扫描事件中的哪个地址？(Scan Which Address(es) From Event?)

将 Nmap 扫描用作对关联规则的响应时，选择以下其中一个选项以控制扫描事件中的哪个地址，源主机的地址和/或目标主机的地址：

• 扫描源地址和目标地址 (Scan Source and Destination Addresses)，扫描事件中源 IP 地址和目标 IP 地址代表的主机。

• 仅扫描源地址 (Scan Source Address Only)，扫描事件的源 IP 地址代表的主机。

• 仅扫描目标地址 (Scan Destination Address Only)，扫描事件的目标 IP 地址代表的主机。

不适用

扫描类型 (Scan Types)

选择 Nmap 如何扫描端口：

• TCP 同步 (TCP Syn) 扫描可以快速连接到数千个端口，无需使用完整的 TCP 握手。此选项可用于在以下主机上以隐形模式快速扫描，可发起但不完成 TCP 连接：admin 帐户拥有原始数据包访问权限的主机，或未运行 IPv6 的主机。如果主机确认在 TCP Syn 扫描中发送的 Syn 数据包，Nmap 会重置连接。

• TCP 连接 (TCP Connect) 扫描使用 connect() 系统调用，打开穿过主机操作系统的连接。如果 管理中心或受管设备上的 admin 用户在主机上没有原始数据包权限，或正在扫描 IPv6 网络，则可使用“TCP 连接”扫描。换句话说，在无法使用“TCP 同步”(TCP Syn) 扫描的情况下使用此选项。

• TCP ACK 扫描发送 ACK 数据包，检查端口是否已被过滤。

• TCP 窗口 (TCP Window) 扫描的工作方式与 TCP ACK 扫描相同，但也可确定端口已打开还是关闭。

• TCP Maimon 扫描使用 FIN/ACK 探针识别 BSD 派生系统。

TCP Syn: -sS

TCP Connect: -sT

TCP ACK: -sA

TCP Window: -sW

TCP Maimon: -sM

扫描 UDP 端口 (Scan for UDP ports)

启用此选项，可扫描 UDP 端口以及 TCP 端口。请注意，扫描 UDP 端口可能比较耗时，因此，如果想快速扫描，请避免使用此选项。

-sU

使用事件中的端口 (Use Port From Event)

如果计划将补救用作关联政策中的响应，请启用此选项，使补救仅扫描在触发关联响应的事件中指定的端口。

• 选择打开 (On) 以扫描关联事件中的端口，而不是在 Nmap 补救配置过程中指定的端口。如果扫描关联事件中的端口，请注意，补救将扫描在 Nmap 补救配置过程中指定的 IP 地址上的端口。这些端口也会添加至补救的动态扫描目标。

• 选择关闭 (Off)，仅扫描在 Nmap 补救配置过程中指定的端口。

您也可以控制 Nmap 是否收集关于操作系统和服务器信息的信息。启用使用事件中的端口 (Use Port From Event) 选项，可扫描与新服务器关联的端口。

不适用

从报告检测引擎扫描 (Scan from reporting detection engine)

启用此选项，可从报告主机的检测引擎所驻留的设备扫描主机。

• 要从运行报告检测引擎的设备扫描，请选择打开 (On)。

• 要从已在补救中配置的设备扫描，请选择关闭 (Off)。

不适用

快速端口扫描 (Fast Port Scan)

启用此选项，仅扫描 nmap-services 文件中所列的 TCP 端口，而忽略其他端口设置，该文件位于执行扫描设备上的 /var/sf/nmap/share/nmap/nmap-services 目录中。请注意，不能同时使用此选项与端口范围和扫描顺序 (Port Ranges and Scan Order) 选项。

• 要仅扫描 nmap-services 文件中列出的端口，而忽略其他端口设置，请选择打开 (On)，该文件可在扫描设置上的 /var/sf/nmap/share/nmap/nmap-services 目录中找到。

• 要扫描所有 TCP 端口，请选择关闭 (Off)。

-F

端口范围和扫描顺序 (Port Ranges and Scan Order)

