Cisco Cisco Firepower Management Center 4000 User Guide
47-5
FireSIGHT 系统用户指南
第 47 章 配置主动扫描
了解 Nmap 扫描
注意事项
Nmap 提供的服务器和操作系统数据将保持不变,直到您运行另一个 Nmap 扫描为止。如果计划
使用 Nmap 扫描主机,可能要设置定期扫描,随时更新 Nmap 提供的任何操作系统和服务器数
据。有关详细信息,请参阅
使用 Nmap 扫描主机,可能要设置定期扫描,随时更新 Nmap 提供的任何操作系统和服务器数
据。有关详细信息,请参阅
。另请注意,如从网络映射中删除
主机,将丢弃任何 Nmap 扫描结果。此外,请确保您有权限扫描您的目标。使用 Nmap 扫描不属
于您或贵公司的主机可能违法。
于您或贵公司的主机可能违法。
选择适当端口进行扫描
许可证:FireSIGHT
可为已配置的每个扫描目标选择要扫描的端口。您可以指定各个端口号、端口范围或一系列端口
号和端口范围,识别应当在每个目标上扫描的精确端口集。
号和端口范围,识别应当在每个目标上扫描的精确端口集。
默认情况下,Nmap 扫描 TCP 端口 1 至端口 1024。如果计划将补救用作关联政策中的响应,则可
使补救仅扫描在触发关联响应的事件中指定的端口。如果按需运行补救或将补救作为预定任务加
以运行,或者,如不使用来自事件的端口,则可使用其他端口选项确定哪些端口已扫描。可选择
仅扫描在
使补救仅扫描在触发关联响应的事件中指定的端口。如果按需运行补救或将补救作为预定任务加
以运行,或者,如不使用来自事件的端口,则可使用其他端口选项确定哪些端口已扫描。可选择
仅扫描在
nmap-services
文件中列出的 TCP 端口,忽略其他端口设置。除 TCP 端口外,还可扫
描 UDP 端口。请注意,扫描 UDP 端口可能比较耗时,因此,如要快速扫描,请避免使用此选
项。为选择要扫描的特定端口或端口范围,请使用 Nmap 端口规范语法识别端口。
项。为选择要扫描的特定端口或端口范围,请使用 Nmap 端口规范语法识别端口。
设置主机发现选项
许可证:FireSIGHT
在开始主机的端口扫描之前,可决定是否执行主机发现,或者,可假设计划要扫描的所有主机均
在线。如果选择不将所有主机视为在线,则可选择要使用的主机发现方法,如果需要,自定义在
主机发现过程中扫描的端口列表。主机发现不能从已列出端口探测操作系统或服务器信息;它仅
使用特殊端口上的响应确定主机是否活动且可用。如果执行主机发现且主机不可用, Nmap 则不
扫描该主机上的端口。
在线。如果选择不将所有主机视为在线,则可选择要使用的主机发现方法,如果需要,自定义在
主机发现过程中扫描的端口列表。主机发现不能从已列出端口探测操作系统或服务器信息;它仅
使用特殊端口上的响应确定主机是否活动且可用。如果执行主机发现且主机不可用, Nmap 则不
扫描该主机上的端口。
样本 Nmap 扫描配置文件
许可证:FireSIGHT
下列情境通过示例说明如何在网络上使用 Nmap:
•
•
示例:解析未知操作系统
许可证:FireSIGHT
如果系统无法确定网络上主机的操作系统,则可使用 Nmap 主动扫描主机。 Nmap 使用其通过扫
描获取的信息对可能的操作系统进行评级。然后,它使用评级最高的操作系统作为主机操作系统
标识。
描获取的信息对可能的操作系统进行评级。然后,它使用评级最高的操作系统作为主机操作系统
标识。
如使用 Nmap 向新主机质询操作系统和服务器信息,则将停用系统为已扫描主机对该数据进行的
监控。如果使用 Nmap 发现主机的主机操作系统和服务器操作系统,系统会标记为拥有未知操作
系统,您可以识别相似的主机组。然后,可根据其中一个主机组创建自定义指纹,使系统能够根
监控。如果使用 Nmap 发现主机的主机操作系统和服务器操作系统,系统会标记为拥有未知操作
系统,您可以识别相似的主机组。然后,可根据其中一个主机组创建自定义指纹,使系统能够根