博客 | NGINX

如何扫描环境中的 NGINX 实例

NGINX-F5-horiz-black-type-RGB 的一部分
阿卡什·阿南塔纳拉亚南 缩略图
阿卡什·阿南塔纳拉亚南
2023 年 6 月 1 日发布

作为F5 NGINX 管理套件的核心模块,实例管理器是一项宝贵的资源,可让您轻松高效地定位、管理和监控所有NGINX 开源和 NGINX Plus 实例。 现在,使用实例管理器可以轻松跟踪 NGINX 实例 - 易于使用的界面使组织可以方便地从单一窗口监控所有实例。

实例管理器还可以识别受常见漏洞和暴露 (CVE) 影响的实例以及 SSL 证书可能已过期的实例。 这种广泛的扫描能力对于确保信息技术 (IT) 资产的安全至关重要。 该模块还会在有新版本出现时通知以帮助解决这些漏洞,这对于任何想要主动管理和保护 NGINX 实例的人来说都至关重要。

使用实例管理器,您可以确保您的资产被精确跟踪 - 从而实现更好的管理并增强整体安全性。

NGINX 管理套件实例管理器的工作原理

实例管理器可以使用 Internet 控制消息协议 (ICMP) 识别活动主机,从而轻松扫描您的环境中的 NGINX 实例。

可以使用两种主要方法来识别活动主机:

  1. 启用 ICMP
  2. 禁用 ICMP

要扫描实例,请导航到扫描页面并提供 IP 地址和端口号。 此过程非常简单,按照扫描页面上提供的步骤即可完成。

启用 ICMP 时的 NGINX 扫描概述
图 1.  启用 ICMP 时的 NGINX 扫描概述

要识别活动主机,首先使用 ICMP Hello 数据包验证端口可访问性,然后执行 TCP 握手。 要检测 NGINX,请分析服务器的 HTTP 标头。

笔记: 如果在 NGINX Plus 中启用了 HTTP,您的扫描可能会发现任何 CVE 漏洞。 但是,在 NGINX Plus 上禁用 HTTP 可能会影响此方法的准确性。 如果您选择禁用它,您的扫描将无法识别任何 CVE。 因此建议在NGINX Plus上保持HTTP启用,以获得最全面、有效的识别活跃主机的结果。

Wireshark 捕获 ICMP 启用情况
图 2. Wireshark 捕获 ICMP 启用情况

当禁用 ICMP 时,您可以通过 TCP 握手方法来验证端口是否正常运行。 此方法评估端口的响应并确认端口是否按预期工作。 如果 SYN 请求得到答复,实例管理器可以确定端口是否正在运行 NGINX 或者证书是否已过期。

笔记: 如果 SYN 请求没有得到答复,该过程可能会延迟,并可能会导致端口耗尽问题。

禁用 ICMP 时的 NGINX 扫描概述
图 3. 禁用 ICMP 时的 NGINX 扫描概述

实例管理器能够检查任何服务器的 SSL 证书日期,无论它是否是 NGINX 服务器的一部分。 该模块对每个服务器的 SSL 证书日期进行全面评估,以确定任何潜在的过期情况。 Instance Manager 完成的扫描涵盖所有请求的端口,提醒您任何过期的 SSL 证书,并提供有价值的见解以帮助确保您的企业安全。

ICMP 禁用时 Wireshark 捕获
图 4. ICMP 禁用时 Wireshark 捕获

最后,实施基于角色的访问控制 (RBAC) 可以让您完全控制谁可以启动扫描以及谁有权访问您的扫描结果。 有了这个功能,您的敏感信息将保持机密和安全,因为只有授权人员才能访问结果。

其他资源

有关 NGINX 管理套件实例管理器的完整文档可以在这里找到。

如果您今天有兴趣探索实例管理器,您可以联系我们讨论您的具体用例。


“这篇博文可能引用了不再可用和/或不再支持的产品。 有关 F5 NGINX 产品和解决方案的最新信息,请探索我们的NGINX 产品系列。 NGINX 现在是 F5 的一部分。 所有之前的 NGINX.com 链接都将重定向至 F5.com 上的类似 NGINX 内容。”