Cisco Cisco Firepower Management Center 4000 User Guide

47-11

FireSIGHT 系统用户指南 

第 47 章      配置主动扫描 

  设置 Nmap 扫描    

步骤 7

或者，除了 TCP 端口，如果还要扫描 UDP 端口，请针对 

 选项选择 

。

提示

UDP 端口扫描比 TCP 端口扫描需要更多时间。要加快扫描速度，请保持禁用该选项。

步骤 8

如计划使用此补救响应违反关联策略的情况，请配置 

 选项：

选择 

 可扫描关联事件中的端口，而不是第 

 步指定的端口。

如果扫描关联事件中的端口，请注意补救扫描的是第 

 步指定的 IP 地址的端口。这些端口也

将添加至补救的动态扫描目标。

选择 

 可仅扫描第 

 步指定的端口。

步骤 9

如果计划使用此补救响应关联策略违反事件，并希望使用运行检测引擎来检测事件的设备运行扫
描，请配置 

 选项：

要从运行报告检测引擎的设备进行扫描，请选择 

。

要从在补救中配置的设备进行扫描，请选择 

。

步骤 10

配置 

 选项：

要仅扫描 

nmap-services 

文件中列出的端口，而忽略其他端口设置，请选择 

，该文件可在

扫描设置上的 

/var/sf/nmap/share/nmap/nmap-services 

目录中找到。

要扫描所有 TCP 端口，请选择 

。

步骤 11

在 

字段中，键入要在默认情况下使用 Nmap 语法按自己想要的顺序扫描的

端口。

指定值为 1 到 65535。端口间用逗号或空格分隔。还可使用连字符指明端口范围。扫描 TCP 和 
UDP 端口时，以 T 作为要扫描的 TCP 端口列表的开端，以 U 作为 UDP 端口列表的开端。例如，
要扫描 UDP 流量的端口 53 和 111，然后扫描 TCP 流量的端口 21-25，请输 入

U:53,111,T:21-25

。

请注意，启动补救以响应关联策略违反事件时，如第 

 步中所述，

 选项将覆盖此

设置。

步骤 12

要探测开放端口以了解服务器厂商和版本信息，请配置 

information：

选择 

，扫描主机上的开放端口以获取服务器信息，识别服务器厂商和版本。

选择 

，继续使用主机的思科服务器信息。

步骤 13

如果选择探测开放端口，请从 

 下拉列表中选择一个数字，设置使用的探针

数量：

要使用更多探针进行更精确、更长久的扫描，请选择一个较大的数字。

要使用更少探针进行不太精确、更加快速的扫描，请选择一个较小的数字。

步骤 14

要扫描操作系统信息，请配置 

 设置：

选择 

 可扫描主机信息以确定操作系统。

选择 

，继续使用主机的思科操作系统信息。

步骤 15

要确定主机发现是否发生，是否仅针对可用端口运行端口扫描，请配置 

：

要跳过主机发现过程并对目标范围内每个主机运行端口扫描，请选择 

。

要使用 

 和 

 的设置执行主机发现，并跳过对所有不可

用主机的端口扫描，选择 

。