置文
件，通过配置恢复方法，使 TopScanner 按需迅速恢复工作状态。
配置备份
步骤 1 选择系统管理 > 系统维护 > 配置维护，如下图所示。
界面中状态栏中图标为“ ”，表示配置文件是系统当前的运行配置文件；“
”表示该配置文件是存储到系统中的备份配置文件。
步骤 2 选中一个配置文件，点击【导出存盘】按钮，可将该选中的配置文件导出到管理主机磁盘
中。
恢复配置
步骤 1 选择系统管理 > 系统维护 > 配置维护，如下图所示。
服务热线：400-777- 2
步骤 2 点击【导入存盘】按钮，弹出“当前导入”窗口，如下图所示。
步骤 3 点击“整机导入”右侧的【导入】按钮，弹出如下提示窗口。
步骤 4 点击【继续操作】按钮，进入添加配置文件窗口。
步骤 5 点击【选择文件】按钮，选择本地磁盘存储的整机配置文件，点击【确定】按钮。
 如果勾选“替换配置”，导入的配置会覆盖当前系统所有配置；
如果未勾选“替换配置”，导入的配置文件作为备份配置文件存
储于系统中。
服务热线：400-777- 2
5.3 系统升级
TopScanner 支持基于 TFTP 服务器、FTP 服务器和本地方式升级系统，并支持将升级包备份到系统
中，在系统需要升级时进行升级，可方便用户根据天融信发布的升级包及时对系统的性能和功能进行
扩充。
TFTP 和 FTP 服务器方式通过下载远程服务器的升级包进行升级，而本地方式则通过管理主机中的升
级包进行升级，即采用本地方式升级前，需将升级包下载到管理主机中。
在升级系统之前，需要先执行如下操作：
建议用户在升级前先保存系统的配置。
通过 TFTP/FTP 进行升级时，在升级之前需要事先配置好 TFTP/FTP 服务器及其工作目录，并保证
升级文件存放在工作目录中，并确保 TopScanner 与 TFTP/FTP 能通信。
步骤 1 选择系统管理 > 系统维护 > 固件维护，如下图所示。
状态栏图标为“ ”，表示当前运行的系统；“ ”表示存储到系统中的备份系统。
步骤 2 升级系统。
 TFTP 升级方式
点击【导入】按钮，弹出“导入”窗口，在“升级方式”下拉框中选择“TFTP”，如
下图所示。
服务热线：400-777- 2
采用 TFTP 方式升级系统时，各项参数的具体说明如下表所示。
参数说明
服务器地必选项。输入存放升级包的 TFTP 服务器的 IP 地址。
文件名称必选项。输入升级包的名称。
替换当前勾选“替换当前的系统固件”，升级系统；否则，并不升级系统，
的系统固只是将升级包下载到 TopScanner 中进行备份。
 FTP 服务器方式
点击【导入】按钮，弹出“导入”窗口，在“升级方式”下拉框中选择“FTP”，如下
图所示。
采用 FTP 方式升级系统时，各项参数的具体说明如下表所示。
参数说明
服务器地必选项。输入存放升级包的 FTP 服务器的 IP 地址。
服务热线：400-777- 2
参数说明
文件名称必选项。输入升级包的名称。
用户名 FTP 服务器不支持匿名登录时为必选项。输入 FTP 服务器的合法
登录账号名称。
密码 FTP 服务器不支持匿名登录时为必选项。输入 FTP 服务器的合法
登录账号名称对应的密码。
的系统固只是将升级包下载到 TopScanner 中进行备份。
 本地方式
点击【导入】按钮，弹出“导入”窗口，在“升级方式”下拉框中选择“本地”，如
