Cisco Cisco Firepower Management Center 4000 User Guide
47-2
FireSIGHT 系统用户指南
第 47 章 配置主动扫描
了解 Nmap 扫描
如果系统识别在 Nmap 扫描中已确定的服务器且有对应的服务器定义,则系统会将该服务器的漏
洞映射至主机。系统将 Nmap 使用的服务器名称映射至对应的思科服务器定义,然后使用已映射
至系统中每台服务器的漏洞。同样,系统会将 Nmap 操作系统名称映射至思科操作系统定义。当
Nmap 检测主机的操作系统时,系统会将漏洞从对应的思科操作系统定义分配给主机。
洞映射至主机。系统将 Nmap 使用的服务器名称映射至对应的思科服务器定义,然后使用已映射
至系统中每台服务器的漏洞。同样,系统会将 Nmap 操作系统名称映射至思科操作系统定义。当
Nmap 检测主机的操作系统时,系统会将漏洞从对应的思科操作系统定义分配给主机。
有关用于扫描的基础 Nmap 技术的详细信息,请参阅
有关思科设备上 Nmap 的详细信息,请参阅以下主题:
•
•
•
了解 Nmap 补救
许可证:FireSIGHT
可为 Nmap 扫描定义设置,只需创建 Nmap 补救。 Nmap 补救可用作关联策略中的响应,按需运
行,或预定在特定时间运行。为了让 Nmap 扫描结果出现在网络映射中,已扫描的主机必须已存
在于网络映射中。
行,或预定在特定时间运行。为了让 Nmap 扫描结果出现在网络映射中,已扫描的主机必须已存
在于网络映射中。
请注意, Nmap 提供的服务器和操作系统数据将保持不变,直到您运行另一个 Nmap 扫描为止。
如计划使用 Nmap 扫描主机以获取操作系统和服务器数据,则可能希望设置定期扫描,随时更新
任何 Nmap 提供的操作系统和服务器数据。有关详细信息,请参阅
如计划使用 Nmap 扫描主机以获取操作系统和服务器数据,则可能希望设置定期扫描,随时更新
任何 Nmap 提供的操作系统和服务器数据。有关详细信息,请参阅
。另请注意,如从网络映射中删除主机,则将丢弃该主机的任何 Nmap 扫描结果。
有关 Nmap 功能的详细信息,请参阅
FireSIGHT 系统上的 Nmap 补救中配置的选项。
表
47-1
Nmap
补救选项
选项
说明
对应的 Nmap 选项
Scan Which
Address(es) From
Event?
Address(es) From
Event?
将 Nmap 扫描用作对关联规则的响应时,选择一个选项以控制扫描事
件中的哪个地址,源主机的地址、目标主机的地址或两者。
件中的哪个地址,源主机的地址、目标主机的地址或两者。
不适用
Scan Types
选择 Nmap 如何扫描端口:
•
TCP Syn
扫描可以快速连接到数千个端口,无需使用完整的 TCP 握
手。此选项可用于在以下主机上以隐形模式快速扫描,可发起但不
完成 TCP 连接:
完成 TCP 连接:
admin
帐户拥有原始数据包访问权限的主机,或未
运行 IPv6 的主机。如果主机确认在 TCP Syn 扫描中发送的 Syn 数
据包, Nmap 会重置连接。
据包, Nmap 会重置连接。
•
TCP Connect
扫描使用
connect()
系统调用,打开穿过主机操作系统
的连接。如果防御中心或受管设备上的
admin
用户在主机上没有原
始数据包权限,或正在扫描 IPv6 网络,则可使用 TCP Connect 扫
描。换句话说,在无法使用 TCP Syn 扫描的情况下使用此选项。
描。换句话说,在无法使用 TCP Syn 扫描的情况下使用此选项。
•
TCP ACK
扫描发送 ACK 数据包,检查端口是否已被过滤。
•
TCP Window
扫描的工作方式与 TCP ACK 扫描相同,但也可确定端
口已打开还是关闭。
•
TCP Maimon
扫描使用 FIN/ACK 探针识别 BSD 派生系统。
TCP Syn
:
-sS
TCP Connect
:
-sT
TCP ACK
:
-sA
TCP Window
:
-sW
TCP Maimon
:
-sM
Scan for UDP ports
启用此选项,可扫描 UDP 端口以及 TCP 端口。请注意,扫描 UDP 端
口可能比较耗时,因此,如果想快速扫描,请避免使用此选项。
口可能比较耗时,因此,如果想快速扫描,请避免使用此选项。
-sU