使用 Nmap 端口规范语法设置要扫描的特定端口及其扫描顺序。请注意，不能同时使用此选项与快速端口扫描 (Fast Port Scan) 选项。

-p

探测开放端口以获取供应商和版本信息 (Probe open ports for vendor and version information)

启用此选项，可检测服务器供应商和版本信息。如果探测开放端口以获取服务器供应商和版本信息，Nmap 将获取其用来识别服务器的服务器数据。然后，它会为该服务器替换思科服务器数据。

• 选择 On，扫描主机上的开放端口以获取服务器信息，识别服务器厂商和版本。

• 选择关闭 (Off)，继续使用主机的思科服务器信息。

-sV

服务版本强度 (Service Version Intensity)

选择适用于服务器版本的 Nmap 探针强度。

• 要使用更多探针进行更精确、更长久的扫描，请选择一个较大的数字。

• 要使用更少探针进行不太精确、更加快速的扫描，请选择一个较小的数字。

--version-intensity <强度>

检测操作系统 (Detect Operating System)

启用此选项，可检测主机的操作系统信息。

如果配置主机的操作系统检测，Nmap 将扫描主机，并使用扫描结果创建每个操作系统的评级，反映操作系统在主机上运行的可能性。

• 选择 On，扫描主机获取信息，识别操作系统。

• 选择关闭 (Off)，继续使用主机的思科操作系统信息。

-o

将所有主机视为在线 (Treat All Hosts As Online)

启用此选项，可跳过主机发现过程，在目标范围内的每台主机上运行端口扫描。请注意，启用此选项时，Nmap 会忽略主机发现方法 (Host Discovery Method) 和主机发现端口列表 (Host Discovery Port List) 的设置。

• 要跳过主机发现过程，在目标范围中的每台主机上运行端口扫描，请选择打开 (On)。

• 要使用主机发现方法 (Host Discovery Method) 和主机发现端口列表 (Host Discovery Port List) 设置执行主机发现，并跳过任何不可用的主机上的端口扫描，请选择关闭 (Off)。

-PN

主机发现方法 (Host Discovery Method)

选择此选项，在主机发现端口列表 (Host Discovery Port List) 中列出的端口上，为目标范围中的所有主机执行主机发现，或者，如未列出端口，则在适用于主机发现方法的默认端口上执行。

然而，请注意，如也启用将所有主机视为在线 (Treat All Hosts As Online)，主机发现方法 (Host Discovery Method) 选项不起作用，也不执行主机发现。

选择 Nmap 进行测试以查看主机是否存在且可用时使用的方法：

• 如果收到响应，TCP SYN 选项将发送设置了 SYN 标记的空 TCP 数据包，并认为主机可用。默认情况下，TCP SYN 扫描端口 80。请注意，TCP SYN 扫描不太可能被设有状态性防火墙规则的防火墙拦截。

• 如果收到响应，TCP ACK 选项将发送设置了 ACK 标志的空 TCP 数据包，并认为主机可用。默认情况下，TCP ACK 也扫描端口 80。请注意，TCP ACK 扫描不太可能被设有无状态防火墙规则的防火墙拦截。

• 如果端口不可达响应来自已关闭端口，UDP 选项将发送 UDP 数据包，并假设主机可用性。默认情况下，UDP 扫描端口 40125。

TCP SYN: -PS

TCP ACK: -PA

UDP: -PU

主机发现端口列表 (Host Discovery Port List)

指定在执行主机发现时要扫描的自定义端口列表，用逗号隔开。

主机发现方法端口列表

默认 NSE 脚本 (Default NSE Scripts)

启用此选项，可以运行默认 Nmap 脚本集，执行主机发现以及服务器、操作系统和漏洞检测。请登录 https://nmap.org/nsedoc/categories/default.html，查看默认脚本列表。

• 要运行默认 Nmap 脚本集，请选择打开 (On)。

• 要跳过默认 Nmap 脚本集，请选择关闭 (Off)。

-sC

计时模板 (Timing Template)

选择扫描过程的时间；选择的数字越大，扫描越快、越不全面。

0: T0 (paranoid)

1: T1 (sneaky)

2: T2 (polite)

3: T3 (normal)

4: T4 (aggressive)

5: T5 (insane)