Cisco Cisco Firepower Management Center 2000 User Guide

34-5

FireSIGHT 系统用户指南 

第 34 章      检测特定威胁 

  检测端口扫描  

要配置端口扫描检测，请执行以下操作：

管理员/入侵管理员

步骤 1

选择 

 以显示 Access Control Policy 页面，然后点击 

。

系统将显示 Network Analysis Policy 页面。

步骤 2

点击要编辑的策略旁边的编辑图标  (

)。

如果在另一策略中的更改尚未保存，请点击 

 放弃这些更改并继续操作。有关保存在另一策略

中未保存的信息，请参见[曾是“确认入侵策略更改”；更新 xref]。

系统将显示 Policy Information 页面。

步骤 3

在左侧的导航面板中，点击 

。

系统将显示 Settings 页面。

步骤 4

您有两种选择，具体取决于是否启用了 

 下的 

：

如果该配置已启用，请点击 

。

如果该配置已禁用，请点击 

，然后点击 

。

系统将显示 Portscan Detection 页面。页面底部消息会识别包含配置的入侵策略层。有关详
情，请参见

步骤 5

在 

 字段中，指定要启用以下哪些协议：

TCP

UDP

ICMP

IP

按住 Ctrl 或 Shift 键的同时点击可选择多个协议或清除单个协议。有关详细信息，请参阅

表。

请注意，必须确保已启用 TCP 流处理以在 TCP 上检测扫描，并确保已启用 UDP 流处理以在 UDP 
上检测扫描。

步骤 6

在 

 字段中，指定要检测以下哪些端口扫描：

端口扫描检测 

端口清扫

诱骗端口扫描

分布式端口扫描

按住 Ctrl 或 Shift 键的同时点击可选择或取消选择多个协议。有关详细信息，请参阅

表。

步骤 7

在 

 列表中，选择要使用的级别：低、中或高。

有关详细信息，请参阅

表。

步骤 8

或者，在 

 字段中，指定要监视哪个主机的端口扫描活动标志，或者将字段留空以监视所

有网络流量。

可以指定单个 IP 地址或地址块，或者单个 IP 地址和/或地址块的逗号分隔列表。有关在 
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息，请参阅

步骤 9

或者，在 

 字段中，指定要作为扫描器而忽略的主机。可使用此字段指示在网络上特

别活跃的主机。可能需要随时间修改此主机列表。