下图所示。
采用本地方式升级系统时，各项参数的具体说明如下表所示。
参数说明
文件名称点击【选择文件】按钮，选择管理主机中存放的升级包，然后点
击【确定】按钮导入升级包。
服务热线：400-777- 2
参数说明
的系统固只是将升级包导入到 TopScanner 中进行备份。
步骤 3 升级方式设置完成后，点击【确定】按钮，完成升级包的导入或系统升级。
 升级系统软件需要一定的时间，升级过程中，请耐心等待，不要
在界面中进行任何操作，否则升级可能中断。如系统长时间显
示“正在升级，请稍等”对话框，则表明升级不成功，请点击
【确定】按钮返回。升级不成功，请重点考虑和检查以下几方面
的原因：1）是否正确配置了 TFTP/FTP 服务器；2）是否输入了
正确的文件名称或选择了正确的升级包。
5.4 插件库升级
插件库升级功能可以升级 TopScanner 的漏洞插件库，以提高 TopScanner 识别漏洞的准确性和效
率。升级插件库文件有：自动升级、立即升级和本地升级 3 种方式。管理员可以根据需要选择合
适的升级方式。
自动升级：自动升级指系统根据管理员设置的时间和目的地址，定期从目的地址处自动下载并更
新插件库。
立即升级：当新的漏洞被发现后，升级中心已发布新的插件库，而此时未到系统的自动升级时
间，可立即升级操作，及时升级插件库。立即升级方式与自动升级使用相同的插件库下载地址。
本地升级：当没有部署升级服务器时，可以采用本地升级方式。升级前将需要升级的插件库文件
保存到管理主机，再通过 WebUI 登录到 TopScanner，选择插件库文件进行升级。
步骤 1 选择系统管理 > 系统维护 > 插件库升级，如下图所示。
步骤 2 升级插件库。
服务热线：400-777- 2
 周期性自动升级插件库
1）选中一种插件库类型，点击【编辑】，在弹出的“编辑”对话框中，配置自动更新策
略，如下图所示。
在配置自动升级插件库时，各项参数的具体说明如下表所示。
参数说明
名称显示自动更新插件库名称。
服务器设置插件库升级的服务器类型。
设置服务器为自定义时，该项可配置。设置自动更新方式。可选项：
HTTP 和 FTP。
方式
HTTP：从指定的 URL 地址下载插件库。FTP：
从指定的 FTP 服务器地址下载插件库。
用户名设置服务器为自定义且升级方式为 FTP 时需要配置该选项。输入
FTP 服务器的合法登录账号名称，不能超过 63 个字符。
密码设置服务器为自定义且升级方式为 FTP 时需要配置该选项。输入
服务热线：400-777- 2
参数说明
FTP 服务器的合法登录账号名称对应的密码。
配置自动更新的时间间隔。可选择的更新间隔有：每月、每周、每
更新时间
日和每时。并可通过更新间隔下方的参数详细配置更新时间。
服务器地设置服务器为自定义时，该项可配置。配置自动更新获取插件库的
址服务器地址。
2）设置完成后，点击【确定】按钮，完成自动更新策略配置。
 立即升级插件库
1）设置周期性自动升级插件库策略，详见周期性自动升级插件库。
2）点击【立即更新】，进行插件库升级。
 通过本地插件库文件升级插件库
1）选择一条插件库列表，点击【导入】，弹出“规则文件导入”窗口，如下图所示。
在以本地升级方法升级插件库时，各项参数的具体说明如下表所示。
参数说明
名称显示插件库文件名称。
