Nessus企业级漏洞巡检配置：新手也能上手的完整流程

知识分享

2026-06-09 22:00

6 阅读

为什么要做企业级漏洞巡检

企业网络环境里，系统、中间件、数据库每天都在暴露新漏洞。
Nessus作为业界成熟的漏洞扫描器，能帮你快速发现弱口令、未修复补丁、配置缺陷等问题。
本文从零开始演示 Nessus企业级漏洞巡检配置，确保你按步骤执行就能跑通第一次扫描。

环境准备：三件必须搞定的事

硬件要求：一台至少4核CPU、8GB内存的Linux服务器（CentOS 7/8或Ubuntu 20.04+），硬盘空闲空间建议50GB以上。Windows版本也可，但Linux更稳定。
软件来源：访问 Tenable 官网（tenable.com）注册免费账号，下载 Nessus Essentials 版（免费，可扫描16个IP）。企业用户可申请 Professional 试用。
网络规划：确保扫描器能访问目标网段，目标机器开放了必要的端口（默认常见服务端口如22、80、443等）。如果跨网段，提前配置路由或放行策略。

安装Nessus并激活许可证

安装包下载与安装

根据你的操作系统选择对应安装包。
以 Ubuntu 20.04 为例：

wget https://www.tenable.com/downloads/api/v1/public/pages/nessus/downloads/15578/download?i_agree_to_tenable_license_agreement=true -O Nessus-10.7.4-ubuntu1404_amd64.deb
sudo dpkg -i Nessus-10.7.4-ubuntu1404_amd64.deb

安装完成后启动服务：

sudo systemctl start nessusd
sudo systemctl enable nessusd

访问Web界面并激活

浏览器打开 https://你的服务器IP:8834。
首次访问会看到设置向导：

选择“Managed Scanner”类型（默认），点击“Continue”。
输入你注册的Tenable账号和激活码（免费版激活码会在注册后邮件发送）。
等待组件初始化（约5-10分钟），界面会显示“Nessus is ready”。

注意：如果页面长时间无法访问，检查防火墙是否放行了8834端口，以及服务是否正常运行。

创建扫描策略与执行第一次扫描

新建扫描策略

登录后点击左侧“Policies” → “New Policy”。
这里需要根据你的巡检目标选择模板：

基本网络扫描：适合常规端口、服务、漏洞检测。
Web应用测试：重点检测OWASP Top 10漏洞。
合规性扫描：针对等保、CIS基线。

本次选择“Basic Network Scan”，点击“Create”。
策略名称填写“企业内网巡检”，其他保持默认即可，点击“Submit”。

创建扫描任务

回到“Scans”页面，点击“New Scan” → “User Defined”，选择刚创建的策略。
填写：

Name：例如“192.168.1.0/24扫描”
Targets：输入目标网段，如 192.168.1.0/24 或单个IP 10.0.0.5
Credentials（可选）：如果需要检查弱口令，可以添加SSH/Windows凭据

点击“Launch”开始扫描。
扫描时长取决于目标数量和网络质量，小范围通常几分钟到半小时。

常见报错与避坑指南

问题1：扫描结果显示“host down”

原因：目标机没有响应ping或端口。
排查思路：检查目标防火墙是否放行ICMP或相关端口；
确认扫描器到目标的网络连通性（ping 目标IP）。

问题2：安装后Web界面打不开（443端口占用）

Nessus默认使用8834，但如果你的服务器443端口已被Nginx占用，可修改Nessus监听端口：编辑 /opt/nessus/sbin/nessus-service 启动参数，或在安装时指定端口。
更简单的方法：改用 https://IP:8834。

问题3：免费版只能扫16个IP，但我的网段有200台机器

解决方法：要么申请Nessus Professional试用，要么分批扫描（每次选16个IP），或者用Nessus Professional破解（不推荐，企业建议购买许可）。

避坑提醒：

扫描时目标机负载会升高，建议在业务低峰期执行。
扫描前务必获得授权，避免法律风险。
定期更新Plugins库（Nessus自动检查，也可手动执行 sudo /opt/nessus/sbin/nessuscli update --plugins-only）。

验证扫描结果并解读报告

扫描完成后，点击扫描任务的“Completed”状态进入报告。
主要关注以下几栏：

Severity：Critical（高危）、High（高）、Medium、Low、Info。优先修复Critical和High。
Plugin Name：具体漏洞名称，如“SSL Certificate Expiry”、“Apache Struts RCE”。
Solution：每个漏洞都附带修复建议，通常包括升级版本、修改配置、安装补丁。

导出报告时，点击“Report” → “Generate Report”，选择格式（HTML/PDF/CSV），方便提交给安全团队或存档。

首次配置完成后，建议创建一个定时扫描计划：点击“Scans” → 右键扫描任务 → “Schedule”，设置每周或每月执行。
这样就能保持持续的企业级漏洞巡检覆盖。

零基础快速掌握OpenVAS漏洞扫描工具使用全流程

服务器等保三级整改配置清单：零基础也能照做的完整步骤