Cisco Cisco Firepower Management Center 4000 User Guide

54-13

FireSIGHT 系统用户指南 

第 54 章      配置补救 

  创建补救  

指定值为 1 到 65535。端口间用逗号或空格分隔。还可使用连字符指明端口范围。扫描 TCP 和 
UDP 端口时，以 T 作为要扫描的 TCP 端口列表的开端，以 U 作为 UDP 端口列表的开端。例如，
要扫描 UDP 流量的端口 53 和 111，然后扫描 TCP 流量的端口 21-25，请输 入

U:53,111,T:21-25

。

请注意，启动补救以响应关联策略违反事件时，如第 

 步中所述，

 选项将覆盖此

设置。

步骤 12

要探测开放端口以了解服务器厂商和版本信息，请配置 

Probe open ports for vendor and version information：

选择 

，扫描主机上的开放端口以获取服务器信息，识别服务器厂商和版本。

选择 

，继续使用主机的服务器信息。

步骤 13

如果选择探测开放端口，请从 

 下拉列表中选择一个数字，设置使用的探针

数量：

要使用更多探针进行更精确、更长久的扫描，请选择一个较大的数字。

要使用更少探针进行不太精确、更加快速的扫描，请选择一个较小的数字。

步骤 14

要扫描操作系统信息，请配置 

 设置：

选择 

 可扫描主机信息以确定操作系统。

选择 

 可继续使用主机的操作系统信息。

步骤 15

要确定是否发生主机发现以及是否仅针对可用主机运行端口扫描，请配置 

：

要跳过主机发现过程并对目标范围内每个主机运行端口扫描，请选择 

。

要使用 

 和 

 的设置执行主机发现，并跳过对所有不可

用主机的端口扫描，选择 

。

步骤 16

选择 Nmap 测试时要使用的方法，查看主机是否存在并可用：

要发送设置了 SYN 标记的空 TCP 数据包，在已关闭端口上引发 RST 响应，或者在可用主机
的开放端口上引发 SYN/ACK 响应，请选择 

。

请注意，此选项在默认情况下扫描端口 80，TCP SYN 扫描不太可能被设有状态性防火墙规则
的防火墙拦截。

要发送设置了 ACK 标记的空 TCP 数据包，在可用主机上引发 RST 响应，请选择 

。

请注意，该选项在默认情况下扫描端口 80， TCP ACK 扫描不太可能被防火墙通过状态性防
火墙规则阻止。

要发送 UDP 数据包，从可用主机的关闭端口引发端口不可达响应，请选择 

。默认情况

下，该选项扫描端口 40125。

步骤 17

如果要在主机发现过程中扫描自定义端口列表，请在 

 字段中键入适合已选择

的主机发现方法的端口列表，用逗号隔开。

步骤 18

配置 

 选项，控制是否使用默认 Nmap 脚本集进行主机发现以及服务器、操作系

统和漏洞发现：

要运行默认 Nmap 脚本集，请选择 

。

要跳过默认 Nmap 脚本集，请选择 

。

有关默认脚本列表，请参阅 

 

。

步骤 19

要为扫描过程设置定时，选择定时模板编号；如需进行更快、不太全面的扫描，选择较大的编
号，如需进行更慢、更全面的扫描，选择较小的编号。

步骤 20

依次点击 

 和 

。

补救创建成功。