文件名点击【选择文件】按钮，选择管理主机上保存的插件库文件。
2）配置完成后，点击【确定】按钮，进行插件库文件升级。
服务热线：400-777- 3
5.5 License 升级
License 是许可证，用来管理和控制天融信 TopScanner 的部分功能以及服务的使用。通过升级
License，可提升产品的功能或服务权限。客户在购买 License 后，需通过 License 升级功能，将
License 写入 TopScanner。License 升级方式有：FTP 升级、TFTP 升级和本地升级 3 种方式。管
理员可以根据需要选择合适的升级方式。
FTP 升级：FTP 升级指从指定的 FTP 服务器升级，如果 FTP 服务器设置了密码，需要填写用户
名和密码。
TFTP 升级：TFTP 升级指从指定的 TFTP 服务器升级。
本地升级：升级前将需要升级的 License 文件保存到管理主机，再通过登录到 TopScanner 的
WEB 管理界面，选择 License 文件进行升级。
步骤 1 选择系统管理 > 系统维护 > license 升级，如下图所示。
在配置升级 license 文件时，各项参数的具体说明如下表所示。
参数说明
升级方式设置自动更新方式。可选项：本地、TFTP 和 FTP。
本地：从管理主机上获取 License 文件。TFTP：
从指定的 TFTP 服务器地址下载 License 文件
FTP：从指定的 FTP 服务器地址下载 License 文件。
服务热线：400-777- 3
参数说明
本文件名点击【选择文件】按钮，选择主机上保存的 License 文件。
地称
F 服务器设置 FTP 服务器的地址。
T 地址
P
文件名设置 License 文件名称。
名称设置登录 FTP 服务器的用户名。
密码设置登录 FTP 服务器用户名对应的密码。
T 服务器设置 TFTP 服务器的地址。
F 地址
T
文件名设置 License 文件名称。
P
称
步骤 2 设置完成后，点击【应用】按钮，完成 License 文件升级配置。
5.6 诊断
TopScanner 具有探测网络连接状况的功能，目前支持通过 PING、TRACEROUTE、TCP、HTTP 和 DNS
进行网络诊断。
步骤 1 选择系统管理 > 系统设置 > 网络诊断，如下图所示。
服务热线：400-777- 3
步骤 2 选择诊断类型并输入相关参数（根据诊断类型的不同输入的参数也不同，包括诊断地址、域
名或端口号），点击【开始请求】按钮开始诊断。如需结束诊断，可点击【停止请求】按
钮。
步骤 3 诊断完成后，“诊断结果”区域将会显示诊断结果，点击【清空】按钮可清空诊断结果。
5.7 重启
当系统升级、TopScanner 工作不正常或部分新配置需要生效时，需对系统进行重启，管理员可以远
程重启系统。
 重启前应保存系统的配置信息，否则，重启后将丢失全部未保存
的配置。
 系统重启将会造成业务中断，请谨慎使用。
 系统重启后，管理员需要重新登录。
步骤 1 选择系统管理 > 系统维护 > 系统重启。
服务热线：400-777- 3
步骤 2 点击【重启系统】按钮，在弹出的对话框中，选择是否保存当前配置信息，点击【确定】按钮
保存；点击【取消】按钮放弃保存。之后，进入重启系统进程。
服务热线：400-777- 3

