关于Nexpose扫描效率的提升,除了自定义“Scan Templates”中的相关参数之外,您还可以从其他方面进行一些操作来提高扫描性能和效率。
调整“Scan Engine”的部署结构
在网络带宽足够的前提下,添加新的扫描引擎或者引擎池,来共同分担同一个扫描任务的工作量,甚至是整个漏洞管理平台的工作量,能够节省大量的扫描时间,且可以提高扫描的准确性。而且不止扫描引擎的数量,扫描引擎的的放置位置也是十分重要的,通常网络中都使用防火墙等网络设备来拦截和过滤危险的流量,甚至是在交换机中都有ACL,将扫描引擎放置在合适的那一侧,对于漏洞扫描工作是很有帮助的。具体请参阅管理员指南中的“Distribute Scan Engines strategically”主题。
设计 "Site" 和配置
根据Site内的资产进行配置调整和优化,尝试增加Site数量并缩小Site中的资产体积。尝试将不同类型的资产划分到不同的Site(可以提前或者定期进行资产发现,并结合动态资产组功能),尝试将不同类型的Site与对应的"Scan Templates"配对,并对Site的扫描计划进行合理的调整,避免带宽和性能使用的冲突。
提升资源
资源主要分为两大类
网络带宽
主机的RAM和CPU容量
如果您的组织有足够的能力和资源,可以直接的增加网络带宽。如果没有,请合理的安排每个Site的扫描计划,以减少扫描时可能的带宽冲突及网络拥塞(办公网对互联网端的扫描要非常慎重,因为这会占用上网流量和带宽)。
增加主机的RAM和CPU容量相对简单许多。在"installation guide"上列出了最低的系统要求。您正在使用的系统可能已经满足了这些要求,但如果您需要大量的提高扫描线程的最大数量,主机系统的运行状态将会变慢和变得不稳定。这种现象通常表示当前扫描任务的工作强度已经超过了主机的RAM及CPU的负荷。
一定要遵守扫描引擎放置位置的最佳方法,请参阅管理员指南中的“Distribute Scan Engines strategically”主题,把相关引擎部署在合适的位置将给工作来来巨大的便利,并且能给您减少很多网络限制带来的困扰。
使您的环境"Scan-friendly"
任何架构不错的网络环境都具有严格和有效的安全机制,例如防火墙。Nexpose通常会被这些设备判定为敌对目标或者攻击者,然后阻止Nexpose与扫描目标之间的通讯。
如果在您目前的环境中让Nexpose与安全机制两者兼得,且网络不会面临风险问题或者违反组织的安全策略。那么,恭喜您,您的Nexpose的扫描效率和准确性将会得到提升。
例如,在扫描Windows7系统时,可以采取一些简单的措施来提高效率:
将Nexpose加入本地域环境
将合适的域登录凭证提供给Nexpose
配置Windows7系统防火墙(关闭),使Nexpose能够连接到Windows系统进行补丁检查等
检查和编辑域策略,使Nexpose可以访问Windows7系统
开通目标防火墙策略
您可以在扫描时开通目标防火墙策略,以允许Nexpose对网络中的这些目标进行深度的扫描。
Microsoft Windows XP SP3、Vista、Server 2003和Server 2008的系统防火墙默认会阻止 TCP/IP数据包。打开此项设置当然是明智且安全的做法,但是,严格且封闭的防火墙会限制Nexpose的扫描行为和结果。开通防火墙策略后,Nexpose在扫描时可以根据修补程序或合规性检查的需要访问操作系统上与安全相关的关键数据。
要了解如何在不禁用Windows防火墙的情况下且与外部的应用程序保持良好的通讯,请查阅Microsoft官网中各个系统的文档。通常,只有Windows 域管理员或者本地管理员才有足够的权限编辑防火墙的策略。