天融信脆弱性扫描与管理系统 用户管理手册

Uploaded by

Copyright:

Available Formats

天融信脆弱性扫描与管理系统 用户管理手册

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

天融信脆弱性扫描与管理系统 用户管理手册

Uploaded by

Copyright:

Available Formats

天融信脆弱性扫描与管理系统

北京市海淀区西北旺东路 10 号院西区 11 号楼东侧 天融信科技集团 100193

版权所有 不得翻印 © 2023 天融信公司

本快速配置手册指导管理员如何快速了解 TopScanner 的安装、部署与维护，通过阅读本文档，管

理员可以根据实际网络环境部署 TopScanner，使 TopScanner 成功接入当前网络，并可在

如：点击（选择） 脆弱性评测 > 任务列表。

< > 带尖括号表示键盘按钮名。如：按 <Ctrl> + <Alt> 即可。

3） 文档中出现的说明、注意、示例等标志，是关于管理员在安装和使用 TopScanner 过程中需要

本章介绍了系统组成、安装 TopScanner 前的准备工作以及 TopScanner 的硬件安装过程，同时介

绍了安装后的检查，以指导管理员完整的做好 TopScanner 的安装。包括如下主要内容：

软件平台 支持 v3.22102 版本及后续升级版本。

以 1U（产品型号：TopScanner7000(FT-A)V3）设备为例，该产品使用了 FT-1500A(4 核），1U 机

3 USB 口 用于加密认证的加密卡 USB 等外设接入。

4 管理口 ETH0 口默认为管理口，以太网接口，支持独立的

IEEE802.3 10Base-T、IEEE802.3u 100Base-TX、

IEEE802.3u 1000Base-T 标准。

5 网络接口 六个以太网接口，支持独立的 10/100/1000MBase-T

自适应以太网接口，符合 IEEE802.3 10Base-

不同的 TopScanner 产品支持不同数量的扩展模块，

直通线 接入网络时，一般需要使用直通线，如 TopScanner 与交换机等的

电源线 每台 TopScanner 都配备一根或两根电源线。

上架挂耳 如果需要将 TopScanner 放到机架上，请用上架挂耳将其固定。

串口线 使用 TopScanner 的串口配置时，需要使用串口线。

随机光盘 内附产品相关工具、MIB 库及手册类文档等。

IP 地址 请在网络中给 TopScanner 预留一个 IP 地址。

管理主机 配置 TopScanner 需要一台管理用的主机，配置时需要通过网线连

接后使用 HTTPS 的方式登录 TopScanner 的 WEB 界面进行管理。

浏览器 建议使用 Chome50、Firefox48、IE9 以上版本。

为保证 TopScanner 正常工作，并延长使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿

象；温度过高会加速绝缘材料老化，使 TopScanner 的可靠性大大降低，严重影响其使用寿命。

巨大的破坏作用。在与 TopScanner 连接的通信网中，静电感应主要来自两个方面：一是室外高压输

 确认 TopScanner 的入风口及通风口处留有空间，以利于 TopScanner 机箱的散热。

 确认机架足够牢固，能够支撑 TopScanner 及其安装附件。

多数情况下，用户并不具备 19 英寸标准机柜，常用的方法就是将 TopScanner 放置于干净的工作

 TopScanner 四周留出 10cm 的散热空间

 不要在 TopScanner 上放置重物

TopScanner 是按照 19 英寸标准机柜的尺寸进行设计的，一般遵循如下步骤进行安装： 步

骤 1 检查机柜的接地与稳定性。用螺钉将固定挂耳固定在 TopScanner 前面板两侧。

步骤 2 将 TopScanner 置于机柜的一个托架上。根据实际情况，沿机柜导轨移动 TopScanner 至

合适位置，注意保证 TopScanner 与导轨间的合适距离。

步骤 3 用满足机柜安装尺寸要求的螺钉将 TopScanner 通过固定挂耳固定在机柜上，保证

步骤 4 通过网络连接线将 TopScanner 的网络接口与对应安全区域中的网络设备相连接。步

骤 5 通过电源线连接 TopScanner 和电源。

步骤 6 启动 TopScanner 电源（电源开关位于 TopScanner 后端）。

 请检查 TopScanner 周围是否留有足够的散热空间，机柜是否稳固

 检查电源线所接电源与 TopScanner 要求的电源是否一致

TopScanner 的管理界面包括 CLI 界面和 WEB 界面，CLI 界面只包括系统维护和网络配置相关功

能， WEB 界面包括整个系统的配置管理和维护功能。用户初次登录 TopScanner 时，可通过将管理

主机与 TopScanner 进行直连进而登录 TopScanner，对 TopScanner 进行启用远程管理配置（启用

远程管理配置请参见 启用远程管理），实现管理员能远程登录 TopScanner。

 登录 WEB 界面：管理主机连接 TopScanner 的接口 eth0，使用浏览器登录 TopScanner 的 WEB 管

 登录 CLI 界面：1）管理主机连接 TopScanner 的 CONSOLE 口；2）管理主机连接 TopScanner 的

接口 eth0，使用终端程序登录 TopScanner 的 CLI 界面。

 将 TopScanner 设备的 eth0(MGMT)口与管理主机直连；

 配置管理主机的 IP 地址为 192.168.1.X/24（X 取值范围为：1-253），确保管理主机的 IP

地址与 TopScanner 的 eth0(MGMT)接口 IP 处于同一网段（TopScanner 的 eth0(MGMT)接口出

步骤 1 在管理主机中打开浏览器，然后在地址栏中输入 TopScanner 的管理 URL

步骤 2 输入用户名、密码和验证码，点击【登录】按钮，可进入 TopScanner 的 WEB 管理界面。

用户初次登录 TopScanner 的 CLI 界面方式包括：1）管理主机连接 TopScanner 的 CONSOLE 口使

天融信脆弱性扫描与管理系统用户管理手册

天融信脆弱性扫描与管理系统用户管理手册

天融信脆弱性扫描与管理系统用户管理手册

北京市海淀区西北旺东路 10 号院西区 11 号楼东侧天融信科技集团 100193

版权所有不得翻印 © 2023 天融信公司

如：点击（选择）脆弱性评测 > 任务列表。

3）文档中出现的说明、注意、示例等标志，是关于管理员在安装和使用 TopScanner 过程中需要

软件平台支持 v3.22102 版本及后续升级版本。

3 USB 口用于加密认证的加密卡 USB 等外设接入。

5 网络接口六个以太网接口，支持独立的 10/100/1000MBase-T

直通线接入网络时，一般需要使用直通线，如 TopScanner 与交换机等的

电源线每台 TopScanner 都配备一根或两根电源线。

上架挂耳如果需要将 TopScanner 放到机架上，请用上架挂耳将其固定。

串口线使用 TopScanner 的串口配置时，需要使用串口线。

随机光盘内附产品相关工具、MIB 库及手册类文档等。

IP 地址请在网络中给 TopScanner 预留一个 IP 地址。

管理主机配置 TopScanner 需要一台管理用的主机，配置时需要通过网线连

浏览器建议使用 Chome50、Firefox48、IE9 以上版本。

TopScanner 是按照 19 英寸标准机柜的尺寸进行设计的，一般遵循如下步骤进行安装：步

远程管理配置请参见启用远程管理），实现管理员能远程登录 TopScanner。

（以 Win7 为例）在管理主机桌面右键选择计算机 > 管

3）点击【确定】按钮，成功连接到 TopScanner 后，终端界面会出现输入用户名和密码

步骤 1 （终端软件以 Xshell 为例）打开 Xshell，选择文件 > 新建，进入新建会话窗口，配

步骤 1 进入 TopScanner 的 WEB 管理界面，操作请参见登录 WEB 界面。

1）选择网络管理 > 接口 > 物理接口，如下图所示。

2）选择 eth0 口所在行，点击上方的“编辑”进入编辑页面。在 IPv4 页签的地址栏和

步骤 3 选择网络管理 > 路由 > 静态路由，添加一条出接口为 eth0 的默认路由，如下图所示。

步骤 4 选择系统管理 > 本地保护，点击【添加】，设置可访问 TopScanner 的 WEB 管理界面主

步骤 5 选择系统管理 > 系统设置 > 本地服务设置，确保 httpd 服务处于开启状态，并可根

步骤 1 进入 TopScanner 的 CLI 配置界面，操作请参见登录 CLI 界面。

IPv4 地址：TopsecOS#network interface <接口名称> ip set <接口 IP 地址> mask <掩

选择网络管理 > 接口 > 物理接口，选中业务接口列表，点击列表上方的【编辑】，配

选择网络管理 > 路由 > 静态路由，点击【添加】，配置路由，实现 TopScanner 与扫

选择脆弱性评测 > 任务列表，点击【添加任务】，进入“添加任务”窗口，激活“系

如果扫描任务启用了生成报表功能，扫描完成后，选择脆弱性评测 > 报表管理 > 报

步骤 1 选择系统管理 > 系统设置 > 密码设置，如下图所示。

件，通过配置恢复方法，使 TopScanner 按需迅速恢复工作状态。

步骤 1 选择系统管理 > 系统维护 > 配置维护，如下图所示。

步骤 1 选择系统管理 > 系统维护 > 配置维护，如下图所示。

步骤 1 选择系统管理 > 系统维护 > 固件维护，如下图所示。

服务器地必选项。输入存放升级包的 TFTP 服务器的 IP 地址。

的系统固只是将升级包下载到 TopScanner 中进行备份。

服务器地必选项。输入存放升级包的 FTP 服务器的 IP 地址。

的系统固只是将升级包下载到 TopScanner 中进行备份。

的系统固只是将升级包导入到 TopScanner 中进行备份。